Basisschutz für Online-Shops: die Server-Konfiguration
Server sind nicht für jeden Online-Händler das Mittel der Wahl, denn es existieren viele Alternativen zum eigenen Server. Online-Shop-Betreiber, die sich jedoch für den eigenen Server entschieden haben, sollten sich mit der Konfiguration vertraut machen. Eine Standard-Empfehlung kann es dafür nicht geben, da sich die Ansprüche zu sehr unterscheiden. Welche Alternativen es zum eigenen Server gibt, was für eine sinnvolle Konfiguration spricht und welche Angriffsszenarien existieren erfahren Sie im heutigen Beitrag unserer Serie „Basisschutz für Online-Shops“.
Wozu benötigt man einen Server und welche Alternativen gibt es?
Um eine Website bzw. einen Shop zu hosten, existieren mehrere Möglichkeiten. Einige dieser Varianten sind:
- Shared Hosting als typische Einstiegslösung: Sie teilen sich einen Server mit anderen Anwendern. Je nach Anbieter können das ein Dutzend oder auch hunderte Mitnutzer sein. Vorteil: der Einstieg ist recht kostengünstig möglich, mit Konfigurationen schlägt sich der Provider rum. Nachteile: die für Google und andere Suchmaschinen so wichtige Performance kann leiden, wenn sich zu viele Nutzer den Server teilen. Außerdem haben Sie häufig nur beschränkte Konfigurationsmöglichkeiten. Vorteile: vergleichsweise günstig und sehr wartungsarm, damit auch zeitsparend.
- Virtual Server zur Simulation eines physischen Servers: nur wenige Virtual Server laufen auf physischen Servern beim Hoster. Nachteile: eine hohe Abhängigkeit vom physischen Server (damit verbunden auch Ausfallzeiten, Serverauslastung, etc.) und ein hoher Konfigurationsaufwand, gerade in der Anfangsphase. Vorteile: kostengünstiger und performanter als Shared Hosting, viele Konfigurationsmöglichkeiten, mehr Performance als beim Shared Hosting.
- Server in physischer Form: Sie nutzen einen physischen Rechner im Rechenzentrum des Hosters Ihres Vertrauens komplett für sich allein. Man unterscheidet zwischen Root-Server, den Sie selbstständig konfigurieren, updaten und verwalten, sowie Managed Server, bei dem der Hoster eben diese Aufgaben übernimmt. Nachteile: vergleichsweise hohe Kosten und entweder hoher Konfigurationsaufwand (Root) oder Konfiguration in der Hand des Hosters (Managed) und damit eventuell nicht entsprechend des Bedarfs. Vorteile: volle Performance ohne Beeinflussung durch andere Nutzer, hohe Flexibilität und Anpassung an eigenen Bedarf möglich (Root) bzw. geringer Verwaltungs-/Wartungsaufwand (Managed).
Ein Online-Shop stellt recht hohe Anforderungen ans Hosting: neben einer Datenbank und je nach Umfang des Shops gilt es, weitere technische Anforderungen zu erfüllen: die Anforderungen an die Verfügbarkeit, die Sicherheit, an Backups, aber auch an Support sind oft hoch. Deshalb empfiehlt es sich, entweder auf höhere Hosting-Tarife oder einen eigenen Server zu setzen. Auch unter hoher Trafficlast sollte der Shop nicht in die Knie gehen. So kann es etwa passieren, dass saisonal bedingt mehr Traffic zu erwarten ist, etwa zur Weihnachtszeit. Ihnen entgeht Umsatz und Kaufabbrüche werden alltäglich, wenn Ihr Shop nicht mithalten kann. Auch werten Suchmaschinen weniger performante Seiten ab, sodass Ihr Shop nicht mehr so gut gefunden wird. Setzen Sie auf eine schnelle Lösung mit geringst möglichen Ausfallzeiten. Zusammenfassen lassen sich die Vorteile eines Servers wie folgt:
- Leistung: da Sie den Server ausschließlich für Ihren Shop verwenden, steht Ihnen die volle Performance zur Verfügung. Das ist insbesondere dann sehr positiv, wenn sich ein Besucheransturm als Folge einer erfolgreichen Werbekampagne oder ähnlichem ankündigt. Schnelle Ladezeiten wirken sich positiv auf die Suchmaschinenoptimierung und damit auf die Conversion Rate aus. In dieser Infografik wird der Zusammenhang zwischen Ladezeiten und Umsatzentwicklungen anschaulich dargestellt.
