Der Handel mit gestohlenen Anmeldedaten ist nach wie vor ein florierendes Geschäft. Da noch immer viele User auf unterschiedlichen Plattformen die gleichen Passwörter verwenden, haben es Cyberkriminelle mit Methoden wie Credential Stuffing verhältnismäßig leicht, E-Mail-Adressen und Zugangsdaten nutzbar zu machen. Entsprechend wichtig ist es für Shop-Betreiber, Schutzmaßnahmen zu treffen.
Was ist Credential Stuffing?
Beim Crendential Stuffing handelt es sich um eine Brute-Force-Methode. Dabei testen Bot-Netzwerke auf verschiedenen Online-Plattformen systematisch Millionen von Anmeldeinformationen, um Zugang zu den dahinterliegenden Profilen zu erlangen. Mit diesen können dann beispielsweise Überweisungen oder Einkäufe getätigt werden. Die Zugangstaten stammen meistens aus Sicherheitslücken großer Unternehmen.
Angreifer nutzen bei dieser Methode unter anderem den Umstand aus, dass viele Nutzer bei unterschiedlichen Profilen dieselben Login-Daten verwenden. Wenn sie sie erst einmal herausgefunden haben, können sie sie bei Social-Media-Profilen, aber auch bei Bankzugängen und vielen anderen Diensten ausprobieren.
So schützen Sie Ihren Online-Shop
Hacker halten bei ihrer Arbeit nach Schwachstellen Ausschau. Wann immer sie einen Zugang zu den Backend-Bereichen von Shops, Banken oder anderen Einrichtungen finden, werden sie diesen auch nutzen. Deshalb ist es für Webseitenbetreiber wichtig, Schwachstellen zu beseitigen. Das funktioniert mit den folgenden Tipps.
- Nutzen Sie komplexe Passwörter
Wer einen Online-Shop betreibt, verwendet im Normalfall mehrere Passwörter. Sie sind etwa für den Administrationszugriff auf das Shop-System, den Datenbank-Zugang und den Login-Bereich des Webhosters erforderlich. Aus Bequemlichkeit verwenden immer noch viele Webseitenbetreiber auf mehreren Seiten dasselbe einfache Passwort. Wenn der Zugang zu einer Seite entschlüsselt ist, sind auch alle anderen bedroht.
Verwenden Sie deshalb auf jeder Seite ein einzigartiges komplexes Passwort. Es sollte mindestens 10 Zeichen lang sein und Zahlen, Groß- und Klein-Buchstaben sowie Sonderzeichen enthalten. Idealerweise wechseln Sie das Passwort auch in regelmäßigen Abständen.
Tipp: Es ist nicht nötig, sich alle Passwörter zu merken. Mittlerweile gibt es viele Passwort-Manager, mit denen man auch komplexe Zugangsschlüssel unkompliziert verwalten kann. Einen umfangreichen Test verschiedener Lösungen finden Sie auf heise.de.
- Regelmäßige Updates und sichere Verbindung
Eine weitere Voraussetzung für einen zuverlässigen Schutz ist ein aktuelles Shopsystem. Genau wie Ihr Betriebssystem und Ihre Virensoftware sollte es stets auf dem neuesten Stand sein. Am einfachsten machen Sie es sich, wenn Sie die automatische Update-Funktion aktivieren. So gehen Sie sicher, dass Sie alle sicherheitsrelevanten Neuerungen stets aus erster Hand erhalten.
Achten Sie in diesem Zusammenhang auch auf eine sichere Verschlüsselung. Die wichtigsten Protokolle sind Secure Sockets Layer (SSL) und Transport Layer. Sie sichern Informationen, die über ein unsicheres Netzwerk gesendet werden. Dies geschieht auf dem Wege der Verschlüsselung zwischen Server und Anwendung. Prüfen Sie deshalb, ob Ihr Shop über die entsprechenden Zertifikate verfügt und integrieren Sie sie bei Bedarf.
- Rechteverwaltung und sparsame Datensammlung
Es empfiehlt sich, Schreibrechte nur dort zu vergeben, wo sie tatsächlich benötigt werden. Je mehr Dateien mit Schreibrechten versehen sind, desto mehr Ansatzpunkte haben Hacker für ihre Angriffe. Besonders gefährlich ist das bei Dateien, die Daten von Kunden auslesen.
Speichern Sie aus diesem Grund auch nie mehr Kundendaten als nötig. Das betrifft Informationen zur Person ebenso wie persönliche Identifikations- und Zahlungsinformationen. Auch wenn es bei Abonnements mitunter nicht ohne weiteres möglich ist, darauf zu verzichten, sollten Sie die Menge der gesammelten Daten so gering wie möglich halten.
Wenn Sie Hilfe bei diesem oder anderen Themen aus dem Security-Bereich benötigen, können Sie auch eine IT-Betreuung für Unternehmen in Anspruch nehmen. Dabei haben Sie den Vorteil, dass Sie sich auf Ihr Tagesgeschäft konzentrieren können, während Ihre Daten von erfahrenen Fachleuten geschützt werden.
- Verschlüsseln Sie Ihre Daten
Trotz aller Sicherheitsmaßnahmen ist eine hundertprozentige Absicherung nicht möglich. Auf Schwachstellen wie Zero-Day-Exploits kann man in den meisten Fällen nur noch reagieren. Deshalb ist es umso wichtiger, sich auch für diese Ernstfälle vorzubereiten. Eine gute Möglichkeit besteht darin, seine Daten verschlüsselt abzuspeichern und den Schlüssel in sicherer Entfernung zu den Daten aufzubewahren. Wenn es einem Angreifer gelingt, Zugriff auf Ihr System zu erlangen, findet er dort lediglich unlesbare Daten vor.
Bild: © scecoret/Adobe Stock