Etwa die Hälfte aller Web-Shops sind nach Schätzungen von Integralis angreifbar, rund 20 Prozent weisen Sicherheitslücken auf, die das Auslesen oder die Manipulation von Kundendaten ermöglichen.

Steter Kostendruck, mangelnde Ressourcen und Unwissenheit sind die häufigsten Gründe für die ungenügenden Sicherheitsmaßnahmen der Händler. Viele Vorfälle und Übergriffe werden zudem verschwiegen, da sie für das Renommee der Web-Shops schädlich sind.

Häufig wird bei der Implementierung eines Web-Shops die Funktionalität in den Mittelpunkt gestellt. Dies sei deshalb alarmierend, da ein Angriff auf einen Web-Shop anonym und von überall in der Welt ohne spezielle Hacker-Tools ausgeführt werden kann. Bereits fünf Minuten sind laut Integralis ausreichend, um über einen gängigen Internet-Browser erste Sicherheitslücken eines Online-Shops aufzuspüren. "Tatsächlich bieten heute keine anderen IT-Systeme eine vergleichbar große Angriffsfläche auf niedrigstem Sicherheitsniveau", sagt Matthias Straub, E-Business-Experte bei Integralis.

Die Sicherheit eines Online-Shops ist abhängig von dessen Design und einer fehlerfreien Programmierung der zugrunde liegenden Web-Anwendung. Die schwerwiegendsten Sicherheitslücken treten dann auf, wenn die Überprüfung der Benutzereingaben fehlt oder ungenügend funktioniert. "Wird beispielsweise bei der Eingabe einer Bestellmenge nicht vom Web-Shop überprüft, ob es sich bei der Eingabe tatsächlich um eine Zahl handelt, kann ein Hacker auf diesem Weg eigene Kommandos an die Datenbank des Web-Shops absetzen. In vielen Fällen können dadurch extrem sensible Daten wie Kreditkarteninformationen in die Hände der Hacker gelangen", so Straub. Die gefährlichste Angriffsart ist laut Integralis SQL-Injection, da hier die mangelnde Filterung der Benutzereingaben ausgenutzt wird, um unerlaubt auf die Datenbank des Web-Shops zuzugreifen. Als Basisschutz wird empfohlen, bereits bei der Entwicklung der Online-Shops auf die korrekte Filterung aller Eingaben zu achten. Intelligente Web-Filter, die vor die Online-Shops gestellt werden und Anfragen aus dem Internet filtern, bieten einen zusätzlichen Schutz vor möglichen Angreifern. Darüber hinaus sei es ratsam, den Web-Shop mithilfe von Security-Audit-Tools auf Schwachstellen zu checken und gefundene Lücken schließen zu lassen. (he)