Security für Onlineshops: Sichern Sie die Verfügbarkeit Ihres Webshops

Aber Websites sind heute mehr denn je bedroht durch Angriffe aus dem Netz: automatisierte Bot-Attacken, Malware-Infektionen und Hacks, aber auch Brute-Force- oder DDoS-Angriffe. Nicht nur die Anzahl von Hacker-Attacken steigt ständig, sie werden auch immer komplexer, ausgefeilter und effizienter. Gerade Webshops sind dabei für Hacker besonders interessant: Denn das Erpressungspotenzial ist hier viel größer als bei Standardwebsites oder Blogs und außerdem können hier wertvolle Kundendaten abgegriffen werden, zum Beispiel Kreditkartendaten.

Deshalb müssen Sie als Onlineshop-Betreiber oder Webdienstleister diese Webseiten besonders sorgfältig schützen. Sie müssen dafür die nötigen Security-Kompetenzen aufbauen und zudem ausreichend Ressourcen vorhalten, denn die Absicherung von Websites erfordert viel Zeit und ständige Aufmerksamkeit. Wenn dann allerdings nicht genug Budget für Website-Security vorhanden ist, stehen Sie vor einem gravierenden Problem.

Die Lösung heißt Sucuri Website Security. Die kostengünstige Security-Suite von Sucuri überwacht Ihre Websites auf alle relevanten Anzeichen einer Kompromittierung: Malwarebefall, SEO-Spam, Unregelmäßigkeiten bei SSL- oder DNS-Einstellungen, Verfügbarkeitsprobleme oder Blocklisting-Ereignisse. Wird Sucuri fündig, sorgen erfahrene Malware-Experten für eine schnelle und vollständige Bereinigung. Auf Wunsch schützen die CDN-basierte Sucuri Firewall, sichere Backups und globales Caching Ihre Websites in Echtzeit vor Cyber-Bedrohungen und gewährleisten jederzeit eine hohe Verfügbarkeit.

Ihr Nutzen

Umfassender Schutz
Sucuri schützt Ihren Online-Shop gegen alle Bedrohungen aus dem Netz.

Maximale Verfügbarkeit
Permanente Überwachung und Caching auf performanten Sucuri-Servern weltweit  schützt Ihre Website zuverlässig vor Ausfällen oder Überlastung.

Soforthilfe im Schadensfall
Bei Hacks und Malware-Befall sorgt Sucuri für eine schnelle und gründliche Problemlösung: dank jederzeit aktueller Backups und kompetenter Malware-Bereinigung durch Experten.

Aufwand und Kosten sparen
Sucuri Website Security schützt Webshops und Online-Plattformen deutlich kostengünstiger als vergleichbare Services. 

Onlineshops brauchen besonderen Schutz

Weil Sie als Shop-Betreiber stabile Umsätze brauchen, müssen Sie proaktiv für die Sicherheit Ihrer Website sorgen – im eigenen Interesse und im Interesse Ihrer Kunden, für deren sensible Daten Sie verantwortlich sind. Stellen Sie sich vor, als Onlinekäufer finden Sie heraus, dass Hacker bei einem von Ihnen genutzten Webshop Ihre Zahlungsinformationen erbeutet haben. Bei diesem Shop werden Sie wahrscheinlich nicht mehr einkaufen.

Vertrauen spielt im E-Commerce eine wichtige Rolle. Wenn Ihr Onlineshop nicht vertrauenswürdig und sicher erscheint, werden sich Ihre Kunden woanders umsehen. Wird Ihr Shop gehackt oder mit Malware infiziert, leiden nicht nur Kundenvertrauen und Ihr gutes Image, sondern auch Ihre Umsätze. Denn während Sie versuchen, Ihre Website zu bereinigen, verpassen Sie Stunde für Stunde potenzielle Verkäufe.

Automatisierte Attacken nehmen zu

Attacken auf Websites nehmen seit Jahren zu. Mehr als 90.000 Websites werden täglich gehackt (Quelle: Hosting Facts Internet Stats & Facts for 2019). Ein großer Teil dieser Angriffsziele gehört zu Onlineshops. 

Ein Grund für die steigende Gefahr: Immer mehr Angriffe laufen automatisiert ab. Durchschnittlich 60 Mal am Tag bekommt eine Website Besuch von sogenannten Bad Bots (Quelle: Sitelock Security Report 2019). Auch E-Commerce-Sites werden immer häufiger und auch zunehmend raffinierter von Bots attackiert. Kriminelle versuchen auf diese Weise, Kundenkonten zu übernehmen, Geschenkkarten zu missbrauchen, Spam-Kommentare zu hinterlassen oder Transaktionsbetrug zu begehen. Andere Bad Bots scannen beispielsweise im Auftrag von Konkurrenten Angebote und Preise, sammeln Finanzinfos für Investmentgesellschaften oder kaufen in Massen begehrte Waren auf, damit Reseller sie teuer weiterverkaufen können (sogenannte Sneaker Bots oder Grinch Bots). Solche Aktivitäten beeinträchtigen nicht nur Kundenerlebnis und Marke, sondern können auch Performance-Einbrüche und sogar Ausfallzeiten zur Folge haben (Quelle: Imperva, „How Bots Affect E-commerce“, 2019).

