Radware macht Web-Shops Beine

Nicht nur der Einzelhandel zeigte sich nach dem ersten Advent-Wochenende und den damit verbundenen Weihnachtseinkäufen zufrieden. Auch die Betreiber von Online-Shops profitieren von der Kauflaune der Bundesbürger. Nach Angaben des Branchenverbandes Bitkom wollen in diesem Jahr rund 22 Millionen Deutsche Weihnachtsgeschenke im Internet kaufen – rund 57 Prozent mehr als im Vorjahr. Weitere 17 Millionen Bundesbürger haben Interesse am Online-Weihnachtsshopping, sind jedoch noch unentschlossen. Besonders beliebt sind Computerspiele, Digitalkameras, Smartphones, PCs und Rechnerkomponenten sowie Flachbild-Fernsehgeräte.

Für die Betreiber von Web-Shops hat dieser Trend zwei Facetten. Zum einen ist die hohe Nachfrage erfreulich, weil dies entsprechende Umsätze bedeutet. Zum anderen können dadurch jedoch Probleme entstehen, vor allem durch eine Überlastung der IT-Infrastruktur und durch Angriffe von Hackern. Nach Angaben von Radware_blank, einem Anbieter von IT-Sicherheitssystemen und Lösungen für das Bereitstellen von Anwendungen (Application Delivery), nutzen Angreifer die Vorweihnachtszeit, um über Bot-Netze Attacken auf Online-Handelsseiten zu starten.

"Händler, die ihre Waren oder Dienstleistungen online vermarkten, müssen sich dieser Gefahren bewusst sein", sagt Martin Krömer, Regional Director Central Europe bei Radware. "Es ist notwendig, Sicherheitsvorkehrungen zu treffen und gleichzeitig mithilfe von Lastausgleichslösungen dafür zu sorgen, dass eine Web-Site nicht bei einem Massenansturm in die Knie geht." Radware empfiehlt daher, mehrstufige Sicherheitsmaßnahmen zu treffen. Diese dürfen jedoch nicht dazu führen, dass die Leistungsfähigkeit des Netzes sinkt. Das Sicherheitssystem sollte eine Intrusion-Prevention-Komponente (IPS) enthalten, außerdem Schutz vor gezielter Überlastung durch Angriffe (Denial of Service, DoS) bieten und das "Verhalten" des Netzes und der darin befindlichen Systeme analysieren. Als Ergänzung dienen Reputation-Engines, die in Echtzeit Schadsoftware und Phishing-Angriffe auf die Nutzer des Online-Shops erkennen und abwehren. Solche reputationsorientierten Sicherheitssysteme bietet indes nicht nur Radware an. Sie sind von allen bekannten Anbietern von Security-Lösungen zu haben – darunter etwa McAfee, Kaspersky, Sophos, Symantec oder Trend Micro.

Wichtig ist, dass die Sicherheitsmaßnahmen den Diebstahl von Kundeninformationen, insbesondere Finanzdaten wie Kreditkarteninformationen wirkungsvoll unterbinden. Was Radware nicht schreibt: Dazu gehört auch das regelmäßige Einspielen von Patches für (Server-)Betriebssysteme, Datenbanksoftware und Anwendungen, auf die ein Shop zurückgreift. Veraltete Software mit entsprechenden Sicherheitslöchern macht es Angreifern leicht, Ansatzpunkte für Attacken zu finden.

Verfügbarkeit von Servern und Anwendungen sicherstellen

Ein Schwachpunkt vieler Shops besteht darin, dass sie bei Anfragespitzen mit Zeitverzögerungen oder gar dem Abbruch von Transaktionen reagieren. Daher sollten Händler nötigenfalls so genannte Application Delivery Controller (ADC) einsetzen. Solche Systeme entlasten Web-Server und das Netzwerk, indem sie die Last auf mehrere Systeme verteilen (Load-Balancing), Daten zwischenspeichern (Caching) und komprimieren sowie die Übermittlung über TCP-Verbindungen optimieren. Neben Radware gibt es eine ganze Reihe weiterer Anbieter solcher Lösungen, unter anderem Cisco, Citrix oder F5 Networks.

Ein weiterer Faktor ist die Kontrolle und Überwachung des Datenverkehrs und der Betriebsabläufe. Radware empfiehlt in diesem Fall seine Security-Lösung APsolute Attack Prevention. Sie kombiniert ein IPS-System mit Funktionen wie Abwehr von verteilten Denial-of-Service-Angriffen (DDoS) und einer Identifizierung von Gefahren auf Basis einer Netzwerkanalyse (Network Behavorial Analysis). Als Ergänzung empfiehlt es sich für große Online-Shops, im Vorfeld Lasttests durchführen zu lassen. Spezialanbieter wie Keynote Systems oder Gomez führen solche Analysen durch. Sie simulieren dabei eine hohe Zahl von Zugriffen auf eine Web-Site oder einzelne Internet-Seiten eines Online-Angebots. Allerdings können auch technisch versierte Reseller oder Systemhäuser solche Tests in ihr Portfolio mit aufnehmen und bei ihren Kunden durchführen.

Lasttests durchführen

Wichtig ist dabei, dass solche Lasttests das Verhalten von Usern in möglichst realistischer Weise berücksichtigen. In der Regel sind auf einem Online-Shop Nutzer "unterwegs", die nach Produkten suchen, solche, die bereits einen Einkaufsvorgang gestartet haben inklusive Befüllen des Warenkorbs und Bezahlen, oder solche, die nach dem Stand einer Warenlieferung recherchieren. Wer somit solche Tests in Eigenregie durchführen möchte, muss entsprechende Scripts aufsetzen, die alle diese Vorgänge nachbilden.

Keynote Systems empfiehlt, solche Performance-Tests regelmäßig durchzuführen, am besten in jedem Jahr. Der Grund ist, dass sich die IT-Infrastruktur regelmäßig ändert, sei es die hauseigene, sei es die eines Hosting-Partners, auf dessen Systemen ein Web-Shop läuft. Bei großen Web-Shops lohnt es sich, einzelne Gruppen von Elementen, etwa Datenbanken mit einzelnen Produktkategorien, auf unterschiedliche Server zu verlagern. Eine solche Struktur lässt sich einfacher skalieren, ist jedoch komplizierter in puncto Management.

Ein Tipp, der sich in einem interessanten Beitrag zum Thema "Shop Performance Optimization" im Weblog Konversionskraft findet: Online-Shops so aufbauen, dass zunächst die Inhalte geladen werden, die den Nutzer am ehesten interessieren, also Bilder, Produktbeschreibungen oder Preisangaben. Weniger relevanter Content wird nachgeladen. Das beschleunigt die Ladezeiten und gibt dem Nutzer diejenigen Informationen, die dieser sofort haben möchte. Und noch ein Tipp: Die US-Firma Gomez, Spezialist für Web-Optimierung und Lasttests von Web-Sites, hat eine Rangliste der Web-Auftritte von Firmen aus ausgewählten Branchen in Deutschland veröffentlicht. Im Bereich Medien belegt Heise.de in allen drei Disziplinen Verfügbarkeit, Konsistenz des Angebots und Antwortzeiten absolute Spitzenplätze. (map)
(map)