PCI Compliance für Ihren Shop durch eine Web Application Firewall

Mit PCI Compliance können Sie Kreditkarten in Ihrem Online-Shop als Zahlungsmittel anbieten. Eine Bedingung für die Zertifizierung ist eine Web Application Firewall (WAF). In diesem Artikel erfahren Sie, wovor eine WAF schützt – und wie ein Onlinehändler ohne Änderung an seiner Webseite einen wichtigen Schritt zur PCI Compliance gemacht hat.

PCI Compliance als Auszeichnung Ihrer Shop-Sicherheit

BlogImage_woman_enters_onlineshop

Erfüllt Ihr Online-Shop bereits den PCI-DSS?

Hinter der Abkürzung verbirgt sich der Sicherheitsstandard für die Verwendung von Kreditkarten. Wird deren Einhaltung festgestellt und zertifiziert spricht man von PCI Compliance.

Nur bei PCI Compliance wird die Bezahlung mit den wichtigsten Kreditkarten (u.a. Visa und Mastercard) im Shop zugelassen.

Die Sicherheit von Kreditkarten-Transaktionen ist ein hohes Anliegen für Nutzer und Shopbetreiber: Nach einer Studie kaufen 73% der Nutzer in einem Jahr dreimal oder öfter online ein, aber 37% haben schon einmal einen Kauf aufgrund von Sicherheitsbedenken abgebrochen.

PCI Compliance bedeutet daher mehr, als nur einem Standard zu genügen. Maßnahmen zur Shop-Sicherheit erhöhen das Vertrauen das Nutzer Ihnen entgegenbringen. So werden sie wahrscheinlicher zu Kunden – und vor allem auch zu wiederkehrenden Kunden.

Um PCI Compliance zu erreichen und somit dem PCI-DSS zu genügen, müssen Sie bestimmte Voraussetzungen erfüllen. Ganz oben auf dieser Liste: Der Schutz Ihres Online-Shops durch eine Firewall.

Lese-Tipp: 5 Shop-Elemente für mehr Vertrauen & höhere Konversionsraten

Davor schützt eine Web Application Firewall (WAF)

Eine Web Application Firewall (WAF) schützt die Kommunikation zwischen Nutzern und der Webseite. Da viele Angriffe auf die Webseite letztlich deren Nutzern schaden, schützt sie also beide Seiten.

Kreditkarte

Die Technologie hinter der WAF wird von der Online-Community OWASP entwickelt. Mit den OWASP Top 10 identifiziert diese auch die größten Risiken für die Sicherheit von Webseiten. Eine Web Application Firewall soll helfen, diese Risiken einzudämmen.

Technik-Begriffe

OWASP Top 10 Sicherheitsrisiken für Webseiten

Die OWASP Top 10 wurden zuletzt 2017 erhoben. Neben verschiedenen Angriffsmustern werden darin auch Schwachstellen in der Konfiguration und Analyse von Webseiten berücksichtigt.

  1. Injection

  2. Fehler in der Authentifizierung

  3. Verlust der Vertraulichkeit sensibler Daten

  4. XML External Entities (XXE)

  5. Fehler in der Zugriffskontrolle

  6. Sicherheitsrelevante Fehlkonfiguration

  7. Cross-Site Scripting (XSS)

  8. Unsichere Deserialisierung

  9. Nutzung von Komponenten mit bekannten Schwachstellen

  10. Unzureichendes Logging & Monitoring

Für eine detaillierte Einzelbeschreibung der Unterpunkte empfehlen wir das verlinkte PDF. Im Folgenden zeigen wir, wie drei der Risiken auf dieser Liste sich auf Ihr Geschäft auswirken können und wie eine Web Application Firewall davor schützen kann.

Injection verhindern

Bei einer Injection werden Schwachstellen in der Kommunikation mit der Webseite gezielt ausgenutzt, um diese zu manipulieren.

Dabei kann es beispielsweise passieren, dass Kommandos wie die Abfrage oder sogar Löschung von Datenbanken ausgeführt werden.

Cyberkriminelle nutzen dies, um Listen von Passwörtern und Zahlungsinformationen zu erhalten oder durch das mutwillige Löschen von Daten dem Geschäft anderer zu schaden. Einmal gehackte Webseiten verlieren langfristig das Vertrauen ihrer Nutzer.

Artikelbild_hacker_632x260

Mit einer WAF werden Anfragen an die Webseite untersucht und gefiltert. So kann Schadcode identifiziert und bereinigt werden, ehe er ausgeführt wird.

Lese-Tipp: Hacker-Angriffe auf Online-Shops: So schützen Sie sich

Fehler in der Authentifizierung verhindern

Unter dieser Umschreibung fasst OWASP alle ungewollten Zugriffe auf Nutzerkonten und -sessions von Dritten zusammen. Dies kann geschehen, wenn Logins und Passwörter entweder auf Ihrer Webseite gestohlen werden.

