Was für Online Shops gibt es

Bei kleinen und mittleren Unternehmen dagegen kann schon ein kurzzeitiger Misserfolg der eigenen Plattformen die Existenz bedrohen. Die erfahrene und empfundene Geborgenheit bringt vor allem nur den erwünschten Auftrag und damit langfristiges Zutrauen in den Shop: Die positiven Einkaufserlebnisse vor und nach der Buchung, die Kundenkommunikation, der Bezahlvorgang - zum Beispiel mit einer Kaufgarantie von "Trusted Shops" - stellen sicher, dass die Einkäufer bei uns shoppen, zurückkommen und das Erlebnis auf der Website von Google und Co. ausstrahlen.

Schon bei der Planung wird entschieden, ob ein Online-Shop gesichert ist, denn es genügt nicht, das konventionelle Vertriebskonzept ins Internet zu übertragen. Onlineshops sind keine eigenständige Handelsplattform. Aus der engen Integration der Prozessströme in das gesamte Unternehmen resultieren Interfaces, die zu Sicherheitsschwachstellen werden können.

Beispielsweise werden die Daten der Kunden in einer einheitlichen Datenbasis für den Online- und Online-Verkauf von mehreren Mitarbeitern genutzt. Dabei muss bereits in der Konzeptphase ein Sicherheits- und Autorisierungskonzept geschaffen werden, das die Zugangswege und Autorisierungen, aber auch die Vorgaben für den Zugang zu Transaktions- und Stammdaten, Kontodaten und Versanddetails klar vorgibt.

Schwachstelle #1: Keine Basissicherheit: Online-Angebote müssen vor einer Reihe von Gefahren geschützt werden. Oftmals werden auch einfache Sicherheitsmaßnahmen nicht implementiert, wie die Nutzung einer Brandmauer, die die ein- und ausgehende Übertragung auf die nötigsten Kommunikationsprotokolle (z.B. ssh, HTTP und HTTPS) begrenzt, die Implementierung von strengen Passwortrichtlinien für Einkäufer ( "Groß- und Kleinschreibung", spezielle Zeichen und eine minimale Passwortlänge) oder die Chiffrierung des Übertragungskanals mit Zertifikat.

Die Sicherung ist aber unerlässlich, denn im Falle eines Datenverlustes kann auch die Existenzbedrohung durch eine fehlende Sicherung erfolgen, wenn die Information über Kunde und Transaktion nicht in kürzestmöglicher Zeit wiederhergestellt werden kann. Sicherungslücke Nr. 2: Datendiebstahl: Datenklau kann auf viele Arten realisiert werden. Langfristig können über einen längeren Zeitrahmen hinweg mehrere tausend Einträge für den Adressenhandel ausgelesen werden.

In der Regel werden in einer Browser-Sitzung nur solche Informationen bearbeitet, die aus einem vertrauten Zusammenhang stammen. So können Websites durch geschickte Einschleusung von Javascript-Code so verändert werden, dass z.B. veränderte Anmelde- oder Auftragsformulare im Webbrowser des Benutzers auftauchen. Wenn der Benutzer nun seine Eingaben macht, werden diese unauffällig im Hintergund weitergeleitet.

Drittpersonen können sich nun unter dieser Kennung in den Online-Shop einloggen, Aufträge erteilen oder auf die im Kundenaccount gespeicherten Kreditkartendaten zurückgreifen. "Die SQL-Injektionen " machen sich eine Sicherheitslücke beim Zugang von Applikationen zu einer Datenbasis zunutze. So können Angriffe nun spezifisch ausgelesen, manipuliert oder in Einzelfällen die gesamte Steuerung des Servers übernommen werden.

Derartigen Angriffen sind keine Grenzen gesetzt: Vom leisen Datenklau über die Änderung von Dateien bis hin zur Lähmung eines ganzen Rechners sind alle möglichen Szenarios vorstellbar. Während dieser Zeit sind die Anlagen wesentlich angriffsanfälliger. Der Zugriff auf die zugehörigen Ladensysteme ist nicht mehr möglich. Wenn keine Softwareaktualisierung erfolgt, können die Ladensysteme selbst zur Verteilung von Malware ausgenutzt werden.

"Mit" versucht dann, durch automatisierte Abläufe Schwachpunkte im Webbrowser oder in den Betriebssystemen der Nutzer auszuloten. Sicherheitsloch Nr. 4: Sitzungsentführung: Es gibt immer noch Web-Shops, die keine Cookie verwenden - kleine Programmausschnitte, die während der Benutzung des Shops vorübergehend auf dem Computer des Nutzers abgelegt werden, so dass sich der Nutzer nicht mehr erneut auf dem Webserver ausweisen muss.

Wenn sich ein Benutzer im Shop anmeldet und einen angesehenen Gegenstand an einen Bekannten weiterleitet, kann er den Gegenstand nicht nur ansehen, sondern auch unter dem falschen Kundennamen bestellen, Kontoinformationen anzeigen und ändern. Im schlimmsten Fall werden die Angaben in unverschlüsselter Form in einer Bestätigungs-E-Mail an den Kunden gesendet.

Der Standard ist heute jedoch, dass vertrauliche Informationen in der Bestätigungs-E-Mail nicht mehr erkennbar sind, indem z.B. nur noch die ersten und letzte Ziffer für Abrechnungsdaten übertragen werden. Die Verwendung von gesicherten und bewährten Zahlungsmethoden wie z. B. ClickandBuy oder auch PayPal minimieren nicht nur das Sicherheitsrisiko, sondern schaffen auch zusätzliche Sicherheiten für den Benutzer. Der Gedanke, einen Online-Shop rasch einzurichten, wird im Hinblick auf die eigene und die der Kundschaft sehr rasch umgesetzt.

Die gesetzlichen Vorgaben und Ansprüche zukünftiger Nutzer an die Ausrüstung und Sicherung der Webseite sind zu hoch. Besucher der eigenen Webseite in Kundschaft zu verwandeln, ist die Königsdisziplin des E-Commerce: Wenn potentielle Interessenten kein Selbstvertrauen in das angebotene Produkt haben, werden sie es auch nicht erstehen. Deshalb ist es besonders wichtig, von Beginn an auf die eigene Angebotssicherheit zu achten.

Bei SHD System-Haus-Dresden verantwortet er als Business Development Leiter die Weiterentwicklung von Managed Services für mittelständische und große Unternehmen in den Geschäftsfeldern E-Commerce, Communication & Cooperation und Internethandel.