Passwörter nicht im Klartext abgespeichern
"Eine Studie belegt, dass sich Kunden von Online-Shops Sicherheitsmaßnahmen wünschen, mit denen sie personenbezogene Daten beziehungsweise Kreditkartendaten vor ungewünschtem Zugriff schützen können", sagt Jochen Klotz, Senior Technical Consultant beim Verschlüsselungsspezialisten RSA. "In der Praxis gehen Kunden aber doch eher den einfachen Weg und verwenden Passwörter anstelle von sicheren Tokens oder Chipkarten. Es sind also Sicherheitsmaßnahmen gefordert, die Zahlungsdaten vor Betrug schützen, das Kaufverhalten aber nicht beeinträchtigen."
Eine dieser Maßnahmen ist das Verschlüsseln der Datenbanken, in denen die Informationen gespeichert werden. Jede gängige Datenbank lässt sich codieren. Passwörter sollten zudem niemals im Klartext gespeichert werden, sondern nur ihr Hash-Wert. Zum Erzeugen des Hash wird oft der MD5-Algorithmus verwendet, der inzwischen jedoch nicht mehr zeitgemäß ist. Durch Hinzufügen einer vom Anwender eingegebenen, zufälligen Zeichenkette (Salt) lässt sich aber auch eine Brute-Force-Attacke auf MD5-Hashes spürbar verlangsamen. Werden zu kurze Passwörter zudem durch Key Stretching künstlich verlängert, erhöht sich der Aufwand für den Cracker noch einmal. Aus Tagen können so Jahre werden, die zum Knacken der Passwörter oder anderer Datenbankeinträge nötig sind.
- Die eingebaute Sicherheit
Seit Windows 200 ist es auf einem NTFS-Dateisystem möglich, mittels EFS (Encrypted File System) Dateien zu verschlüsseln, so dass ein anderer Anwender nicht mehr auf sie zugreifen kann. - Windows warnt den Anwender
Will er nur eine einzelne Datei mittels EFS absichern, so rät das Betriebssystem dazu, auch die darüber liegenden Ordner mit zu verschlüsseln. - Nur so ist die Wiederherstellung wieder möglich
Das Windows-System bietet bei der Verschlüsselung einer Datei mittels EFS an, Zertifikat und Schlüssel auf einem externen Speichermedium zu sichern. - Der Standard bei EFS
Eine Datei mit der Endung *.PFX dient dem sogenannten "privaten Informationsaustausch", ohne dass dabei eine Zertifizierungsstelle zum Einsatz kommen muss. - Das Zertifikat wurde erfolgreich erstellt
Mit seiner Hilfe kann dann eine verschlüsselte Datei auch ohne das Passwort wiederhergestellt werden. - Eigenschaften der Datei bringen es an den Tag
Diese Datei wurde mit dem verschlüsselten Dateisystem EFS gesichert. - Beim Dateizugriff bemerkt ein Anwender nicht, dass er auf eine verschlüsselte Datei zugreift
Hat er bei den Ordneroptionen die entsprechende Einstellung gewählt, so werden ihm diese Dateien aber in einer anderen Farbe angezeigt. - Vielfältige Möglichkeiten, aber nur bei bestimmten Windows-Versionen vorhanden
Die Verschlüsselungstechnik Bitlocker erlaubt es, ganze Partitionen mitsamt dem Betriebssystem zu verschlüsseln. - Der "Bitlocker To-Go"
Diese unter Windows 7 und Windows 8/8.1 zur Verfügung stehende Technik ermöglicht die Verschlüsselung von mobilen Laufwerken. Für den lesenden Zugriff auf diese Geräte kann eine entsprechende Software auch unter Windows XP zum Einsatz kommen. - Auch beim Bitlocker-Einsatz unbedingt wichtig
Der Wiederherstellungsschlüssel kann ausgedruckt oder auf einem externen Laufwerk gespeichert werden, so dass die Daten auch nach dem Verlust des Passwortes noch im Zugriff bleiben. - Mächtige freie Lösung
Eine Open-Source-Lösung, die ganze Partitionen und auch den Bereich des Betriebssystems komplett verschlüsseln kann: DiskCryptor. - VeraCrypt soll die Nachfolge von TrueCrypt antreten