Da die meisten Nutzer aber die gleichen Zugangsdaten mehrfach verwenden, können auch gestohlene Listen anderer Webseiten für Ihre gültig sein. Selbst wenn die Daten also nicht bei Ihnen gestohlen wurden, werden Nutzer das Vertrauen in Ihren Shop verlieren.

Es gibt viele Methoden, um den Login mit gestohlenen Daten zu erschweren, z.B. durch eine Zwei-Faktor-Authentifizierung.

Eine WAF kann verhindern, dass massenhaft Logins von einer Quelle durchgeführt werden. Dadurch werden Bruteforce-Angriffe und Credential Stuffing unterbunden.

Die 5 häufigsten Fehler in Online-Shops

Cross-Site Scripting (XSS) verhindern

Ähnlich wie bei einer Injection wird durch Cross-Site Scripting Schadcode an die Webseite übertragen. Im Gegensatz zur Injection wird dieser Code aber nicht von der Webseite, sondern von anderen Nutzern beim Aufruf der Seite ausgeführt.

blogTitle-datenschutz

Cyberkriminelle nutzen hierzu Eingabeformulare und andere offene Schnittstellen zur Webseiten-Kommunikation. Über den Schadcode werden dann Nutzerdaten ausgelesen oder Malware auf den Nutzer-Rechner heruntergeladen.

Durch eine Web Application Firewall werden Nutzer-Eingaben auf mögliche schädliche Inhalte geprüft und bereinigt. Dazu gehört Code in JavaScript.

So sichern Sie Ihren Shop mit einer WAF

Es gibt mehrere Möglichkeiten, eine Web Application Firewall für Ihren Shop einzurichten. Da die WAF zwischen Webseite und Nutzer geschaltet wird, ist dazu keine Änderung am Code der Webseite nötig. Jedoch kann es sein, dass der Webserver angepasst werden muss.

Eine andere Möglichkeit ist die Einrichtung der WAF über einen Cloud-Anbieter wie Cloudflare oder wao.io. Dabei können Sie auch noch weitere Features zur Sicherheit und Ladegeschwindigkeit aktivieren.

google speed update

Wichtig ist, die Webseite nach der Einrichtung der Web Application Firewall ausgiebig auf ihre Funktionalität zu testen.

In manchen Kontexten können die Funktionen der WAF eine gewollte Kommunikation zwischen Nutzer und Webseite verhindern. Bei den gängigen Shop-Systemen dürfte dies aber nicht der Fall sein.

Eine Web Application Firewall nutzt Ihrer Webseite und Ihren Nutzern am besten im Verbund mit weiteren Sicherheitsmaßnahmen:

  • SSL-Zertifikat

  • Einrichtung von Security Headers

  • Schutz vor DDoS-Attacken

  • Shop-Software mit regelmäßigen Sicherheitsupdates

WAF als wichtiger Schritt zur PCI Compliance

Die PCI Compliance ist auch für den Versandhändler Eurotops ein wichtiger Faktor. Zum Einen, um so die Bezahlung mit Kreditkarten anbieten zu können. Zum Anderen, um den Kunden des Online-Shops ein sicheres und sorgenfreies Shopping-Erlebnis zu bieten

20180619-FacebookAds_shopping-cart_680x280

Die Website Security des Shops muss daher immer auf dem aktuellsten Stand zu sein. Stefan Zenden, Leiter E-Commerce bei Eurotops, vertraut auf den Cloud-Anbieter wao.io. Ohne Änderung am Code des Shops bekam Eurotops so eine Web Application Firewall. Auch der Sicherheitsstandard TLS 1.3 wird nun immer eingehalten.

So ermöglicht Eurotops seinen Kunden nicht nur eine sichere und schnelle Customer Journey, sondern genügt auch vielen der Anforderungen des PCI-DSS. Im Verbund mit anderen Maßnahmen können Kunden somit auch mit Visa und Mastercard im Shop bezahlen.

Fazit

Wenn Sie für Ihren Shop PCI Compliance erreichen möchten, ist die Einrichtung einer Web Application Firewall ein Muss. Mit einer WAF schützen Sie Ihren Shop vor den OWASP Top 10 und damit unter anderem vor Injection, Datendiebstahl und Cross-Site Scripting.

Den Anforderungen des PCI-DSS zu genügen, bedeutet darüber hinaus mehr, als nur einen Standard einzuhalten. Die von Ihnen getroffenen Sicherheitsmaßnahmen wirken sich auch direkt auf das Vertrauen der Nutzer in Ihren Shop aus.

Eine Web Application Firewall eignet sich im Verbund mit weiteren Schutzmaßnahmen dazu, Ihren Shop optimal zu schützen. Mehr zu diesem Thema finden Sie in unserer ausführlichen Übersicht zur Website Security.

Checkout Optimierung

0 Kommentare