Festtagsstimmung per Web-Apps

Das Weihnachtsgeschäft, genauer die Monate November und Dezember, sind für den Handel (on- und offline) unverzichtbar. Rund 15 Prozent des Jahresumsatzes wird in diesen beiden Monaten erzielt, in einigen Branchen sogar noch mehr. Spielwarenhändler etwa machen in dieser Zeit 28 Prozent, Buchhändler rund ein Viertel ihres Umsatzes.

Online-Shopping liegt dabei weiter im Trend. So plant jeder Zweite zumindest einen Teil seiner Geschenke über das Internet zu bestellen. HDE geht davon aus, dass Weihnachten 2016 allein im Online-Handel 12,3 Mrd. Euro Umsatz erzielt werden. Es versteht sich, dass die Händler jede Möglichkeit nutzen, um in diesem Umfeld auf sich aufmerksam zu machen – von der Gutscheinaktion bis hin zu klassischen Gewinnspielen.

Im Zeitalter der Digitalisierung legen sie dafür unzählige Web-Anwendungen oder mobile Apps an. Oft werden diese nach Weihnachten wieder vergessen und nicht weiter gepflegt. Das ist gleich doppelt gefährlich. Einerseits kommt es bei den Kunden überhaupt nicht gut an, wenn sie über veraltete Aktionsangebote stolpern. Andererseits sind solche technisch ungepflegten Anwendungen ein willkommenes Einfallstor für Cyberkriminelle. Sie sind der Schwachpunkt im Web-Perimeter und haben sogar oft eine Anbindung an interne CRM- oder Buchhaltungssysteme.

Über 60 Prozent der Anwendungen verfehlen Sicherheitsrichtlinien beim ersten Scan

Insgesamt hinkt der Einzelhandel bei der Sicherheit von Web- und mobilen Anwendungen noch deutlich hinterher. Das geht aus dem jährlichen Bericht zum Zustand der Softwaresicherheit (State of Software Security/SoSS) hervor, den Veracode in diesem Jahr zum siebten Mal zusammengestellt hat. Der Report basiert auf Daten, die innerhalb der vergangenen 18 Monate im Rahmen von mehr als 300.000 automatisierten Assessments untersucht wurden.

Auffällig ist, dass 62 Prozent der Anwendungen im Bereich Einzelhandel die OWASP Top10 beim ersten Testdurchlauf nicht geschafft haben. Bei kommerziell erstellten Anwendungen waren es sogar 75 Prozent. Hauptschwachstellen sind die Code-Qualität (69 Prozent), Verschlüsselungsaufgaben (68,7 Prozent) und Information Leakage (67 Prozent). Und etwa jede zweite Anwendung (49,9 Prozent) ist für Cross-Site-Scripting anfällig.

Online-Gefahren lauern auf beide Seiten

Beim Phishing versuchen Cyberkriminelle, Kunden auf täuschend echt aussehende, gefälschte Internetseiten zu locken, um deren Kreditkartendaten oder Zugangsdaten der Online-Konten zu erschleichen. Laut einer aktuellen Studie von Kaspersky Lab über den einkaufsstarken Zeitraum Oktober bis Dezember von 2013 bis 2015 und zum Teil 2016 ist der Anteil von Phishing-Attacken gegen Webshops und Bezahlsysteme während dieses Zeitraums sogar höher als die Zahl der Attacken gegen Banken. Außerdem wird eine deutliche Zunahme der Schädlinge gegen Kassensysteme sowie der DDoS-Attacken erwartet.

So gab es im letzten Jahr am ersten Weihnachtstag eine unangenehme Überraschung für die Benutzer der Spieleplattform Steam: Aufgrund eines Caching-Problems und einer DDoS-Attacke konnten Spieler sensible Daten (bis hin zu Kreditkarteninformationen) fremder Konten einsehen. Insgesamt waren 34.000 Nutzer betroffen.

Was können Einzelhändler und Online-Händler tun?

Diese Zahlen sind alarmierend, sollten aber natürlich kein Grund für Händler und Online-Shops sein, in Schreckstarre zu verfallen. Es gibt durchaus einige grundlegende Sicherheitsvorkehrungen, die sie treffen können:

1. Wenn Online-Shops selbst Anwendungen erstellen, sollten Fremdkomponenten intensiv geprüft werden. Die Analyse von Veracode ergab, dass insbesondere anfällige Open-Source-Komponenten für steigende Risiken verantwortlich sind. Knapp 97 Prozent aller Java-Anwendungen enthielten demzufolge mindestens eine Komponente mit einer bekannten Sicherheitslücke.
2. Wenn sie komplette Anwendungslösungen einkaufen, müssen diese in jedem Fall ausführlich getestet werden. Vertrauen in den Softwareanbieter ist gut, Kontrolle ist besser.
3. Nach der hektischen Zeit der Festtage sollten sie prüfen, ob Anwendungen noch weiter gebraucht werden und sie im Zweifel entfernen. Um einen kompletten Überblick über aktuelle und alte Web-Anwendungen zu bekommen, sollten Händler ein sogenanntes “Application Perimeter Monitoring” durchführen. Hierbei kommen meist 30 bis 40 Prozent mehr Webseiten oder -applikationen zu Tage, als Unternehmen eigentlich vermutet hätten.

Umsatz machen wollen ist gut, aber die Sicherheit des Unternehmens, seiner Kunden und der gespeicherten Daten muss oberste Priorität haben – auch und gerade in der Weihnachtszeit.