Sucuri Firewall blockiert Millionen Bot-Angriffe

2019 blockierte die Firewall von Sucuri knapp 27 Millionen Bad-Bot-Angriffe. Damit nahmen Bad Bots unter allen verzeichneten Angriffsarten Platz 1 ein (Abbildung 1). Insgesamt blockierte die Sucuri Firewall fast 171 Millionen Angriffsversuche – 52 Prozent mehr als 2018 (Quelle: Sucuri Website Threat Research Report 2019).

Hohes Schadenspotenzial

Ist die Schwachstellensuche oder ein Brute-Force-Angriff auf die Login-Seite erfolgreich, folgen meist automatisch gezielte Aktionen: Die Angreifer versuchen Dateistruktur und Datenbank zu erkunden, Malware zu installieren, die Website zu entstellen oder SEO-Spam einzuschleusen. Der Schaden für die Website-Betreiber reicht von Datendiebstahl und Kontrollübernahme über Betriebsstörungen und Downtimes bis hin zu Erpressung mit hohen Lösegeldforderungen. 

Zudem ist mit Folgeschäden zu rechnen, zum Beispiel durch das sogenannte Blocklisting. Google oder auch große Web-Security-Unternehmen wie McAfee führen Listen mit Websites, bei denen sie Anzeichen von Malware oder anderen Sicherheitsbedrohungen finden. Halten Suchmaschinen Ihre Webseite für gefährlich, weil diese auf einer dieser Listen steht, zeigen die Suchmaschinen diese nicht mehr in ihren Suchergebnissen an oder geben eine Sicherheitswarnung aus („Diese Website kann Ihren Computer beschädigen“). Wöchentlich identifiziert Googles Safe-Browsing-Dienst ca. 30.000 Websites als potenziell schädlich.

Ist Ihre Website von Blocklisting betroffen, schädigt das Ihr Image und es kostet zudem viel Zeit und Aufwand, um die Seite wieder von der Blocklist zu entfernen.

Gezielte Angriffe auf High-Traffic-Sites und Shops

Während Angriffe auf E-Commerce-Sites, insbesondere zum Zweck des Kreditkartendiebstahls, früher eher wahllos eine große Zahl von Websites ins Visier nahmen, geht der Trend neuerdings hin zu gezielteren Angriffen auf populäre Seiten mit viel Traffic und größerer Nutzerbasis – oder auf entsprechend populäre Systeme wie WordPress oder Magento (Quelle: Sucuri Website Threat Research Report 2019). 

Prominentes Beispiel sind sogenannte Magecart-Angriffe. Magecart ist ein wahrscheinlich schon seit 2010 aktives Syndikat krimineller Hackergruppen, die sich darauf spezialisiert haben, Kundendaten und Zahlungsinformationen von Online-Shopping-Cart-Systemen, vor allem Magento, zu stehlen. Sie und ihre Nachahmer versuchen beispielsweise, Schadcode direkt in Warenkorb- und Checkout-Prozesse einzuschleusen, um die gewünschten Daten abzuschöpfen („Skimming“). Dabei greifen sie bevorzugt Hilfsressourcen an, die von den Shopsystemen genutzt werden, von der Webserver-Datenbank bis hin zu Cloud-Ressourcen, zum Beispiel schlecht konfigurierte Amazon-S3-Webservices. 

Mehr als 18.000 Websites waren bis Oktober 2019 von Magecart-Angriffen betroffen, darunter Ticketmaster und British Airways, so ein Bericht der Analysefirma RiskIQ. Ende 2019 wurde dann bekannt, dass Angreifer inzwischen sogar einen Anbieter schlüsselfertiger E-Shops mit mehr als 20.000 Kunden geknackt haben: Im Oktober hat der E-Commerce-Cloudanbieter Volusion unwillentlich Magecart-Schadcode an mindestens 6.500 Webshops ausgeliefert. Viele Experten sind sich sicher, dass solche und ähnliche Angriffe weiter zunehmen werden.

Hacker gehackt

Übrigens sind auch kriminelle Shops im Dark Web nicht vor Hackerangriffen gefeit: Im Sommer 2019 wurde „BriansClub“, einer der größten Online-Schwarzmärkte für gestohlene Kreditkartendaten, gehackt und eine Datenbank mit 26 Millionen Kredit- und Debitkarten-Datensätzen kopiert. Der Inhalt entspricht einem Schwarzmarktwert von über 400 Millionen Dollar.

