Wie sicher sind deine Systeme? - Ein umfassender Blick auf Sicherheitslücken und Lösungen

Gerade in den letzten Jahren wächst der E-Commerce Markt immer weiter und damit einhergehend werden auch die Angriffe auf E-Commerce Systeme häufiger. Cyberbedrohungen stehen mittlerweile an der Tagesordnung. Dabei ist es entscheidend, die verschiedenen Angriffsvektoren zu verstehen und geeignete Maßnahmen zu ergreifen, um deine Plattform zu schützen. So gilt es Sicherheitslücken zu schließen und den reibungslosen Betrieb sicherzustellen. Lass uns gemeinsam die Herausforderungen identifizieren und Strategien entwickeln, um deine E-Commerce-Plattform gegen die stetig wachsende Zahl von Cyberangriffen zu wappnen. In diesem Blogbeitrag wollen wir die wichtigsten Angriffsarten aufzeigen und einordnen. 


1. Accountübernahme

Bei einer Accountübernahme wird ein bestehender Nutzerzugang von unberechtigten dritten genutzt um in das System einzudringen. Dies kann auf verschiedene Weise geschehen, beispielsweise durch den Zugriff auf Systemebene über SSH oder durch Backend-Zugriffe in einer Anwendung. Wenn jemand deine Zugangsdaten zu deinem E-Mail-Konto bekommt, so könnten sie dann E-Mails in deinem Namen senden oder auf deine persönlichen Daten zugreifen.

Wie passiert das?

  • Angreifer können deine Zugangsdaten durch Phishing-Angriffe ausspähen, bei denen sie dich dazu bringen, deine Daten auf einer gefälschten Website einzugeben, oder durch Malware, die deine Tastatureingaben aufzeichnet, stehlen.

  • Mittels Brute-Force-Angriffe probieren Angreifer zahlreiche Passwortkombinationen aus, bis sie die richtige gefunden haben.

2. Credit Karten Stuffing

Beim Kreditkarten-Stuffing werden gestohlene Kreditkartendaten automatisiert auf verschiedenen E-Commerce-Plattformen getestet, um herauszufinden, welche Karten noch gültig sind. Angreifer könnten so gestohlene Kreditkartendaten auf einer Onlineshop-Seite ausprobieren, um herauszufinden, ob die Karte noch funktioniert, und dann Einkäufe in deinem Namen tätigen.

3. Netzwerkbasierter DDoS (Denial of Service)

Eine der bekanntesten Methoden ist eine DDoS Attacke. Hierbei wird das System durch eine Flut von Netzwerkpaketen überlastet. Vergleichbar ist es damit, dass z.B. dein Telefon ununterbrochen mit Tausenden Anrufen gleichzeitig klingelt. So kann kein normaler Anruf mehr durchkommen. Auf die Technik übertragen bedeutet es, dass ein Server so viele Anfragen erhält, dass er nicht mehr reagieren kann und abstürzt.

4. Applikations-DDoS (Denial of Service)

Hierbei wird eine Webseite oder Anwendung durch viele gleichzeitige Anfragen überlastet, was dazu führt, dass sie sehr langsam wird oder komplett abstürzt. Ein Beispiel wäre, wenn eine Webseite immer wieder komplexe und datenintensive Seiten lädt, bis sie nicht mehr richtig funktioniert.

5. Logic exploitation

Bei dieser Art von Angriff nutzen Kriminelle Schwachstellen in der Funktionsweise einer Software aus. Dazu gehört, wenn es z.B. jemand schafft, im Onlineshop einen Kauf abzuschließen, ohne zu bezahlen. 

6. Catalog stealing

Kataloge und Produktbeschreibungen sind ein wertvolles gut für Händler und Hersteller und sind in der Entstehung ein Kostentreiber. Händler investieren viel Geld und Zeit in die Erstellung dieser Daten. Wenn diese aber von Dritten abgegriffen werden, ist das ein Schaden für den Ersteller des Katalogs. 

7. Preis Monitoring

Beim Preis Monitoring werden gezielt die Produktseiten der Konkurrenz automatisiert aufgerufen, um die Preise abzufragen. Diese Informationen können dann genutzt werden, um die eigenen Preise anzupassen und damit einen Angebotspreis zu unterbieten. 

8. Prüfung auf Verwundbarkeiten und bekannte Exploits

Bei dieser Art des Angriffs werden die E-Commerce-Umgebungen mit Aufrufen und manipulierten Parametern angefragt mit dem Ziel bekannte Exploits oder Verwundbare Software-Komponenten auszunutzen. Ein Beispiel ist das Einschleusen schädlicher Befehle in eine Datenbank über ein Eingabefeld auf einer Webseite.