- Response Time: ein weiterer Punkt ist neben der Ladezeit auch die sogenannte Response Time; die Antwortzeit. Diese hat enormen Einfluss darauf, wann Ihre Website erste Inhalte anzeigt. Eine kürzere Response Time führt also zu einer verringerten Ladezeit und mit einem Server verringern Sie die Response Time.
- Mehr Flexibilität: die Möglichkeiten bedarfsgerechter Konfigurationen sind bei Servern viel größer als beim Shared Hosting. So gelingt es, Ihren Shop zu individualisieren. Oftmals erweitern zusätzliche Features wie eine SSD die Flexibilität zusätzlich.
- Support: buchen Sie einen Server, erhalten Sie in aller Regel auch umfassenderen Support.
- Sicherheit: ein eigener Server kann der Sicherheit dienlich oder hinderlich sein. Gerade beim Nutzen eines Root-Servers sollten Sie sich eingehend mit der Materie befassen oder einen Profi an die Konfiguration lassen, da Sie sonst womöglich Sicherheitslücken offenlassen. Ein zweifelsfreier Vorteil ist jedoch, dass keine anderen Nutzer existieren, deren Accounts womöglich gehackt werden könnten.
Default oder individuell: Managed versus Root Server
Die Vorteile eines Servers für Online-Shops überzeugen und Sie entscheiden sich für Ihren eigenen Server. Nun stellt sich noch die Frage, ob Sie die Default-Einstellungen Ihres Providers in Form eines Managed Servers nutzen möchten oder ob Sie lieber alles Ihrem individuellen Bedarf anpassen und zum Root Server greifen. Werfen wir einen ausführlicheren Blick auf die Unterschiede:
Beim Managed Server handelt es sich um einen Webserver, der durch einen fachlich versierten Administrator des jeweiligen Providers gepflegt wird. Über die technischen Details brauchen Sie sich also keine Gedanken machen; anstatt sich ums Update-Management Ihres Servers zu kümmern, können Sie sich voll und ganz auf Ihren Online-Shop fokussieren. Sie haben den Server und damit auch die komplette Leistung für sich allein, sodass Ihr Shop auch mit Besucheranstürmen zurechtkommt. Sie benötigen also keinerlei Kenntnisse für den Serverbetrieb, brauchen die Rechenleistung nicht zu teilen, sicherheitsrelevante Einstellungen obliegen dem Administrator und das Wiederherstellen Ihrer Daten ist im Notfall schnell machbar. Profis jedoch werden Managed Server für zu unflexibel halten, da Individualkonfigurationen nicht vorgesehen sind. Sie binden sich an Ihren Provider und im Notfall sind Sie auf die Reaktionsschnelligkeit des Supports angewiesen.
Ein Root Server gibt dem Anwender den vollen Systemzugriff frei. Bei einem Linux-Server geschieht dies via SSH, bei Windows-Servern via Remote Desktop. Das hat zur Folge, dass Sie alleinig für Ihren Server verantwortlich sind – bis auf die Hardware, denn ist ein Bauteil defekt, ist der Provider zuständig. Um Software-Updates, die Auswahl und Installation des Betriebssystems, um die Konfiguration, ums Anlegen und Verwalten Ihrer Domain kümmern Sie sich selbstständig. Fehlen Ihnen dazu die Kenntnisse, werden Sie leider nicht weit kommen, jedoch können Sie einen IT-Dienstleister beauftragen, um Sicherheitslücken zu vermeiden. Die komplette Rechenleistung nutzen Sie, wie beim Managed Server, für sich allein. Sie behalten die volle Kontrolle über verwendete Software und können dank SSH-/ Remote Desktop-Zugang selbst auf Fehlersuche gehen. Sie machen sich unabhängiger von den Reaktionszeiten Ihres Providers. Jedoch ist viel Fachwissen erforderlich, Sie benötigen ggf. eine Urlaubs-/ Krankheitsvertretung und tragen bezüglich der Sicherheit des Servers volle und alleinige Verantwortung. Sie können auch haftbar gemacht werden, wenn durch das Ausnutzen einer Sicherheitslücke etwas passiert.