DDoS-Attacken legen Webshops lahm

Im Dark Web können Kriminelle nicht nur gestohlene Account- oder Kartendaten kaufen. Für wenig Geld (beginnend bei unter 5 Dollar) kann dort praktisch jeder einen massiven Überlastungsangriff (Distributed Denial of Service, DDoS) auf die Website seiner Wahl durchführen lassen – zum Beispiel auch Ihr Konkurrent oder ein unzufriedener Kunde. Möglich machen das DDoS-as-a-Service-Provider, sogenannte Booter-Dienste. So finden einer aktuellen Untersuchung zufolge am weltweit größten Internetknoten DE-CIX in Frankfurt rund um die Uhr DDoS-Angriffe gegen Tausende Ziele im Internet statt. Während die maximalen Angriffslasten noch vor kurzem unter 600 Gbps (Gigabit per Sekunde) lagen, sind sie inzwischen im Terabit/s-Bereich angekommen. Wie sich zeigte, hilft es auch wenig, solche Booter-Webseiten vom Netz zu nehmen, weil das die eigentliche DDoS-Infrastruktur (gekaperte Computer, IoT-Geräte etc.) kaum beeinträchtigt. DDoS-Angriffe werden mit dem Ziel gestartet, Schaden anzurichten oder aber das Opfer zu erpressen. Sie verursachen meist erhebliche Performance-Einbrüche bis hin zu Komplettausfällen, die Stunden andauern können. Für Webshops sind solche Attacken besonders bedrohlich, da sie meist direkte Umsatzeinbußen zur Folge haben.

Saisongeschäft für Cyber-Kriminelle

Das gilt natürlich vor allem für Spitzenzeiten wie das Weihnachtsgeschäft, Black Friday oder Cyber Monday – und genau dann steigt die Zahl der DDoS-Angriffe auf E-Commerce-Seiten um über 70 Prozent (Quelle: BSI-Bericht „Die Lage der IT-Sicherheit in Deutschland 2019“).

WordPress-Shops sind besonders gefährdet

Viele Webshops nutzen als Basis das Content-Management-System WordPress. Die weltweit meistgenutzte E-Commerce-Plattform ist ein WordPress-Plugin – WooCommerce mit einem Anteil von knapp 30 Prozent (in Bezug auf Installationen; Quelle: Datanyze.com). Seine Popularität macht WordPress zu einem beliebten Ziel für Hacker- und Malware-Attacken. Sie versuchen, sich die Tausenden von Schwachstellen in WordPress-Core, Plugins und Themes zu Nutze zu machen. Vor allem Plugins sind gefährdet, Shop-Plugins ebenso wie viele andere.

Zum Beispiel machten 2019 wieder zahlreiche Schwachstellen in WooCommerce selbst oder seinen Erweiterungen Schlagzeilen. Kritisch in diesem Zusammenhang sind auch kommerzielle Plugins, weil diese häufig nicht im WordPress-Repository liegen und daher weniger regelmäßig aktualisiert werden. Das betraf etwa eine Ende Februar 2020 gepatchte Sicherheitslücke im Plugin WooCommerce Smart Coupons, bei dem sich Angreifer gültige Gutscheine selbst generieren konnten. Ebenfalls im Februar 2020 wurde eine Zero-Day-Lücke im Plugin Flexible Checkout Fields for WooCommerce geschlossen, die bereits eine Zeit lang unerkannt für Hacks ausgenutzt worden war.

Veraltete Systeme haben Sicherheitslücken

Eine wichtige Ursache für Sicherheitsprobleme sind veraltete Systeme. Für Webshops gilt das in besonderem Maße. Bei WordPress-basierten Systemen erschwert der Einsatz kommerzieller Plugins das regelmäßige Aktualisieren, bei Magento die verschiedenen Entwicklungszweige. 49 Prozent aller WordPress-Sites sowie 87 Prozent der Magento-Websites, bei denen Sucuri einen Malware-Befall festgestellt hat, waren zum Zeitpunkt der Infektion veraltet (Quelle: Sucuri Website Threat Research Report 2019). 

Zudem wird Magento ab Juni 2020 keine Software-Updates und Sicherheits-Patches für seine beliebten Commerce 1- und Open-Source-CMS-Plattformen (ehemals Enterprise- und Community-Editionen) mehr bereitstellen. Wer nicht zeitnah auf eine noch unterstützte Plattform migrieren kann, sollte zum Schutz unbedingt eine zuverlässige Website-Firewall mit Virtual Patching nutzen, wie sie Sucuri bietet.

Erfahren Sie mehr über Sucuri Website Security für Onlineshops in unserem Whitepaper. Zum kostenlosen Download

Herausforderungen für Shop-Betreiber und Dienstleister

Verfügbarkeit gewährleisten: Rundum-Schutz erforderlich

Aus diesen Gründen benötigen Onlineshops und -plattformen besonderen Schutz – denn von ihrer uneingeschränkten Verfügbarkeit hängt die wirtschaftliche Existenz ihrer Betreiber ab. 