9. Scalping

Hierbei handelt es sich um Personen die Produkte massenweise aufkaufen, um sie danach zu höheren Preisen auf anderen Plattformen weiter zu verkaufen. Ein bekanntes Beispiel ist die PlayStation 5, die bei ihrer Markteinführung knapp war. Hier kauften einzelne Kunden viele Konsolen und verkauften sie dann zu überhöhten Preisen auf Online-Marktplätzen weiter.

Wie kann man sich davor schützen?

Was alle diese Angriffsszenarien gemeinsam haben, ist dass man sie in Log-Dateien nachvollziehen kann und damit einen ersten Ansatz für Mitigierung hat. Für die Accountübernahme kann z. B. die Anzahl an Login-Versuchen limitieren oder noch besser eine 2FA nutzen. DDoS Angriffe lassen sich am besten auf vorgelagerten System, wie einem CDN und Reverse Proxys, blockieren. Gerade für den Bereich des Netzwerk DDoS ist man auf die Unterstützung der Hosting Anbieter oder eines CDN Anbieters angewiesen.

Der Katalogdiebstahl, das Preismonitoring oder Scalping lassen sich durch ungewöhnliche Aufrufe und Muster in Aufrufen erkennen und somit blockieren. Das Credit Karten Stuffing lässt sich über Logs des Zahlungsdienstleisters bzw. der Schnittstelle zum Zahlungsdienstleister erkennen. Das Scannen auf Verwundbarkeit und ausnutzen von Exploits ist ebenfalls durch die Art und Muster der Aufrufe erkennbar. Während DDoS, Scalping, Preis Monitoring und Katalogdiebstahl eher gezielte Angriffe sind, treten die übrigen Angriffe generell auf allen Web-Systemen auf und sind im Prinzip für alle gleich gefährlich.

Unsere Lösung

Wir nutzen für unsere Kunden, jeweils passende Maßnahmen um die E-Commerce Umgebungen zu schützen. Hierbei setzen wir auf die Kombination von 4 Anbietern.

Wir setzen auf den integrierten DDoS Schutz der OVHcloud und ergänze diese mit der Web Application Firewalls von OGOSecurity und auf den gehosteten Systemen mit AppSec. Abschließend ermöglichen wir mit Crowdsec eine Loganalyse, was gerade durch die Flexibilität der selbstgeschrieben Logmuster und Gegenmaßnahmen sehr gut anpassbar ist.

Solltest du Fragen zum Schutz deines E-Commerce Systems haben, sprich uns direkt an.

Marcus Asshauer
Senior System Engineer synaigy GmbH

Vertiefe dein Wissen mit uns

Jetzt Blog abonnieren und keine News mehr verpassen

✔️kostenlos ✔️jede Woche News ✔️Expertenwissen

Blog 12.07.23

Einführung eines PIM-Systems

Eine erfolgreiche digitale Transformation erfordert eine nahtlose Vernetzung der Systeme – sie sollte dynamisch, skalierbar, erweiterbar und kosteneffizient sein. Die Einführung eines PIM-Systems als zentraler Hub für Produktinformationen ermöglicht eine optimale Ausrichtung dieses geschäftskritischen Bereichs für die Zukunft. Durch ein hochwertiges PIM-System mit einem an die Bedürfnisse des Unternehmens angepassten Datenmodell werden Produktinformationen als Grundpfeiler moderner Geschäftsprozesse auf einem soliden Fundament errichtet. In diesem Blogbeitrag erfährst du, wie du durch die Einführung eines PIM-Systems Daten und Prozesse für die digitale Transformation deines Unternehmens optimierst.

Blog 05.07.24

Die Bedeutung der Datensouveränität

Datensouveränität ist nicht nur ein Marketing-Buzzword, sondern ein Erfolgsfaktor für Unternehmen, die in der globalen Wirtschaft ganz vorne mitspielen wollen. Die jüngste Bitkom-Studie zur Cloudsouveränität unterstreicht die wachsende Bedeutung von Cloud-Lösungen für deutsche Unternehmen und zeigt auf, dass 95 % der befragten Unternehmen Cloud Computing bereits im Einsatz haben oder noch nutzen wollen​.

Blog 26.02.24

Kann der Hosting-Anbieter OVHcloud überzeugen?

