Online-Shops: Richtige Server-Konfiguration entscheidet über Sicherheit und Haftungsfrage

Neben geeigneter Software ist für jeden Online-Shop Betreiber auch ein funktionierender Server ausschlaggebend für den wirtschaftlichen Erfolg. Häufig fällt dabei die Wahl auf Managed- oder Root-Server, denn wer einen Server für sich allein nutzt, dem steht die volle Performance auch bei Lastspitzen zur Verfügung. Die schnelleren Ladezeiten wirken sich positiv auf die Suchmaschinenoptimierung und damit auf die Conversion-Rate aus. Auch die Response-Time, die Antwortzeit, ist beim eigenen Server deutlich kürzer.

„Einen eigenen Server zu nutzen geht jedoch auch mit einem hohen Maß an Verantwortung einher da die gesamte Konfiguration ausschließlich dem Online-Shop-Betreiber obliegt. Die richtige Konfiguration des Servers wiederum entscheidet maßgeblich über die Sicherheit eines Online-Shops“, macht Christian Heutger, Geschäftsführer der PSW Group, aufmerksam.

Abgesehen davon, dass ein Online-Shop in Verruf geraten kann, wenn Sicherheitslücken bestehen, gilt beim eigenen Server auch die Haftungsfrage: Shop-Betreiber sind für die Erfüllung aller rechtlichen Pflichten verantwortlich. Wird der Server gehackt und zur Spamschleuder gemacht, steht der Shop-Betreiber am Pranger. Auch Malware, eine nachlässige Rechtevergabe für Mitarbeiter, Sicherheitslücken in installierter Software und ein falsch installiertes SSL-Zertifikat sind nur einige wenige Beispiele möglicher Gefahren falsch konfigurierter Server.

Shop-Betreiber sollten deshalb bei der Konfiguration ihres Servers zwingend auf eine Firewall, eine aktuelle Antiviren-Suite, ein ausgereiftes Patch-Management sowie eine sinnvolle Rechtevergabe, bei der jeder Mitarbeiter oder jede Abteilung mit so wenig Rechten wie möglich ausgestattet ist, achten. „Viele Antiviren-Suites sind per Default so konfiguriert, dass sie nur bestimmte Bereiche kontrollieren. Für einen Online-Shop macht es jedoch Sinn, jede Datei überprüfen zu lassen. Die Antiviren-Software sollte deshalb jedes Verzeichnis kontrollieren, das innerhalb des Netzwerks für Lese- und Schreibzugriff geöffnet ist“, rät Christian Heutger.

Auch SSL-Zertifikate sind für Online-Shops Pflicht geworden – der Verzicht auf die verschlüsselte Übertragung von Kundendaten ist absolut inakzeptabel. „Shop-Betreiber sollten ihren Server so konfigurieren, dass sie das SSL-Feature Perfect Forward Secrecy (PFS) nutzen. Das schützt Kundendaten noch besser weil das Entschlüsseln nicht einmal im Nachhinein möglich ist“, empfiehlt Heutger. Der IT-Sicherheitsexperte rät weiterhin zur Verschlüsselung der Daten, die auf dem Server liegen: „Es existieren verschiedene Verschlüsselungsprogramme, die sogenannte Container bereitstellen, die sich wie gängige Verzeichnisse verhalten. In diesen Containern speichern Shop-Betreiber ihre Daten, die vom System automatisiert ver- bzw. entschlüsselt werden.“

Nachdenken sollten Online-Shop-Betreiber über eine Server-Verwaltungssoftware, die durch Automatisierungen sowie flexibler Benutzerverwaltung viel Arbeit abnimmt. „LiveConfig ist hier empfehlenswert, die Software ist bereits ab 2,49 Euro pro Monat erhältlich“, ergänzt Heutger.

DDoS-Attacke: Was nun?

Hacker gehören zweifelsfrei zu den häufigsten Angreifern von Online-Shops. Sie können Malware verteilen oder aber Kundendaten manipulieren oder stehlen. Auch DDoS-Attacken sind ein Schreckensszenario: Bei einer DDoS-Attacke senden Angreifer so viele Anfragen an einen Server, bis dieser überlastet und damit funktionsunfähig ist. Wer trotz aller Vorsichtsmaßnahmen zum Opfer wird, hat verschiedene Möglichkeiten, zu reagieren. „Zunächst sollte der Provider über den Angriff informiert werden, damit dieser den Shop nicht offline schaltet. Geht die DDoS-Attacke mit Erpressung einher sollte keinesfalls Lösegeld gezahlt werden. Denn der nächste Angriff kommt bestimmt und leider wissen Hacker: Wer einmal zahlt ist ein zahlungswilliges oder aber finanzstarkes Opfer. Und bitte nicht vergessen Strafanzeige zu stellen“, rät Christian Heutger.