Neben den üblichen Sicherheitsmaßnahmen zum Schutz vor Malware und Hacks ist dabei vor allem auch der Schutz vor Überlastung wichtig, sei es – im positiven Fall – durch einen Kundenansturm am Black Friday oder durch den DDoS-Angriff eines Erpressers oder Konkurrenten. 

Sicherheit erfordert Zeit und Aufwand

Sicherheitsmaßnahmen sind aber aufwendig – regelmäßige Updates reichen da nicht aus. Eine große Gefahr, gegen die es keine Sicherheitspatches gibt, sind Brute-Force-Angriffe: Dabei probieren Hacker automatisiert viele Tausend oder Millionen Login-Kombinationen aus, häufig auf Basis gestohlener Datenbanken mit echten Zugangsdaten. Kritisch sind auch Angriffe auf Schwachstellen, die noch nicht geschlossen wurden, entweder weil sie den Entwicklern noch gar nicht bekannt sind (Zero-Day-Exploits) oder weil die Entwickler noch keinen Patch liefern konnten. 

Bei der Absicherung von Websites muss vor allem der Schutz gegen die Angriffsmethoden SQL Injection (SQLI), Remote/Local File Inclusion (RFI/LFI) und Cross-Site Scripting (XSS) gewährleistet werden. Injection-Attacken machen dabei laut Akamai über 65 Prozent der Angriffe auf Webanwendungen aus (siehe Abbildung 2); sie liegen auch bei den OWASP Top Ten an der Spitze.

Alle diese Angriffe nutzen Schwachstellen aus, die auf der unsicheren Behandlung von Nutzereingaben beruhen. Um sie abzuwehren, können Sie etwa Formulare etc. durch Captchas schützen, User-Input validieren und bereinigen sowie auch Datenausgaben bereinigen und maskieren.

Darüber hinaus müssen Websites regelmäßig auf Schwachstellen und Anzeichen für Kompromittierungen überprüft werden. Auch regelmäßige Backups sind natürlich wichtig. Allerdings fehlt vielen Webmastern oder Dienstleistern die Zeit oder zum Teil auch das Wissen, um alle diese Maßnahmen selbst durchzuführen.

WordPress-Anwender könnten ein Security-Plugin nutzen, das ihnen einige dieser Aufgaben abnimmt. Aber auch das ist nicht unproblematisch, weil auch Security-Plugins Sicherheitslücken aufweisen können.

Schnelle Problemlösung bei Malware-Befall?

Reiner Schutz ist aber ebenfalls nicht genug: Weil es im Internet keine 100-prozentige Sicherheit geben kann, brauchen Sie als Shop-Betreiber oder Betreuer auch einen Plan B, wenn es trotzdem zu einem Malware-Befall kommt. 

Cyberangriffe werden nicht nur immer häufiger, sondern auch komplexer. Moderne Malware versteckt sich heute meist an vielen Stellen einer Website und versucht auch andere Websites auf dem gleichen Server zu infizieren. Sie verfügt oft über Selbstheilungsmechanismen, um sich bei einer unvollständigen Säuberung erneut zu installieren, und richtet sehr häufig auch Backdoors für einen unbemerkten späteren Zugriff ein. Von über 60.000 infizierten Websites, die Sucuris Malware-Profis 2019 bereinigt haben, fanden sich auf fast der Hälfte eine oder mehrere Backdoors (Quelle: Sucuri Website Threat Research Report 2019).

Für die Bereinigung ist ein sauberes und halbwegs aktuelles Backup hilfreich, aber auch Backups können bereits infiziert sein, wenn ein Angriff erst nach einiger Zeit bemerkt wurde. Es kann daher unter Umständen schwer oder unmöglich sein, den aktuellen Zustand zu rekonstruieren.

In jedem Fall erfordert die manuelle Bereinigung einer mit Malware infizierten Website viel Zeitaufwand und auch viel Know-how. In der Regel benötigen auch Webprofis Tage, um eine kompromittierte Seite komplett wiederherzustellen – in dieser Zeit kann Ihnen sehr viel Umsatz verloren gehen.

Sicherheit und Verfügbarkeit – einfach und kostengünstig

Für all diese Herausforderungen ist Sucuri Website Security die einfachste und kostengünstigste Lösung. Sucuri bietet Ihnen nicht nur Rundum-Schutz für Ihre Website (mit Malware-Scans, Web Application Firewall, Allowlisting/Blocklisting-Funktionen oder Backups), sondern auch professionelle Malware-Bereinigung im Schadensfall sowie maximale Verfügbarkeit dank Content Delivery Network (CDN).