Wie sicher sind deine Systeme? - Ein umfassender Blick auf Sicherheitslücken und Lösungen

Gerade in den letzten Jahren wächst der E-Commerce Markt immer weiter und damit einhergehend werden auch die Angriffe auf E-Commerce Systeme häufiger. Cyberbedrohungen stehen mittlerweile an der Tagesordnung. Dabei ist es entscheidend, die verschiedenen Angriffsvektoren zu verstehen und geeignete Maßnahmen zu ergreifen, um deine Plattform zu schützen. So gilt es Sicherheitslücken zu schließen und den reibungslosen Betrieb sicherzustellen. Lass uns gemeinsam die Herausforderungen identifizieren und Strategien entwickeln, um deine E-Commerce-Plattform gegen die stetig wachsende Zahl von Cyberangriffen zu wappnen. In diesem Blogbeitrag wollen wir die wichtigsten Angriffsarten aufzeigen und einordnen. 


1. Accountübernahme

Bei einer Accountübernahme wird ein bestehender Nutzerzugang von unberechtigten dritten genutzt um in das System einzudringen. Dies kann auf verschiedene Weise geschehen, beispielsweise durch den Zugriff auf Systemebene über SSH oder durch Backend-Zugriffe in einer Anwendung. Wenn jemand deine Zugangsdaten zu deinem E-Mail-Konto bekommt, so könnten sie dann E-Mails in deinem Namen senden oder auf deine persönlichen Daten zugreifen.

Wie passiert das?

  • Angreifer können deine Zugangsdaten durch Phishing-Angriffe ausspähen, bei denen sie dich dazu bringen, deine Daten auf einer gefälschten Website einzugeben, oder durch Malware, die deine Tastatureingaben aufzeichnet, stehlen.

  • Mittels Brute-Force-Angriffe probieren Angreifer zahlreiche Passwortkombinationen aus, bis sie die richtige gefunden haben.

2. Credit Karten Stuffing

Beim Kreditkarten-Stuffing werden gestohlene Kreditkartendaten automatisiert auf verschiedenen E-Commerce-Plattformen getestet, um herauszufinden, welche Karten noch gültig sind. Angreifer könnten so gestohlene Kreditkartendaten auf einer Onlineshop-Seite ausprobieren, um herauszufinden, ob die Karte noch funktioniert, und dann Einkäufe in deinem Namen tätigen.

3. Netzwerkbasierter DDoS (Denial of Service)

Eine der bekanntesten Methoden ist eine DDoS Attacke. Hierbei wird das System durch eine Flut von Netzwerkpaketen überlastet. Vergleichbar ist es damit, dass z.B. dein Telefon ununterbrochen mit Tausenden Anrufen gleichzeitig klingelt. So kann kein normaler Anruf mehr durchkommen. Auf die Technik übertragen bedeutet es, dass ein Server so viele Anfragen erhält, dass er nicht mehr reagieren kann und abstürzt.

4. Applikations-DDoS (Denial of Service)

Hierbei wird eine Webseite oder Anwendung durch viele gleichzeitige Anfragen überlastet, was dazu führt, dass sie sehr langsam wird oder komplett abstürzt. Ein Beispiel wäre, wenn eine Webseite immer wieder komplexe und datenintensive Seiten lädt, bis sie nicht mehr richtig funktioniert.

5. Logic exploitation

Bei dieser Art von Angriff nutzen Kriminelle Schwachstellen in der Funktionsweise einer Software aus. Dazu gehört, wenn es z.B. jemand schafft, im Onlineshop einen Kauf abzuschließen, ohne zu bezahlen. 

6. Catalog stealing

Kataloge und Produktbeschreibungen sind ein wertvolles gut für Händler und Hersteller und sind in der Entstehung ein Kostentreiber. Händler investieren viel Geld und Zeit in die Erstellung dieser Daten. Wenn diese aber von Dritten abgegriffen werden, ist das ein Schaden für den Ersteller des Katalogs. 

7. Preis Monitoring

Beim Preis Monitoring werden gezielt die Produktseiten der Konkurrenz automatisiert aufgerufen, um die Preise abzufragen. Diese Informationen können dann genutzt werden, um die eigenen Preise anzupassen und damit einen Angebotspreis zu unterbieten. 

8. Prüfung auf Verwundbarkeiten und bekannte Exploits

Bei dieser Art des Angriffs werden die E-Commerce-Umgebungen mit Aufrufen und manipulierten Parametern angefragt mit dem Ziel bekannte Exploits oder Verwundbare Software-Komponenten auszunutzen. Ein Beispiel ist das Einschleusen schädlicher Befehle in eine Datenbank über ein Eingabefeld auf einer Webseite.

