Wenn Online-Shops Opfer von Phishing-Attacken werden
Checkliste: So schützen Sie Ihren Online-Shop
Diese zehn Tipps helfen, den Shop vor Phishing-Attacken zu schützen:
1. Verschlüsseln
Die Kommunikation mit dem Kunden sollte immer über eine gesicherte HTTPS-Verbindung erfolgen.
2. Authentifizieren
Online-Shops sollten die Spezifikation DMARC (Domain-based Message Authentication, Reporting and Conformance) für ihre E-Mail-Kommunikation verwenden, die einen Missbrauch von Absenderadressen durch Phishing-Versender erschwert.
3. Zwei-Faktoren-Authentifizierung
Kunden-, aber auch Mitarbeiterkonten lassen sich wesentlich schwerer kapern, wenn für den Zugang nicht nur ein Passwort, sondern zusätzlich ein auf dem Smartphone angezeigter, temporär gültiger Code notwendig ist.
4. "Salzen"
Passwörter sollten nicht nur verschlüsselt (gehasht), sondern zusätzlich um eine beliebige Zeichenfolge verlängert werden. Dieser "Salt" genannte Anteil erweitert das eigentliche Passwort und erhöht so den Aufwand der Dechiffrierung deutlich.
5. Sicherheitslücken überwachen
Shop-Betreiber sollten ihren Shop regelmäßig auf Sicherheitslücken überprüfen. Neben kommerziellen Monitoring-Systemen kann dabei auch das vom BMWi geförderte Projekt SIWECOS helfen.
6. Updates einspielen
Ältere Versionen von Shop-Systemen wie Magento oder XT-Commerce weisen häufig Sicherheitslücken auf. Sie sollten deshalb immer auf dem neuesten Stand gehalten werden.
7. Rechte einschränken
Zugangsrechte sollten abgestuft vergeben und Mitarbeitern nur der Zugriff auf Ressourcen gewährt werden, die sie für ihre Arbeit auch wirklich benötigen.
8. Mitarbeiter schulen
Über regelmäßige Trainings lassen sich Sicherheitsmaßnahmen in den Köpfen der Belegschaft verankern. Neben Präsenzveranstaltungen eignen sich auch E-Learning-Angebote.
9. Daten trennen
Sensible Daten wie Passwörter und Zahlungsdaten sollten verschlüsselt und separat auf eigenen Systemen gespeichert und nur für Transaktionen in das Live-System geladen werden.
10. Risiken begrenzen
Cyber-Versicherungen können die finanziellen Folgen eines Sicherheitsvorfalls abmildern. Vor dem Abschluss ist zudem meist ein Security Audit nötig, über das sich mögliche Schwachstellen aufdecken lassen.
Die Kommunikation mit dem Kunden sollte immer über eine gesicherte HTTPS-Verbindung erfolgen.
2. Authentifizieren
Online-Shops sollten die Spezifikation DMARC (Domain-based Message Authentication, Reporting and Conformance) für ihre E-Mail-Kommunikation verwenden, die einen Missbrauch von Absenderadressen durch Phishing-Versender erschwert.
3. Zwei-Faktoren-Authentifizierung
Kunden-, aber auch Mitarbeiterkonten lassen sich wesentlich schwerer kapern, wenn für den Zugang nicht nur ein Passwort, sondern zusätzlich ein auf dem Smartphone angezeigter, temporär gültiger Code notwendig ist.
4. "Salzen"
Passwörter sollten nicht nur verschlüsselt (gehasht), sondern zusätzlich um eine beliebige Zeichenfolge verlängert werden. Dieser "Salt" genannte Anteil erweitert das eigentliche Passwort und erhöht so den Aufwand der Dechiffrierung deutlich.
5. Sicherheitslücken überwachen
Shop-Betreiber sollten ihren Shop regelmäßig auf Sicherheitslücken überprüfen. Neben kommerziellen Monitoring-Systemen kann dabei auch das vom BMWi geförderte Projekt SIWECOS helfen.
6. Updates einspielen
Ältere Versionen von Shop-Systemen wie Magento oder XT-Commerce weisen häufig Sicherheitslücken auf. Sie sollten deshalb immer auf dem neuesten Stand gehalten werden.
7. Rechte einschränken
Zugangsrechte sollten abgestuft vergeben und Mitarbeitern nur der Zugriff auf Ressourcen gewährt werden, die sie für ihre Arbeit auch wirklich benötigen.
8. Mitarbeiter schulen
Über regelmäßige Trainings lassen sich Sicherheitsmaßnahmen in den Köpfen der Belegschaft verankern. Neben Präsenzveranstaltungen eignen sich auch E-Learning-Angebote.
9. Daten trennen
Sensible Daten wie Passwörter und Zahlungsdaten sollten verschlüsselt und separat auf eigenen Systemen gespeichert und nur für Transaktionen in das Live-System geladen werden.
10. Risiken begrenzen
Cyber-Versicherungen können die finanziellen Folgen eines Sicherheitsvorfalls abmildern. Vor dem Abschluss ist zudem meist ein Security Audit nötig, über das sich mögliche Schwachstellen aufdecken lassen.
