Direkt zum Inhalt
Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Webshops: Tipps für die Absicherung

- Meldung

Webshops verarbeiten hochsensible Daten – von persönlichen Informationen bis hin zu Zahlungsdaten. Folglich sind sie ein attraktives Ziel für Angreifende und Cyberangriffe nehmen kontinuierlich zu. Die CSBW gibt Tipps, die die Sicherheit von Webshops erhöhen.
Grafik Hände zeigen Schloss und Schutzschild auf Tablet

© CSBW

Webshops sind ein beliebter Vertriebskanal. Sie ermöglichen es Kundinnen und Kunden, komfortabel einzukaufen. Gleichzeitig verarbeiten Webshops zahlreiche sensible und personenbezogene Daten wie Namen, Adressen und Zahlungsinformationen. Sie sind daher ein attraktives Ziel für Angreifende. Kriminelle haben es etwa darauf abgesehen, personenbezogene Daten zu stehlen, Bestellungen zu manipulieren, Rechnungen zu fälschen oder die Erreichbarkeit der Dienste lahmzulegen.

Für die Betreibenden ist es daher besonders wichtig, die Sicherheitseinstellungen ihres Webshops sorgfältig zu wählen und regelmäßig zu pflegen. Mit den folgenden, gut umsetzbaren Maßnahmen lässt sich die Sicherheit für einen Webshop deutlich erhöhen:

  • Passwörter sind der Schlüssel für den Zugriff auf personenbezogene Daten. Nutzen Sie daher ausschließlich lange Passwörter für administrative Zugänge (mindestens 14 Zeichen). Verwenden Sie bitte zudem eine musterlose Kombination von Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen. 

    Sie können für Ihren Webshop festlegen, wie sicher ein Passwort mindestens sein muss. Personen mit administrativen Zugängen können dann nur Passwörter verwenden, die diese Vorgaben erfüllen. Die Passwort-Anforderungen sollten idealerweise auch für Zugänge Ihrer Kundinnen und Kunden gelten. 

    Sensibilisieren Sie dafür, dass keine personenbezogenen Daten, Begriffe aus dem Wörterbuch oder Institutionsnamen für Passwörter verwendet werden sollten. Das für Ihren Webshop verwendete Passwort sollte zudem einmalig sein und nicht für andere Dienste oder Profile verwendet werden. Das Passwort für den Webshop lässt sich über einen individuellen Merksatz oder durch einen Eintrag in einem Offline-Passwortmanager festhalten.

  • Durch die Zwei-Faktor-Authentifizierung (2FA) wird neben dem Passwort (Wissen) ein zweiter Faktor (Besitz) erforderlich, um auf das System zuzugreifen. Es wird zusätzlich z. B. ein temporärer Bestätigungscode auf dem Smartphone, ein biometrisches Merkmal (z. B. ein Fingerabdruck) oder eine lokale Schlüsseldatei benötigt. 

    Wird ein Passwort gestohlen, können Angreifende nicht ohne das Vorliegen des zweiten Faktors z. B. auf die Accounts Ihrer Administration oder von Kundinnen und Kunden zugreifen. Die Zwei-Faktor-Authentifizierung sollte für Administrationszugänge des Webshops, für Hosting- und Serverzugänge, für E-Mail-Konten sowie für Profile Ihrer Kundinnen und Kunden eingerichtet werden. 

    Bei der Multi-Faktor-Authentifizierung (MFA) werden mehr als zwei Faktoren erforderlich, was die Sicherheit sensibler oder personenbezogener Daten zusätzlich erhöht.

    Die 2FA bzw. MFA erhöht maßgeblich die Datensicherheit und den Schutz vor Webshop-Manipulationen sowie vor Zugriffen durch unbefugte Dritte.

  • Anwendungen und Betriebssysteme weisen regelmäßig Sicherheitslücken auf, die von Angreifenden genutzt werden können, um unbefugt Zugriff auf Daten zu erhalten. Regelmäßige und unverzügliche Updates sorgen dafür, dass diese Sicherheitslücken geschlossen werden. Aktualisieren Sie regelmäßig Ihre Software für Webshop, Server und Betriebssysteme sowie Plugins/Erweiterungen. Aktivieren Sie automatische Updates für Ihre Anwendungen, sofern möglich. Bitte beachten Sie, dass während des Installationsvorgangs die Verfügbarkeit Ihres Dienstes vorübergehend eingeschränkt sein kann.

  • Die HTTPS-Verschlüsselung (Hypertext Transfer Protocol Secure) maskiert die Kommunikation zwischen einem Webclient und einem Webserver bzw. zwischen dem Webshop und den Kundinnen und Kunden. Sie sorgt dafür, dass Browser und Server eine Sprache sprechen. Mit der Verschlüsselung soll verhindert werden, dass unbefugte Dritte Zugriff auf die Datenkommunikation erhalten. Geschützt werden dabei Login-Daten, persönliche Informationen sowie Zahlungsdaten.

    Die HTTPS-Verschlüsselung wird durch sogenannte SSL- (Secure Sockets Layer) bzw. TLS-Zertifikate (Transport Layer Security) ermöglicht. Diese Zertifikate bestätigen die Echtheit Ihres Webshops. Da diese zeitlich begrenzt sind, müssen sie rechtzeitig erneuert werden. Laufen die Zertifikate ab, erhalten Nutzende Warnmeldungen durch ihren Browser oder ihr Virenschutzprogramm, dass Ihr Webshop nicht sicher sei.

    Stellen Sie daher stets sicher, dass Ihre Zertifikate aktuell und gültig sind. Gegebenenfalls bietet Ihr Hosting-Anbieter eine automatische Zertifikatserneuerung an. Klären und verschriftlichen Sie hierzu die Zuständigkeiten mit Ihrem Hosting-Anbieter.

Die genannten Tipps finden Sie folgend auch im kompakten Handoutformat:

Weitere Informationen