Sonntag, 23. September 2018
Twitter Facebook Mister Wong Delicious stumbleupon digg Yahoo

Neueste Technologie für Administratoren

Systembetreuer im Windows-Umfeld brauchen Know-how über die neuesten Entwicklungen. Einsatzbeispiele und Tipps aus der Praxis führen zu mehr Effizienz im täglichen Betrieb. Wir bieten Skript-basierte Lösungen von Windows IT Pro exklusiv im deutschsprachigen Raum für unsere Abonnenten.

Ist es Zeit, den Warenkorb auszulagern?

Leon Adato, Head Geek bei Solarwinds; Quelle: Solarwinds

Im Dezember 2014 diskutierte SolarWinds Head Geek Lawrence Garvin in einem Artikel, ob Unternehmen mit Onlineshop die Warenkorb-Funktionalität an Dritte auslagern sollten. Sechs Monate später stellt sich diese Frage immer noch. Obwohl mittlerweile viele Unternehmen der Datensicherheit größere Bedeutung zumessen, werden immer mehr Firmen Ziel eines Hackerangriffs.

 

Tatsächlich ist Garvins Frage heute noch so aktuell, dass an dieser Stelle noch einmal umfassender darauf eingegangen werden soll. Garvin schrieb: „Eigentlich sollte es kaum möglich sein, in das angeblich doch private POS-Netzwerk eines Einzelhändlers einzudringen, doch im vergangenen Jahr passierte genau dies immer wieder"

Zum selben Thema schrieb Robert X. Cringley nur zwei Monate vor Erscheinen von Garvins Artikel: „Die POS-Systeme (also die Kassen) von Target und Home Depot wurden gehackt. Die Täter riefen Kundendaten über das Internet ab. Ohne diese Internetverbindung hätten die gestohlenen Daten nicht weitergeleitet werden können. Wenn Banken oder Einzelhandelsketten ihre Netzwerke auf den Stand von etwa 1989 zurückversetzen würden, ließe sich die aktuelle Welle an Datendiebstahlsdelikten deutlich eindämmen. Natürlich wäre dies ein teures Unterfangen, doch nicht teurer als die Verluste, die Target und andere Unternehmen derzeit hinnehmen müssen“

Cringley schlägt tatsächlich vor, das alte System aus Standleitungen zwischen den Standorten wiederaufleben zu lassen. Das ist teurer, als eine Internetverbindung über einen ISP zu buchen, kostet aber nur einen Bruchteil der Milliarde Dollar, die der letztjährige Datendiebstahl bei Target schätzungsweise an Schäden verursacht hat.

Das ist offensichtlich, aber ist es auch wichtig? Definitiv. Schließlich gibt es heutzutage geeignete Möglichkeiten, Netzwerke abzusichern. Wenn man dabei nicht nach Cringleys Konzept vorgehen möchte, dann bieten sich noch andere an. Unternehmen können auf jeden Fall nicht so weitermachen wie bisher. Optimisten gehen nun natürlich davon aus, dass man irgendwann schon eine starke neue Sicherheitstechnologie für Unternehmensnetzwerke entwickeln wird – und tatsächlich wird dies wohl auch passieren.

Doch wie auch immer diese neue Technologie zustande kommen wird, die Warenkorbfunktion von Onlineshops rückt verstärkt in den Fokus von Betreibern und Angreifern. Deshalb war es nie wichtiger als heute, Garvins Bedenken zu berücksichtigen. Nur können Unternehmen es vermeiden, sich wieder in die missliche Lage zu bringen, in einem Wettlauf gegen die Zeit ein Problem lösen zu müssen.Garvins Worte vom Dezember gelten immer noch: „Es gibt unzählige Angebote für Onlineshop-Warenkörbe – und das könnte ein großes Problem sein. Aus der Entwicklerperspektive handelt es sich um recht einfache Lösungen, doch gerade diese Unkompliziertheit macht sie möglicherweise auch unsicher. Dutzende Einzelentwickler und kleine Softwarefirmen bieten Warenkorb-Software an."

Eigenentwicklung der benötigten Software

Grundsätzlich ist es recht schwierig, sehr sichere Software zu programmieren. Durch die speziellen Anforderungen an Warenkörbe wird dieses Problem noch verschärft. Ein Warenkorb enthält schließlich Kreditkartendaten, personenbezogene Daten (Namen, Rechnungsadressen usw.) und Daten zu früheren Käufen des Nutzers, die in manchen Fällen besonders wertvoll für Angreifer sein können. Deshalb müssen die Sicherheitsmechanismen der Software besonders schwer zu überwinden sein.

Besonders sichere Software zu programmieren erfordert einen Investitionsaufwand, den sich einzelne Entwickler und auch kleine Startup-Unternehmen eher nicht leisten können. Und auch vonseiten des Onlineshop-Betreibers kann eine größere Investition nötig sein, wenn er einen sicheren Warenkorb anbieten möchte.