Wenn du dich in der Welt des Cloud-Hostings bewegst, ist die Auswahl des richtigen Servers entscheidend für die Leistung, Zuverlässigkeit und Skalierbarkeit deiner Anwendungen. OVHcloud hat kürzlich eine neue Generation von Servern vorgestellt, doch wie gut sind diese wirklich? Um einen möglichst objektiven Vergleich anzustellen, haben wir uns für Geekbench entschieden. Aber was genau ist Geekbench und warum haben wir es für diesen Test gewählt?

Blog 14.04.25

OVHcloud vs. AWS – Wer bietet die bessere Leistung pro Euro?

In diesem Beitrag vergleichen wir die Block Storage-Angebote von OVHcloud und AWS auf Basis aktueller Benchmark-Daten und technischer Spezifikationen.

Blog 06.06.23

Cloud Sustainability als umweltbewusste Revolution

Cloud Sustainability bezeichnet das Bestreben der Cloud-Computing-Industrie, ökologisch, sozial und ökonomisch nachhaltig zu handeln. Dieser Artikel beleuchtet wichtige Aspekte der Cloud Sustainability, wie den Umweltschutz und die nachhaltige Lieferkette, und präsentiert beispielhafte Maßnahmen führender Cloud-Anbieter wie OVHcloud und Amazon Web Services (AWS). Erfahre, wie diese Unternehmen erneuerbare Energien nutzen, Emissionen reduzieren und auf Recycling sowie ethische Richtlinien setzen, um die Cloud-Infrastruktur umweltfreundlicher und nachhaltiger zu gestalten. Entdecke die Bedeutung von Cloud Sustainability und wie du als Unternehmen von einer nachhaltigen IT-Infrastruktur profitieren kannst.

Blog 26.05.23

Bare Metal trifft auf Public Cloud

Mit Bare Metal und Public Cloud bietet die OVHcloud zwei unterschiedliche Ansätze, um IT-Infrastruktur bereitzustellen. Beide stehen für unterschiedliche Vor und Nachteile. Mit Bare Metal mietet ein Kunde einen physische Server und erhält die vollständige Kontrolle über die Hardware, das Betriebssystem, die Netzwerk-Konfiguration und die darauf ausgeführten Anwendungen. Somit kann die IT-Infrastruktur komplett an individuelle Anforderungen angepasst werden. Diese Server sind somit speziell für einen Kunden reserviert und niemand anderes nutzt diese Ressourcen parallel.

Blog 04.07.23

Erkunde hochresiliente Langzeitspeicherung mit Cold Archive

Die OVHcloud hat uns und anderen Partnern auf der OVHengage den neuen nachhaltigen Datenspeicher präsentiert - den "Cold Archive". Dieser verbindet die Grundsätze und Ideen zweier Welten und schafft dadurch neue Anwendungsmöglichkeiten. Der neue Datenspeicher "Cold Archive" basiert auf einem IBM Magnetband vom Typ IBM Enterprise 3592 und erfolgt durch Miria von Atempo. In diesem Beitrag stellen wir dir den neuen Datenspeicher -Cold Archive- der OVHcloud vor mit allen Infos rund um Funktionsweise, Vor- und Nachteile und Kostenstruktur.

Blog 12.04.23

OVHcloud: Schutz vertraulicher Infos für Unternehmen

Die digitale Transformation hat in den letzten Jahren zu einem rasanten Anstieg der Datenmengen geführt, die Unternehmen und Organisationen auf der ganzen Welt verarbeiten und speichern müssen. In diesem Zusammenhang wird die Datensouveränität zu einem immer wichtigeren Thema, insbesondere wenn es darum geht, vertrauliche Informationen sicher und geschützt zu halten. Hier kommt die OVHcloud ins Spiel - ein europäischer Cloud-Service-Anbieter, der sich dem Schutz der Datensouveränität verschrieben hat.

Blog 30.07.24

OVHcloud: Das Schutzschild gegen DDoS-Angriffe

Die Sicherheit von Online-Diensten unerlässlich. Cyber-Angriffe, wie z.B. Distributed Denial of Service (DDoS)-Angriffe, können Unternehmen schwere finanzielle Verluste zufügen und ihren Ruf dauerhaft schädigen. Genau da kommt OVHcloud ins Spiel.

Blog 19.01.23

Wie löst man den IT-Fachkräftemangel in IT-Systemen?

Nam Hoang Dong und Joubin Rahimi diskutieren in der neuen insights!-Folge über die Anforderungen und Herausforderungen in der IT-Leitung. Einen besonderen Fokus legen die Digitalisierungsexperten auf den Fachkräftemangel sowie auf die Ablösung von Legacy-Systemen in Unternehmen. Mit welchen Mitteln diese Engpässe gelöst werden könnten, erfährst du in dieser insights!-Folge.