Angriffsszenarien: was kann bei falscher Server-Konfiguration geschehen?
Abgesehen davon, dass Ihr Online-Shop in Verruf geraten könnte, wenn Sicherheitslücken bestehen, gilt bei einem Server auch die Haftungsfrage: Sie sind für das Erfüllen aller rechtlichen Pflichten verantwortlich. Hackt etwa jemand den Server, um daraus eine Spamschleuder zu machen, stehen Sie am Pranger. Jedoch sind die potenziellen Gefahren vielfältig und reduzieren sich nicht nur auf Hacker. Malware, eine nicht sinnvolle Rechtevergabe für Mitarbeiter, Sicherheitslücken in installierter Software, falsch installierte SSL-Zertifikate sind nur wenige Beispiele möglicher Gefahren. Achten Sie auf:
- Firewall: die Firewall zeigt sich zuständig für die Kontrolle ausgehender und eingehender Datenpakete. In unserem Beitrag „Basisschutz für Online-Shops: die Firewall“ sind wir bereits ausführlich auf die Firewall eingegangen.
- Antivirenprogramme: konfigurieren Sie Ihre Antiviren-Suite so, dass sie immer im Hintergrund aktiv ist und alles überprüft. Einige Suiten sind per Default so konfiguriert, dass sie nur bestimmte Bereiche kontrollieren. Für Ihren Online-Shop macht es jedoch Sinn, jede Datei überprüfen zu lassen. Stellen Sie Ihr AV-Programm also so ein, dass sie jedes Verzeichnis kontrolliert, das innerhalb des Netzwerk für Lese- und Schreibzugriff geöffnet ist.
- Patch-Management: es sollte selbstverständlich sein, alle installierten Programme aktuell zu halten – ist es aber leider nicht. Deshalb haben wir dem Patch-Management ebenfalls einen eigenen Artikel gewidmet. Behalten Sie bitte im Hinterkopf, dass ein Softwareupdate nicht nur neue Funktionen bringen kann, sondern vor allem die Sicherheit fördert, da Sicherheitslücken geschlossen werden. Achten Sie darauf, vor jedem Update eine Datensicherung anzulegen – idealerweise machen Sie das ohnehin regelmäßig. Falls ein verteiltes Update selbst fehlerhaft ist, können Sie mithilfe Ihrer Sicherung den alten Stand einspielen und Sie halten den Betrieb am Laufen.
- Verschlüsselung: für Ihren Online-Shop ist ein SSL-Zertifikat Pflicht – der Verzicht auf die verschlüsselte Übertragung von Kundendaten ist absolut inakzeptabel; das sieht mittlerweile auch der Gesetzgeber so. Sie können Ihren Server so konfigurieren, dass Sie das SSL-Feature Perfect Forward Secrecy (PFS) nutzen. Das schützt die Daten Ihrer Kunden deshalb noch besser, weil das Entschlüsseln nicht mal im Nachhinein möglich ist. PFS arbeitet mit sogenannten Session-Keys, also Sitzungsschlüsseln. Mehr zu PFS erfahren Sie in unserem Knowledge-Base-Artikel zur PFS-Konfiguration.
Daneben ist auch das Verschlüsseln der Daten sinnvoll, die auf Ihrem Server liegen. Es existieren verschiedene Verschlüsselungsprogramme, die sogenannte Container bereitstellen, die sich wie gängige Verzeichnisse verhalten. In diesen Containern speichern Sie Ihre Daten, die vom System automatisiert ver- bzw. entschlüsselt werden. Einen Container können Sie ausschließlich mit einem oder gar mehreren Schlüsseln öffnen. Legen Sie auch von Ihren verschlüsselten Daten ein Backup an, das Sie idealerweise mithilfe eines sicheren Passworts absichern.
- Sinnvolle Rechtevergabe: wächst Ihr Shop, kommt früher oder später der Zeitpunkt, an dem Sie Mitarbeiter einstellen werden. Die Versandabteilung muss auf den Server zugreifen, um die Ware an die korrekte Adresse zu versenden, benötigt jedoch keinesfalls Zugriff auf die Zahlungsdaten. Die Buchhaltung hingegen benötigt Zugriff auf die Zahlungsdaten, jedoch keinen Zugriff auf die Shop-Administration. Statten Sie jeden Mitarbeiter bzw. jede Abteilung mit so wenig Rechten wie möglich aus, um Risiken zu minimieren.
