Der E-Commerce ist in diesen zunehmend digitalisierten Zeiten so wichtig wie nie zuvor. Seit Jahren verändert er die Art und Weise, wie Menschen einkaufen. Mit nur wenigen Klicks aus den eigenen vier Wänden wird dabei vor allem der Faktor Komfort großgeschrieben. Dennoch: Durch den großen Erfolg des E-Commerce an sich treten leider auch negative Randerscheinungen zutage, etwa im Hinblick auf die Sicherheit und potentielle Cyber-Bedrohungen.
Ungeschützte Dienste und Attacken
Sobald ein Service exportiert wird, jedoch nicht durch eine Vielzahl an Berechtigungsvorschriften geschützt ist, können recht einfach Probleme entstehen. Das liegt daran, dass eine beliebige Anwendung den Dienst starten und sich verbinden kann. Somit können ohne allzu großen Aufwand Informationen leaken und nicht autorisierte Aufgaben ausgeführt werden. Demnach ist die erste Grundregel stets, den exportierten Dienst mit starken Berechtigungen zu schützen.
Eine der ärgerlichsten Bedrohungen für den E-Commerce kommt durch eine sogenannte DDoS Attacke zustande. Der sogenannte „Distributed Denial of Service“ sorgt dafür, einen Internetdienst nicht erreichbar für die Besucher zu machen. Es gibt drei Hauptwege, eine DDoS Attacke durchzuführen und damit die Dienste des Hostservers auszusetzen oder zu unterbrechen. Erstens ist dies mit Attacken durch große Datenmengen durchzuführen. Des Weiteren besteht die Option eines Protokoll-Angriffs. Zu guter Letzt sind DDoS Attacken oft auch als Attacken über die Anwendungsschicht vorzufinden. Der Unterschied zu einer DoS Attacke liegt darin, dass statt eines infizierten Gerätes eine Vielzahl zur gleichen Zeit, teils rund um die Welt verteilt, genutzt wird.
Protokolle und problematische Javascript-Schwächen
Die bereits angesprochenen Protokolle können oftmals zum Angriffspunkt werden. Insbesondere im Mobilbereich wird immer mehr E-Commerce über Apps betrieben, welche zunehmend zum Ziel von Angriffen werden. Deshalb ist es besonders wichtig, den Trust Manager für SSL auf dem aktuellen Stand zu halten. SSL- und TLS-Protokolle werden von vielen Android-Apps für sichere Kommunikation genutzt. Um dies dauerhaft zu garantieren, müssen die Serverzertifikate regelmäßig überprüft werden. Dieses sollte erstens nicht abgelaufen sein, zweitens muss die Signatur der vertrauenswürdigen Stelle korrekt sein. Des Weiteren ist es wichtig, dass Betreff des Zertifikats und die URL übereinstimmen. Falls dem nicht so sein sollte und die SSL nicht richtig verwendet wird, ist es möglich, dass vertrauenswürdige Daten der Kunden in falsche Hände gelangen.
Schließlich werfen wir noch einen Blick auf ein letztes bekanntes Problem in der Cyber-Sicherheit des E-Commerce. Dieses lautet Remote-Code-Ausführung über eine Javascript-Schnittstelle. Da die App mit der API-Ebene JELLY_BEAN oder einer darunterliegenden Ebene die Methode addJacascriptInterface im Web-View mit nicht vertrauenswürdigem Inhalt verwenden kann, entsteht eine Anfälligkeit für Skriptangriffe via Reflektion, um öffentliche Javascript-Methoden zu nutzen.
Zusammenfassend lässt sich aussagen, dass der E-Commerce sich auf einem absoluten Höhepunkt in Erreichbarkeit und Beliebtheit befindet. Doch infolgedessen sorgt die Popularität ebenso dafür, dass die Websites und Apps ein beliebtes Ziel von Angriffen geworden sind. In den letzten Jahren stieg die Zahl der Bedrohungen um ein Vielfaches an. Sicherheit der eigenen Benutzer sollte deshalb für sämtliche im E-Commerce befindlichen Unternehmen an erster Stelle stehen, um keine Informations-Leaks zuzulassen und damit ein PR-Desaster in großem Ausmaß zu vermeiden.
Fotos: Pixabay
