Shopsystem-Sicherheit: Wie man sich vor Angriffen schützt

  • Maximilian Briegel
  • 01.02.2023

Einführung in die Bedeutung von Shopsystem-Sicherheit

Die Sicherheit von Online-Shops ist im E-Commerce von entscheidender Bedeutung, um das Vertrauen von Kunden zu gewinnen, Datenverlust zu vermeiden und vor wirtschaftlichen Schäden durch Cyberangriffe geschützt zu sein. Sicherheitslücken und Hackerangriffe können im schlimmsten Fall sogar das ganze Unternehmen in Gefahr bringen. Regelmäßig lesen wir Berichte von Unternehmen und Online-Shops, die gehackt wurden und unter anderem deshalb Insolvenz anmelden müssen. Ein abschreckendes Beispiel ist aktuell der Fahrradhersteller Prophete. Es ist daher wichtig, dass Online-Shop-Betreiber die Sicherheit ihres Systems regelmäßig überprüfen und verbessern, um sich vor Angriffen zu schützen. In diesem Artikel zeigen wir Ihnen, wie Sie sich vor Angriffen schützen und wie Sie die Sicherheit Ihres Shopsystems verbessern können.

Häufigste Angriffe auf Online-Shops

Laut Erhebungen aus den Jahren 2021/2022 waren in Deutschland 49 % aller Unternehmen von Cyberangriffen betroffen. Der durchschnittliche Schaden, den diese Angriffe verursachten, lag bei 18.712 €. Interessanterweise entstand ein beträchtlicher Teil der Angriffe aus fahrlässiger Handlung ehemaliger Mitarbeiter, die ohne böse Absicht handelten. Folgende Angriffe treten am häufigsten auf:

  • Mit SQL-Injections versuchen Angreifer, schädlichen Code in die Datenbank eines Online-Shops hinzuzufügen. Dadurch können sie sensible Daten wie Kundeninformationen und Kreditkartendaten stehlen. So schützen Sie sich: Verwenden Sie parametrisierte Abfragen anstelle von dynamischen Abfragen. Dies verhindert, dass Angreifer Schadcode in die Abfragen einfügen können. Es ist auch wichtig, die Datenbank regelmäßig zu überprüfen und auf ungewöhnliche Aktivitäten zu achten.

  • Cross-Site-Scripting (XSS) verwenden Angreifer, um Schadcode in die Webseite eines Online-Shops einbetten, indem sie diesen in Eingabefeldern wie Suchmaschinen und Kontaktformularen eingeben. Dadurch können sie die Daten von Besuchern stehlen oder die Funktionsweise der Webseite beeinträchtigen. So schützen Sie sich: Verwendung von serverseitigen Input-Validierungen und Daten Sanitisierung von Eingaben. Dies verhindert, dass Angreifer schädlichen Code in Eingabefelder eingeben können. Es ist auch wichtig, regelmäßig alle Eingabefelder und Formulare zu überprüfen und auf ungewöhnliche Aktivitäten zu achten.

  • Phishing ist eine Methode, bei der Angreifer versuchen, sensible Daten wie Passwörter und Kreditkartendaten von Kunden zu stehlen, indem sie sie dazu bringen, auf gefälschte Websites oder E-Mails zu klicken. So schützen Sie sich: Etablierung von Sicherheitsrichtlinien** für die Verwendung von E-Mails sowie die Fortbildung von Mitarbeitern und Kunden, wie gefälschte E-Mails erkannt werden können, helfen das Risiko zu minimieren. Es ist auch wichtig, niemals vertrauliche Informationen wie Passwörter oder Kreditkartendaten per E-Mail zu senden oder zu empfangen.

  • Distributed Denial of Service (DDoS) Angriffe versuchen, eine Webseite durch den massiven Zustrom von Verkehr zum Absturz zu bringen und damit den Service zu beeinträchtigen oder gar unmöglich zu machen. So schützen Sie sich: Verwendung von Firewalls und anderen Netzwerk-Sicherheitstechnologien, um den Verkehr zu filtern und unerwünschte Verbindungen abzulehnen. Die Überprüfung der Netzwerkeinstellungen auf ungewöhnliche Aktivitäten, sollte ebenfalls regelmäßig erfolgen.

  • File Inclusion (LFI / RFI) Angriffe zielen auf Dateien auf dem Server des Online-Shops ab, die normalerweise nicht für verfügbar sind und Schaden anrichten oder sensible Informationen stehlen. So schützen Sie sich: Serverseitigen Input-Validierungen und Daten Sanitisierung

Schutz vor Hackern und Malware

Neben den üblichen Sicherheitsvorkehrungen, wie aktuelle Software, sich regelmäßig ändernde sowie starke Passwörter, das Verwenden einer Firewall oder allgemein angebrachter Vorsicht sollte unbedingt eine zwei Faktor Authentifizierung eingeführt werden.

Es gibt keine 100%ige Garantie für Sicherheit. Durch die Anwendung dieser Tipps und Tricks kann sich das Risiko von Angriffen jedoch erheblich reduzieren und so den Schutz der persönlichen Daten und des Unternehmens verbessern.

Maßnahmen zur Verbesserung der Shopsystem-Sicherheit


  • Stellen Sie sicher, dass Ihr Online-Shop-System und alle dazugehörigen Plugins und Anwendungen stets auf dem neuesten Stand sind. Entfernen Sie nicht mehr benötigte Plugins.

  • Verwenden Sie sichere Passwort-Praktiken, indem Sie starke und regelmäßig geänderte Passwörter für alle Administratorkonten und Datenbankzugänge verwenden.