Die Entwickler haben Teile des Source Codes von TrueCrypt übernommen, aber die Sicherheitslücken beseitigt. TrueCrypt-Container lassen sich auch mit diesem Programm öffnen. - Die Freeware Cryptainer LE
Sie ermöglicht es, Dateien, Verzeichnisse und E-Mail-Nachrichten einfach in Datei-Containern bis zu einer Größe von 100 MB abzulegen. - Die Protectorion Encryption Suite
Eine freie Lösung, die viele Funktionen in sich vereint, die Nutzer bereits von TrueCrypt her kennen. Sie steht auch in einer portablen Version bereit. - DirectAccess von Microsoft
Mit diesem Feature hat der Hersteller eine Zugriffstechnologie in das Betriebssystem integriert, die einen sicheren und verschlüsselten Zugriff auf das Unternehmensnetzwerk ohne zusätzliche Hardware und VPN-Software ermöglicht. - Scribbos von Stonebranch
Die Lösung erlaubt die verschlüsselte Kommunikation über das Internet in einer E-Mail-ähnlichen Form. Sie kann aber auch in Outlook integriert werden und bietet dem Anwender dort auch die entsprechende Verschlüsselung an (Quelle: Stonebranch).
Eine weitere Möglichkeit ist das Verschlüsseln und Virtualisieren von Kundendaten, kurz "Tokenization". "Hierbei werden die sensiblen Daten durch Ersatzwerte verschlüsselt, die dann für Transaktionen genutzt werden. Die Kreditkartendaten befinden sich nur kurze Zeit verschlüsselt im System des Händlers. "Sollten Unbefugte an diese Daten gelangen, können sie sie nicht auf die ursprünglichen Zahlungsdaten eines Kunden zurückführen", erklärt RSA-Mann Klotz. Sein Arbeitgeber hat mit dem "RSA SafeProxy" ein Produkt im Angebot, das sich um die Tokenization der kritischen Daten kümmert.
Zwar ist SSL (Secure Sockets Layer) im vergangenen Jahr durch die spektakulären Angriffe auf schlecht gesicherte Zertifizierungsstellen (Certificate Authorities = CAs) ins Gerede gekommen. Grundsätzlich ist SSL aber immer noch das Mittel der Wahl. Wer im Jahr 2012 mit Kunden- oder Kreditkarteninformationen hantiert und deren Transfer nicht per SSL verschlüsselt, handelt verantwortungslos und sollte von Käufern gemieden werden. SSL sichert nicht nur den Datentransfer zwischen Client und Server ab, es stellt auch die Authentizität des Shop-Betreibers sicher. Wer seinen Kunden ein noch größeres Gefühl der Sicherheit vermitteln will, lässt sich ein Extended-Validation-(EV-)Zertifikat ausstellen und wählt eine renommierte CA wie Verisign oder Thawte.
Penetrationstests: Schwächen suchen wie ein Angreifer
Regelmäßige Penetrationstests der eigenen Shop-Infrastruktur sind ratsam. Nur so wird die verwendete Software auf die gleiche Art und Weise unter die Lupe genommen, wie es auch ein Angreifer tun würde. Diese Art Test kann entweder durch einen spezialisierten Dienstleister erfolgen, oder man greift - entsprechende Kenntnis der Materie vorausgesetzt - selbst zu Schwachstellen-Scannern wie Metasploit.
Um stets über neue Schwachstellen in der installierten Software - Shop-System, Datenbanken, CMS, zugrunde liegendes Betriebssystem, Web-Server und so weiter - informiert zu bleiben, empfiehlt sich das Abonnement eines kommerziellen Informationsdienstes, wie ihn beispielsweise Secunia oder Symantec bieten. Anhand der gelieferten Informationen kann dann die eigene Bedrohungslage bestimmt werden. Außerdem lässt sich auf Basis der Daten die Frage beantworten, welche Systeme aufgrund des erhöhten Risikos zuerst mit Sicherheits-Updates versehen werden müssen.