9. Scalping

Hierbei handelt es sich um Personen die Produkte massenweise aufkaufen, um sie danach zu höheren Preisen auf anderen Plattformen weiter zu verkaufen. Ein bekanntes Beispiel ist die PlayStation 5, die bei ihrer Markteinführung knapp war. Hier kauften einzelne Kunden viele Konsolen und verkauften sie dann zu überhöhten Preisen auf Online-Marktplätzen weiter.

Wie kann man sich davor schützen?

Was alle diese Angriffsszenarien gemeinsam haben, ist dass man sie in Log-Dateien nachvollziehen kann und damit einen ersten Ansatz für Mitigierung hat. Für die Accountübernahme kann z. B. die Anzahl an Login-Versuchen limitieren oder noch besser eine 2FA nutzen. DDoS Angriffe lassen sich am besten auf vorgelagerten System, wie einem CDN und Reverse Proxys, blockieren. Gerade für den Bereich des Netzwerk DDoS ist man auf die Unterstützung der Hosting Anbieter oder eines CDN Anbieters angewiesen.

Der Katalogdiebstahl, das Preismonitoring oder Scalping lassen sich durch ungewöhnliche Aufrufe und Muster in Aufrufen erkennen und somit blockieren. Das Credit Karten Stuffing lässt sich über Logs des Zahlungsdienstleisters bzw. der Schnittstelle zum Zahlungsdienstleister erkennen. Das Scannen auf Verwundbarkeit und ausnutzen von Exploits ist ebenfalls durch die Art und Muster der Aufrufe erkennbar. Während DDoS, Scalping, Preis Monitoring und Katalogdiebstahl eher gezielte Angriffe sind, treten die übrigen Angriffe generell auf allen Web-Systemen auf und sind im Prinzip für alle gleich gefährlich.

Unsere Lösung

Wir nutzen für unsere Kunden, jeweils passende Maßnahmen um die E-Commerce Umgebungen zu schützen. Hierbei setzen wir auf die Kombination von 4 Anbietern.

Wir setzen auf den integrierten DDoS Schutz der OVHcloud und ergänze diese mit der Web Application Firewalls von OGOSecurity und auf den gehosteten Systemen mit AppSec. Abschließend ermöglichen wir mit Crowdsec eine Loganalyse, was gerade durch die Flexibilität der selbstgeschrieben Logmuster und Gegenmaßnahmen sehr gut anpassbar ist.

Solltest du Fragen zum Schutz deines E-Commerce Systems haben, sprich uns direkt an.

Marcus Asshauer
Senior System Engineer synaigy GmbH

Vertiefe dein Wissen mit uns

Jetzt Blog abonnieren und keine News mehr verpassen

✔️kostenlos ✔️jede Woche News ✔️Expertenwissen

Blog 30.07.24

OVHcloud: Das Schutzschild gegen DDoS-Angriffe

Die Sicherheit von Online-Diensten unerlässlich. Cyber-Angriffe, wie z.B. Distributed Denial of Service (DDoS)-Angriffe, können Unternehmen schwere finanzielle Verluste zufügen und ihren Ruf dauerhaft schädigen. Genau da kommt OVHcloud ins Spiel.

Blog 11.10.23

Die Bedrohung im Internet und wie du dich schützen kannst

Im folgenden Blogbeitrag bekommst du eine Übersicht über den Bereich Cyber-Sicherheit. Darüber hinaus informieren wir dich über verschiedene Arten von Bedrohungen und zeigen auf, wie wir dich dabei unterstützen können.

Blog

Deine sichere Lösung für die digitale Arbeitswelt

Google Workspace: Die sichere Alternative in der heutigen Bedrohungslandschaft!

Blog 17.05.23

Die Notwendigkeit einer Web Application Firewall im Internet

Der Anstieg von Angriffen auf Webanwendungen ist ein langanhaltender Trend, der sich fortsetzt und besorgniserregend ist. Als Unternehmen ist es von großer Bedeutung, diese Bedrohung ernst zu nehmen und angemessene Sicherheitsvorkehrungen zu treffen. In diesem Blogbeitrag stellen wir verschiedene Möglichkeiten vor, wie du deine Webanwendung sicherer machen kannst.

Blog 14.10.24

203 Mrd. Euro Schaden:Cyberkriminalität als größte Bedrohung

Der Blogbeitrag warnt vor der zunehmenden Bedrohung durch Cyberkriminalität für deutsche Unternehmen. Im Jahr 2022 waren 84 % aller deutschen Unternehmen von Cyberangriffen betroffen, was zu enormen finanziellen Schäden führte.

deep in the use retarus
Webcast 21.10.20

E-Mail Security: Schutz vor komplexen Sicherheitsbedrohungen

Die neue Dimension für Business E-Mail: Erfahren Sie in unserem kostenlosen Webinar am 20. Juli (14-15 Uhr), wie Sie sich effektiv vor Schaden, Cyber-Kriminalität und Lahmlegen des Betriebs schützen.

