Digitale Sicherheit im Onlineshop, Quelle: pixabay.com

Das Thema Sicherheit ist für Onlineshops ein Dauerbrenner. Hacker und Softwarehersteller befinden sich in einem ewigen Wettrennen. Fast im Wochentakt werden Berichte zu kritischen Sicherheitslücken in CMS- und Shop-Lösungen publik. Gerade erst wies sogar die Stiftung Warentest erneut auf ein bereits seit Monaten bekanntes Sicherheitsproblem bei einem großen Open-Source-Shopsystem hin, das in den einzelnen Shops bis heute nicht vollständig ausgeräumt ist. Betroffen von Sicherheitslücken sind kleine Shopbetreiber ebenso wie große Player, wie der Fall Yahoo zeigt.

Sicherheit in B2B Onlineshops

Alles nicht relevant für B2B e-Commerce? Selbstverständlich sind kompromittierte Kundendaten auch im B2B e-Commerce ein Problem. Sie sollten einen solchen Datengau in Ihrem Shop unbedingt verhindern. Darüber hinaus hat das Thema jedoch noch eine viel größere Dimension: im Zeitalter der integrierten Systeme, in denen der Onlineshop Daten direkt in interne Firmensysteme wie ERP, CRM oder PIM einbindet, sind die Risiken von Sicherheitslücken unternehmenskritisch. Einen B2B Onlineshop als Standalone-Lösung zu betreiben ist jedoch auch keine Option. Die Frage ist also, wie schützen Sie Ihr ERP und die wichtigen Daten?

Das richtige Konzept bei der direkten Anbindung an firmeninterne Systeme

Viele Systeme bieten heute von Haus aus die Anbindung über offene Standardschnittstellen wie z.B. Webservices oder die REST API. Dies ist praktisch und erleichtert die Integration verschiedener Systeme. Der Nachteil hinsichtlich der Sicherheit im Onlineshop ist jedoch, dass diese Schnittstellen auch Einfallstore für einen Angriff darstellen, wie erst kürzlich im Fall der WordPress REST API gesehen.

Eine bewährte Lösung stellt hier das Zwischenschalten einer Sicherheitsinstanz dar. So fungiert im Fall unserer Shoplösung silver.eShop der eingesetzte web.connector als Sicherheitsinstanz. Es erfolgt kein direkter Zugriff vom Onlineshop, der sich in der DMZ befindet, auf das ERP. Es werden nur  definierte Nachrichten zum ERP oder CRM übergeben. Darüber hinaus beinhaltet der Shop ein Monitoring, welches bei Unregelmäßigkeiten den Administrator informiert.

„Häufig wird auf Basis eines VW Golf (=B2C Shop) ein LKW gebaut (=komplexer und integrierter B2B Shop). Für den Straßenverkehr unterbindet zumindest in Deutschland der TÜV oder die Dekra dies. Für Online-Shops gibt es entsprechende Prüfungen leider nicht.“

Neben fehlenden technischen Maßnahmen führen oftmals konzeptionelle Fehler zu hohen Sicherheitsrisiken: bei vielen Online-Shops kommen die Daten per Import aus ERP- oder CRM-Systemen. Wenn Sie 10.000 vollständige Kundendatensätze in den Shop importieren, dann stellt dies bereits ein hohes Risiko dar. Denn im Falle eines Angriffs sind alle diese Kundendatensätze betroffen, und Sie haben ein massives Problem an der Hand. Allerdings unterstützen viele Standard-Shops nur diese unsichere Import-Variante.

Moderne und sichere Software-Plattformen

Entscheidenen Einfluss auf die Sicherheit hat die verwendete Software oder Plattform. Je älter die Plattform, umso kritischer ist in der Regel die Sicherheitsfrage. Es gibt zudem unterschiedliche Modelle, wie Zugriffsrechte und Sicherheit zu regeln sind.

Das in silver.eShop integrierte CMS eZ Platform setzt so z.B. auf ein rollenbasiertes Zugriffsmodell. Es gestattet ohne Zuweisung einer entsprechenden Rolle zunächst einmal keinerlei Zugriff auf Inhalte oder Funktionen irgendwelcher Art. Dieses Sicherheitskonzept wird per Definition für alle Funktionen und Inhalte der Plattform genutzt.  eZ Platform ist in sicherheitsrelevanten Bereichen wie bei Banken im Einsatz. Die Software muss sich deshalb regelmäßigen Überprüfungen stellen.

Auch das eingesetzte Framework Symfony gilt gemeinhin als eines der modernsten und sichersten. Jedoch können Entwickler auch hier schwerwiegende Fehler machen. Und diese können Hackern Tür und Tor öffnen.

Viele Anpassungen machen Systeme unsicher

Bei vielen integrierten B2B  e-Commerce-Projekten wird keine Standardlösung für B2B eingesetzt. Die Entwickler passen das Produkt so stark an, dass Sicherheitslücken entstehen. Technische Restriktionen zwingen oftmals zu ungewöhnlichen Lösungen. Viele an sich sichere Module werden komplett neu entwickelt, zu viele Daten aus dem ERP müssen importiert werden. Dies kann zu erheblichen Sicherheitsrisiken führen.

Häufig wird auf Basis eines VW Golf (=B2C Shop) ein LKW gebaut (=komplexer und integrierter B2B Shop). Für den Straßenverkehr unterbindet zumindest in Deutschland der TÜV oder die Dekra dies. Für Online-Shops gibt es entsprechende Prüfungen leider nicht.

Achten Sie also bei der Auswahl eines Shopsystems darauf, dass Sie eine B2B-Lösung einsetzen, die auch dafür entwickelt wurde.

Mehr Sicherheit durch Updates, Updates, Updates

Im Wettlauf von Sicherheitsexperten, Entwicklern, Hackern und Datendieben wird es zwangsläufig immer wieder Situationen geben, in denen Sicherheitslücken aufgedeckt werden. Wenn das der Fall sein sollte, dann hat ein Sicherheitsupdate oberste Priorität. Regelmäßige Sicherheitsupdates müssen zeitnah eingespielt werden. Wenn möglich, greifen Sie bei Ihrem B2B-Shopsystem auf automatisierte Updates zurück.

Im Rahmen eines eZ Enterprise-Vertrags erhalten Sie übrigens Sicherheitsupdates automatisch, im Gegensatz zur Open-Source-Version.

Zum Weiterlesen: Das Blog onlineshop-basics.de hat vor einiger Zeit in einem Artikel die verschiedenen Risiken für Onlineshops und mögliche Lösungsansätze informativ und übersichtlich zusammengestellt.

https://blog.silversolutions.de/wp-content/uploads/2017/03/castle-2070777_640.jpghttps://blog.silversolutions.de/wp-content/uploads/2017/03/castle-2070777_640-150x150.jpgSusan GutperlB2B.praxisB2B.strategieB2B.technologieB2B,Best Practice,E-Commerce,ERP,PIM,Sicherheit,silver.eShop,Symfony,Tipps & Tricks,TrendsDas Thema Sicherheit ist für Onlineshops ein Dauerbrenner. Hacker und Softwarehersteller befinden sich in einem ewigen Wettrennen. Fast im Wochentakt werden Berichte zu kritischen Sicherheitslücken in CMS- und Shop-Lösungen publik. Gerade erst wies sogar die Stiftung Warentest erneut auf ein bereits seit Monaten bekanntes Sicherheitsproblem bei einem großen Open-Source-Shopsystem...Die e-Commerce B2B Experten bloggen über Händler-Shops, ERP, PIM und das integrierte CMS eZ Publish