In einem YouTube-Video sprach Tom Scott über das Speichern von Kennwörtern für webgestützte Systeme. Seine Meinung dazu lautete: Lassen Sie die Finger davon. Oder etwas ausführlicher: „Wenn es sich irgendwie vermeiden lässt, sollten Sie Kennwörter nicht in Ihren eigenen Systemen speichern. Als Webservice-Anbieter ist es wahnsinnig einfach, dabei etwas falsch zu machen. Also lassen Sie es am besten. Wenn Sie die Anmeldung über Facebook, Twitter oder Google abwickeln lassen können, dann tun Sie das auf jeden Fall.“

Für Warenkorb-Software gilt genau dasselbe. Alle Komponenten eines Warenkorbs, z. B. die Validierung der Anmeldedaten, die Erfassung von Zahlungs- und Lieferinformationen und auch das Speichern von Kennwörtern, sind für sich schon viel komplexer als die von Scott angesprochenen Probleme. Sein Rat hinsichtlich Kennwörtern sollte also auf den gesamten Warenkorb ausgedehnt werden. Lassen Sie die Finger davon.

Unternehmen sollten eine der effektiven Warenkorblösungen nutzen, die sich mit einer einfachen Google-Suche finden lassen. Diese sind stabil, flexibel und werden sogar in verschiedenen Preiskategorien angeboten. Natürlich entbindet sie eine externe Lösung nicht von ihren Sorgfaltspflichten. Wer auch immer später die Schuld an einem Datenleck trägt, ihre Marke wird den Schaden zu spüren bekommen. Daher müssen Unternehmen die Implementierung also gut vorbereiten – und auch sich selbst darauf vorbereiten, Geld für eine solche Lösung in die Hand zu nehmen.

Und wie viel darf die Lösung nun kosten? Es ist erstaunlich, wie kurzsichtig viele Unternehmen bei diesem Thema handeln. Was kostet es, Mitarbeiter dafür ein- oder abzustellen, dass sie einen Warenkorb entwickeln und über den gesamten Lebenszyklus der Software warten? Mehr als jede der derzeit angebotenen Lösungen, so viel ist sicher.

Dieselbe Logik wendet Garvin in Bezug auf Hardware an. Er schreibt: „Des weiteren muss die Umgebung berücksichtigt werden, in der der Warenkorb ausgeführt wird. Anders als POS-Netzwerke, die, wie bereits erwähnt, als private Netzwerke betrieben werden sollten (was offenbar oft nicht der Fall ist), nützt ein Warenkorb in einem isolierten Netzwerk nichts ... er muss über das Internet zugänglich sein. Daher bergen nicht nur die Software, sondern auch deren zugehörige Systeme ein beträchtliches Risiko.“ Dem ist nichts mehr hinzuzufügen. An dieser Stelle zu sparen, wird Unternehmen teuer zu stehen kommen. So einfach ist das.

Das Fazit von Lawrence Garvin

Es gibt vielleicht eine Möglichkeit, beim Katz-und-Maus-Spiel der Internetsicherheit den Übeltätern einen Schritt voraus zu sein: Lagern Sie den Dienst an einen Anbieter aus, der die nötigen Investitionen in die Infrastruktur- und Softwaresicherheit tätigen, PCI-DSS-Compliance gewährleisten und die Anforderungen und Risiken im Bereich Kreditkarten-Datensicherheit erfüllen bzw. abwenden kann. Garvin schließt seinen Artikel mit folgenden Worten:

„Wenn schon kein Outsourcing, dann wenigstens Überwachung!“

Allerdings geht es hier nicht um ein Entweder-oder. Das Risiko für den Ruf, den Gewinn und auch für die geistige Gesundheit der Mitarbeiter, die solche Systeme warten müssen, in Unternehmen ist einfach zu groß. Es ist jetzt an der Zeit, den Warenkorb des Onlineshops in die Hände eines Serviceanbieters zu geben. Und gleichzeitig müssen sie diese externe Lösung dann auch gründlich überwachen.

Früher war es unmöglich, externe Lösungen intern zu überwachen, doch die Cloud ist mittlerweile ein fester Bestandteil des Geschäftsalltags und auch die Überwachungs-Tools werden immer intelligenter.

Unternehmen sollten sich also die Arbeit anderer schlauer Leute zunutzemachen: Sie sollten recherchieren, was die Branchenbesten zu bieten haben und entsprechend  investieren. Wenn sie es richtig anstellen, werden sie den Namen ihres Unternehmens nicht aus den falschen Gründen in den Schlagzeilen sehen.

Leon Adato, SolarWinds HeadGeek

Anmelden
Anmelden