Sicherheit im B2B E-Commerce
Dieser Beitrag wurde hier im Original veröffentlicht.
Das Thema Sicherheit ist für Onlineanbieter ein Dauerbrenner. Hacker und Softwarehersteller befinden sich in einem ewigen Wettrennen. Fast im Wochentakt werden Berichte zu kritischen Sicherheitslücken in CMS- und Shop-Lösungen publik. Sogar die Stiftung Warentest wies erneut auf ein bereits seit Monaten bekanntes Sicherheitsproblem bei einem großen Open-Source-Shopsystem hin, welches in den einzelnen Shops bis heute nicht vollständig ausgeräumt ist. Betroffen von Sicherheitslücken sind kleine Shopbetreiber ebenso wie große Player, wie der Fall Yahoo zeigt.
Sicherheit in B2B Onlineshops
Alles nicht relevant für B2B e-Commerce? Selbstverständlich sind kompromittierte Kundendaten auch im B2B e-Commerce ein Problem und müssen so gut es geht verhindert werden. Darüber hinaus hat das Thema jedoch noch eine viel größere Dimension: im Zeitalter der integrierten Systeme, in denen der Onlineshop Daten direkt in interne Firmensysteme wie ERP, CRM oder PIM einbindet, sind die Risiken von Sicherheitslücken unternehmenskritisch. Einen B2B Onlineshop als Standalone-Lösung zu betreiben ist jedoch auch keine Option. Die Frage ist also, wie schützen Sie Ihr ERP und die wichtigen Daten?
Das richtige Konzept bei der direkten Anbindung an firmeninterne Systeme
Viele Systeme bieten heute von Haus aus die Anbindung über offene Standardschnittstellen wie z.B. Web Service oder die REST API. Dies ist praktisch und erleichtert die Integration verschiedener Systeme. Der Nachteil ist jedoch, dass diese Schnittstellen auch Einfallstore für einen Angriff darstellen, wie erst kürzlich im Fall der WordPress REST API gesehen.
Eine bewährte Lösung stellt hier das Zwischenschalten einer Sicherheitsinstanz dar. Es erfolgt kein direkter Zugriff vom Onlineshop (DMZ) auf das ERP. Es werden nur definierte Nachrichten zum ERP oder CRM übergeben. Darüber hinaus beinhalten Shops im besten Fall ein Monitoring, welches bei Unregelmäßigkeiten den Administrator informiert.
Neben fehlenden technischen Massnahmen führen oftmals bereits konzeptionelle Fehler zu hohen Sicherheitsrisiken: bei vielen Online Shops werden Daten aus ERP oder CRM Systemen importiert. Wenn 10.000 vollständige Kundendatensätze in den Shop importiert werden, dann stellt dies bereits ein hohes Risiko dar. Denn im Falle eines Angriffs sind alle diese Kundendatensätze betroffen und man hat ein massives Problem. Viele Standard Shops unterstützen nur diese Import Variante.
Moderne und sichere Software-Plattformen
Unabhängig davon, ob es sich um ein ob B2C oder B2B e-Commerce Angebot handelt, hat die die verwendete Software oder Platform entscheidenen Einfluss auf die Sicherheit. Je älter die Platform, umso kritischer ist in der Regel die Sicherheitsfrage. Es gibt zudem unterschiedliche Modelle, wie Zugriffsrechte und Sicherheit geregelt werden.
So nutzt die von silver.solutions entwickelte e-Commerce Lösung silver.eShop das von eZ Platfom Enterprise zur Verfügung gestellte rollenbasiertes Zugriffsmodell. Ohne Zuweisung einer entsprechenden Rolle ist zunächst einmal keinerlei Zugriff auf Inhalte oder Funktionen irgendwelcher Art gestattet. Dieses Sicherheitskonzept wird per Definition für alle Funktionen und Inhalte der e-Commerce und CMS Plattform genutzt.
Von unschätzbarem Wert in Sachen Sicherheit ist auch der Hersteller-Support, den der Abschluss eines eZ Enterprise Vertrages garantiert. Regelmäßige Patches schließen etwaige Sicherheitslücken sofort. Neue Features, neue AddOns und Verbesserungen der User Experience erhalten Subscription Kunden ebenfalls automatisch. Mit Long-Term-Support-Versionen unterstützt eZ die Kunden langfristig und schafft Planungssicherheit für die Zukunft.
Dank des Zusammenspiels aus sicherer Software und zuverlässigem Herstellersupport wird eZ auch in sicherheitsrelevanten Bereichen wie bei Banken und Verwaltungen eingesetzt und dort regelmäßig überprüft.
Viele Anpassungen machen Systeme unsicher
Bei vielen integrierten e-Commerce Projekten entscheidet man sich gegen eine dezidierte B2B Lösung. Um trotzdem alle notwendigen Funktionen zu erhalten, passen die Entwickler eine Standard e-Commerce Lösung sehr stark an. Das bei eZ eingesetzte Framework Symfony gilt gemeinhin als eines der modernsten und sichersten, jedoch können Entwickler auch hier schwerwiegende Fehler machen, die Hackern Tür und Tor öffnen. Oftmals erzwingen auch technische Restriktionen ungewöhnlichen Lösungen: viele an sich sichere Module werden komplett neu entwickelt. Zu viele Daten aus dem ERP werden direkt importiert. Dies kann zu erheblichen Sicherheitsrisiken führen.
Häufig wird auf Basis eines VW Golf (=B2C Shop) ein LKW gebaut (=komplexer und integrierter B2B Shop). Für den Strassenverkehr unterbindet zumindest in Deutschland der TÜV oder die Dekra dies. Für Online-Shops gibt es entsprechende Prüfungen leider nicht.
Achten Sie also darauf, dass Sie eine B2B-Lösung einsetzen, die auch dafür entwickelt wurde.
Updates, Updates, Updates
Im Wettlauf von Sicherheitsexperten, Entwicklern, Hackern und Datendieben wird es zwangsläufig immer wieder Situationen geben, in denen Sicherheitslücken aufgedeckt werden. Wenn das der Fall sein sollte, dann hat ein Sicherheitsupdate oberste Priorität. Man kann es nicht genug betonen: Regelmäßige Sicherheitsupdates müssen zeitnah eingespielt werden. Greifen Sie am besten auf Wartungsverträge und automatisierte Updates zurück.
Zum Weiterlesen: Blog onlineshop-basics.de hat vor einiger Zeit in einem Artikel die verschieden Risiken für Onlineshops und mögliche Lösungsansätze informativ und übersichtlich zusammengestellt