Hacker gehören zweifelsfrei zu den häufigsten Angreifern von Online-Shops. Sie können Malware verteilen oder aber Kundendaten manipulieren sowie stehlen. Hacker können nicht nur den Shopbetrieb lahmlegen, sondern auch das Image eines Shops nachhaltig zerstören. DDoS-Attacken sind ein weiteres Schreckensszenario für Online-Händler: der Shop kann lahmgelegt, der Shopbetreiber erpresst werden. Bei einer DDoS-Attacke senden Angreifer so viele Anfragen an einen Server, bis dieser überlastet und damit funktionsunfähig ist. DDoS-Angriffe sind eine Form von DoS-Angriffen, wobei „DoS“ für „Denial of Service“ steht und sich etwa mit „Dienstverweigerung/ -überlastung“ übersetzen lässt. Bei der DDoS-Variante geht die Attacke von verteilten („distributed“), also mehreren Angreifern aus. Als Opfer haben Sie diese Möglichkeiten, um zu reagieren:
- Informieren Sie zunächst Ihren Provider über den Angriff. Informieren Sie Ihren Provider nicht, steigt die Wahrscheinlichkeit, dass dieser Ihren Shop offline schaltet.
- Steckt ein Erpresser dahinter, der Lösegeld von Ihnen verlangt, zahlen Sie dies auf keinen Fall! Denn: der nächste Angriff kommt bestimmt und wenn Sie zahlen, haben Sie sich bereits einmal zu viel als finanzstarkes bzw. zahlungswilliges Opfer geoutet.
- Erstatten Sie Strafanzeige. Online-Kriminalität rückt immer weiter in den Fokus verschiedener Polizeidienststellen; auf Präsidiumsebene finden Sie Fachleute, die dem Angriff nachgehen.
Die Server-Konfiguration: Fazit
Die richtige Konfiguration Ihres Servers entscheidet maßgeblich über die Sicherheit Ihres Online-Shops. Auf Shared Hosting oder Virtual Server zu setzen, macht für Shopbetreiber wenig Sinn, da eine gute Performance und individuelle Einstellungen möglich sein sollten. Sie können einen Server für sich allein nutzen, wenn Sie sich für einen Managed Server oder einen Root Server entscheiden. Wählen Sie den Managed Server, kümmert sich Ihr Provider um die nötige Wartung, jedoch geht Ihnen Flexibilität verloren. So kann es etwa passieren, dass der Provider einer Software, auf die Sie setzen möchten, nicht zustimmt. Beim Root Server sind Sie Ihr eigener Herr. Damit geht jedoch ein hohes Maß an Verantwortung ein, da die gesamte Konfiguration ausschließlich Ihnen obliegt. Holen Sie sich Unterstützung durch einen IT-Dienstleister, können Sie sich weiterhin auf Ihren Shop fokussieren, während der Dienstleister den Server pflegt. Für Shopbetreiber, die eher laienhaft an einen Server rangehen, ist dies unbedingt zu empfehlen.
Verfügen Sie über Profi-Wissen, steht der eigenen Verwaltung des Servers nichts im Wege. Achten Sie unbedingt auf eine sinnvolle Konfiguration, um sich vor Sicherheitslücken zu schützen und damit auf Haftungsrisiken zu verzichten. Schützen Sie sich mit einer Firewall, Antivirensoftware, Verschlüsselung, einem ausgereiften Patch-Management sowie einer sinnvollen Rechtevergabe vor Sicherheitsrisiken, können Sie all jene Vorteile für sich und Ihren Shop nutzen, die ein eigener Server bietet. Denken Sie auch über eine Server-Verwaltungssoftware nach, die Ihnen durch Automatisierungen sowie flexibler Benutzerverwaltung einiges an Arbeit abnehmen kann. Wir können LiveConfig empfehlen; die Software erhalten Sie schon ab 2,49 € pro Monat. Sprechen Sie mit unseren Security-Experten über die Ihre Server-Sicherheit – wir beraten Sie gerne!
Schreibe einen Kommentar