  • Sichern Sie die Datenübertragung, indem Sie eine sichere Verbindung (HTTPS) für Ihre Webseite verwenden, um sicherzustellen, dass die Daten, die zwischen Kunden und Ihrem Server ausgetauscht werden, verschlüsselt sind.

  • Schützen Sie die Daten Ihrer Kunden, indem Sie regelmäßig die Datenschutzeinstellungen Ihres Shop-Systems überprüfen und aktualisieren.

  • Erstellen Sie regelmäßig Backups Ihrer wichtigen Daten und speichern Sie diese an sicheren Orten, um im Falle eines Angriffs oder eines anderen Notfalls die Daten wiederherstellen zu können.

  • Erhöhen Sie die Sicherheit Ihrer Administratorkonten, indem Sie Authentifizierungsmechanismen wie die Zwei-Faktor-Authentifizierung verwenden.

  • Verbessern Sie die Verfügbarkeit Ihrer Webseite und schützen Sie sich vor Angriffen auf Ihre Server durch die Verwendung eines Content-Delivery-Networks (CDN).

  • Implementieren Sie Sicherheitsebenen wie z.B. CAPTCHA oder biometrische Authentifizierung, um automatisierte Angriffe zu verhindern. Schulen Sie Ihre Mitarbeiter regelmäßig in Bezug auf sichere Praktiken und die Erkennung von möglichen Angriffen.

  • Überwachen Sie Ihre Webseiten-Statistiken und Analyse Tools, um eventuelle Abnormalitäten in Bezug auf Traffic und Nutzung zu erkennen.

  • Nutzen Sie professionelle Sicherheitsdienste wie Penetrationstests oder Sicherheitsscanning um Schwachstellen in Ihrem System zu identifizieren und zu beheben.

  • Stellen Sie sicher, dass alle Zahlungsabwicklungen über eine sichere Verbindung (HTTPS) und durch eine PCI-DSS (Payment Card Industry Data Security Standard) konforme Lösung abgewickelt werden, um die Sicherheit von Kreditkartendaten zu gewährleisten.

  • SBOM Eine Software Bill of Materials (SBOM) stellt eine detaillierte Inventarliste aller Komponenten, Bibliotheken und Abhängigkeiten dar, aus denen eine Software besteht. Sie gibt einen klaren und umfassenden Einblick in die Zusammensetzung der Software und ermöglicht es Nutzern und Unternehmen, die Risiken, die mit ihrer Verwendung verbunden sind, besser zu verstehen und zu adressieren. Mehr zum Thema SBOM können Sie hier lesen


Bad Practice

Folgendes sollten Sie unbedingt vermeiden.

  • Die Nutzung von nicht unterstützer oder veralteter Software
  • Die Verwendung von bekannten/ festen/ standardmäßigen Passwörtern und Anmeldeinformationen
  • Ein-Faktor-Authentifizierung für den Fern- oder Verwaltungszugang zu Systemen.
  • Nicht-Löschung von Software, Plugins und oder Applikationen, die nicht mehr gebraucht werden
  • Falsche, unvollständige oder zu seltene Patches und Updates
  • Verwendung von browserbasierten Passwortmanagern. Bitwarden oder 1Password sind sichere Alternativen

Datenschutz und Datensicherheit

Der Konnex von Datenschutz und Datensicherheit stellt einen unverzichtbaren Faktor dar, wenn es darum geht, Online-Shops vor Hackerangriffen und Malware zu schützen. Kundendaten, insbesondere sensitive Informationen wie Kreditkartendaten, sollten angemessen geschützt werden. Dies erfordert die Anwendung von Sicherheitsmaßnahmen wie Verschlüsselungstechnologien und die Einhaltung von Branchenstandards wie dem PCI-DSS.

Ebenso wichtig ist die Gewährleistung einer sicheren Aufbewahrung der Daten, um sie vor unerwünschtem Zugriff, Verlust oder Zerstörung zu schützen. Regelmäßige Backups und die Verwendung von Sicherheitstechnologien wie Firewalls und Antivirus-Software tragen, wie im vorherigen Abschnitt tiefgreifend beschrieben, hierbei entscheidend zum Schutz bei.

Geltende Datenschutzgesetze und -vorschriften wie die EU-DSGVO und die CCPA sollten unbedingt eingehalten werden, um eine konforme Handhabung von Kundendaten sicherzustellen, das Vertrauen der Kunden zu erhalten und sich Ärger mit Abmahnungen zu sparen. Gerade beim Thema Tracking und Tagging von Kundendaten ist große Vorsicht geboten. Clientseitiges Tracking und Tagging gerät zunehmend ins Visier der Datenschützer. Daher macht es durchaus Sinn, mittel- bis langfristig Alternativen wie serverseitiges Tracking und Tagging zu suchen.

Abschließend lässt sich sagen, dass die Integration von Datenschutz- und Datensicherheitsmaßnahmen in die Geschäftsprozesse von Online-Shops unerlässlich ist, um das Vertrauen der Kunden zu gewinnen und die Integrität sowie den Erfolg des Unternehmens zu erhalten.

Über Uns

Als Freiburger Digital Agentur mit Standorten in Berlin und Lörrach begleiten wir seit über 20 Jahren Onlineshops, Webseitenbetreiber und Unternehmen aus unterschiedlichen Branchen. Wir sorgen dafür, dass die Wahrscheinlichkeit eines erfolgreichen Angriffs deutlich reduziert wird und beraten auch Sie gerne hinsichtlich geeigneter Schutzmaßnahmen.

Kontakt