Blog 11.07.24

Mit modernen Order-Management-Systemen zu zufriedenen Kunden

In dieser Folge von insights! hatte ich das Vergnügen, Linda Kuhr, die Gründerin und Geschäftsführerin von Fulfillmenttools, zu Gast zu haben. Sie teilt ihre Erfahrungen und Einblicke in die Welt des modernen Order Managements und die Herausforderungen, die dabei gemeistert werden müssen.

Blog 19.08.22

Shopware auf der Überholspur

Lernen Sie in diesem Artikel, wie Ihre Daten und die Ihrer Kunden sicher mit einer internen Web Application Firewall (WAF) geschützt werden können und warum dies sinnvoll ist. Wir zeigen Ihnen Codeauszüge innerhalb einer kurzen Anleitung mit Tipps und Tricks.

Blog 04.10.22

Erhöhte Sicherheit durch Kubernetes

Die Sicherheit spielt beim Einsatz von Containern eine besonders wichtige Rolle. Das Open-Source-System Kubernetes hat sich zum Standard bei der Automatisierung, Bereitstellung, Skalierung und Verwaltung von Container-Anwendungen entwickelt und erfordert deshalb besonderes Augenmerk bei der Sicherheit.

Blog 09.02.24

Ein Public Cloud Cheat Sheet der führenden Cloud Provider

Der Blogbeitrag bietet dir einen umfassenden Überblick über die aktuelle Landschaft der Public Cloud, insbesondere im Kontext von OVHcloud als führendem europäischen Cloud-Computing-Unternehmen. Das "Public Cloud Cheat Sheet" ist ein nützlicher Wegweiser durch die komplexe Welt der Public Cloud, unterteilt in acht Disziplinen. Diese Disziplinen reichen von Speicherdiensten über Datenbanken, Rechnersysteme, Orchestrierung, Netzwerk, Data & Analytics, KI bis hin zum Management.

Blog 13.06.22

Shopware 6 mit Kubernetes

In diesem Artikel stellen wir euch vor, wie Shopware 6 in Kubernetes betrieben werden kann und warum dies sinnvoll ist. Wir zeigen euch Codeauszüge und eine kurze Anleitung mit Tipps und Tricks.

Blog 15.03.23

Cloudflare & Datensouveränität - ein Widerspruch in sich?

Die Sicherheit der personenbezogenen Daten wird bei uns groß geschrieben - sei es die unserer Mitarbeiter, unserer Kunden sowie die Daten der Kunden unserer Kunden. Obwohl man mit dem Internet oftmals das Stichwort "Anonymität" verbindet, sickern in der Praxis des Öfteren personenbezogene Daten durch - z.B. an Drittanbietern. Dazu zählen z.B. die Cookie-Kennung, die IP-Adresse oder auch die Browserdaten.

Blog 11.10.23

Die Bedrohung im Internet und wie du dich schützen kannst

Im folgenden Blogbeitrag bekommst du eine Übersicht über den Bereich Cyber-Sicherheit. Darüber hinaus informieren wir dich über verschiedene Arten von Bedrohungen und zeigen auf, wie wir dich dabei unterstützen können.

Blog 14.11.24

Hans Sarpei über KI, Fußball und den inneren Schweinehund

Wir sprechen mit Hans Sarpei über seinen Weg vom Profisportler zum Unternehmer und Social-Media-Profi, Daten im Sport & gesellschaftliche Verantwortung.

Blog 25.07.24

ROI-Optimierung im Commerce: KI, B2H & Omnichannel-Strategy

In der neuesten Folge von insights! begrüße ich Frank Miller, den CEO der Inbound-Marketingagentur straight. Was folgt, ist ein tiefgehendes Gespräch über Digitalisierung, Marketingstrategien und die Rolle von Künstlicher Intelligenz im modernen Geschäftsleben.

Blog 01.08.24

MarTech Boom, KI, Echtzeit-Datenvernetzung – Buzzword Bingo?

In dieser insights!-Folge bringt dir Till Paschke von HCLSoftware die cloud-native Software-Stacks und den innovativen Ansatz „Integrated Composable Commerce“ nahe. Getrieben von HCLs beeindruckenden Kunden Ferrari, HP oder auch DHL spiegeln ihre digitalen Lösungen die Innovationskraft wider. Der aktuelle Martech-Boom sowie der clevere Einsatz von KI zur Echtzeit-Datenvernetzung sind Fokusthemen der Folge.