Blog 13.05.24

99% der Cyberangriffe abwehren: Mit den richtigen Maßnahmen

IT-Sicherheit ist ein zentrales Anliegen für Unternehmen und Organisationen, erfahren Sie in diesem Blogbeitrag, welche 5 Maßnahmen gegen Angriffe schützen.

Blog 19.08.22

Shopware auf der Überholspur

Lernen Sie in diesem Artikel, wie Ihre Daten und die Ihrer Kunden sicher mit einer internen Web Application Firewall (WAF) geschützt werden können und warum dies sinnvoll ist. Wir zeigen Ihnen Codeauszüge innerhalb einer kurzen Anleitung mit Tipps und Tricks.

Referenz

OVHcloud – wir wechseln zur OVHcloud

Sicherheit, Nachhaltigkeit und Fortschritt machen die Lösung für uns zum Matchwinner.

Blog 27.04.23

Datensouveränität vs. Cloud für deine E-Commerce-Strategie

Heute spreche ich mit Marc Achsnich, unserem Teameiter von Managed Services & Software Development, über das durchaus aktuelle und unumgängliche Thema Datensouveränität. Wir besprechen, welche Probleme amerikanische Anbieter mit sich bringen, warum unsere Entscheidung auf die OVH Cloud fiel, und welche Komponenten dabei beachtet werden sollen. Auch die entsprechenden Kosten europäischer Alternativen werden ausführlich besprochen. Du kannst mehr in der neuen Folge erfahren.

Blog 12.04.23

OVHcloud: Schutz vertraulicher Infos für Unternehmen

Die digitale Transformation hat in den letzten Jahren zu einem rasanten Anstieg der Datenmengen geführt, die Unternehmen und Organisationen auf der ganzen Welt verarbeiten und speichern müssen. In diesem Zusammenhang wird die Datensouveränität zu einem immer wichtigeren Thema, insbesondere wenn es darum geht, vertrauliche Informationen sicher und geschützt zu halten. Hier kommt die OVHcloud ins Spiel - ein europäischer Cloud-Service-Anbieter, der sich dem Schutz der Datensouveränität verschrieben hat.

Leistung

Cloud Migration

Die Cloud Migration bringt dich in eine neue Welt des E-Commerce. Profitiere von unserer langjährigen Cloud Expertise.

Leistung

Managed Commerce – die Evolution der Managed Services

Der perfekte Service für Hersteller und Großhändler, die sich auf die Steigerung Ihres Online-Umsatzes konzentrieren wollen.

Blog 23.03.23

Managed Services im E-Commerce: Der Weg zu mehr Umsatz?

Recht technisch geht es heute beim Gespräch zwischen mir und dem Teamleiter von Managed Services & Software Development, Marc Achsnich, zu. Die beiden Kenner der E-Commerce-Branche fachsimpeln vor dem Mikrofon darüber, wie sich Onlineshops auf unerwartete Stoßzeiten vorbereiten können, in welchem Umfang die Systeme überwacht werden sollten und wie ein guter Kundensupport auszusehen hat.

Leistung

Managed Services, die mit deinem Business skalieren.

Bei zunehmender Komplexität und Dynamik von Projekten muss Performanz, Erreichbarkeit und Skalierbarkeit sichergestellt werden.

Blog 04.09.24

Interview: Stärkung der Cyber-Sicherheit im deutschen Markt

Im Interview spreche ich über die Bedeutung von Web Application Firewalls für Cybersicherheit und Compliance sowie die Rolle von Datensouveränität im digitalen Zeitalter.

Partner

Beta Systems

Beta Systems bietet innovative Identity & Access Management Lösungen zur sicheren Verwaltung digitaler Identitäten und Zugriffe sowie zur Minimierung interner und externer Risiken.

Technologie Übersicht 31.03.21

Azul Systems

Azul Systems ist führendes Unternehmen mit 100%igem Fokus auf Java und die Java Virtual Machine (JVM) – weltweit vertrauen zahlreiche Unternehmen auf seine Open-Source-Java-Plattform.

Partner 13.01.25

Beta Systems

Beta Systems bietet innovative Identity & Access Management Lösungen zur sicheren Verwaltung digitaler Identitäten und Zugriffe sowie zur Minimierung interner und externer Risiken.

Beta Systems

Beta Systems bietet innovative Identity & Access Management Lösungen zur sicheren Verwaltung digitaler Identitäten und Zugriffe sowie zur Minimierung interner und externer Risiken.

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!