Sicherheitsrisiko externes Widget


Die Gefahren von Widgets am Praxisbeispiel

Externe Widgets bieten die Gelegenheit, einfach, schnell und kostengünstig einen Mehrwert zu generieren. Der Nutzen, den die Apps im mobile-Bereich mit ihrer tollen Akzeptanz schon bewiesen haben, ist nun mit externen Widgets auch für Webseiten und Webshops möglich. Doch Vorsicht, schnell kann es zu unvorhergesehenen Problemen und Umsatzverlust kommen. Die Vernetzung mit weiteren Anbietern, in deren technische Voraussetzungen man keinen Einblick hat, birgt immense Gefahren in sich. Worst Case: „Seite nicht erreichbar“.

Was sind Widgets?

Als Betreiber einer Webseite – ob nun im E-Commerce oder auf anderen Gebieten – sieht man sich mit vielfältigen Herausforderungen und vor allen Dingen Kosten konfrontiert. Google hat dieses Jahr mit diversen Neuheiten viele Turbulenzen verursacht, Panda und Penguin sind hier als größte Updates anzuführen. Das alles muss von den Webseiten-Betreibern gestemmt werden. Der mittlerweile existierende Verdrängungsmarkt zwingt die Betreiber zur kompromisslosen Optimierung in allen Bereichen wie z. B. SEA (AdWords), Conversion Optimierungen und Usability.

Bei einem solch großem Pensum an Aktivitäten ist man als Betreiber froh, Hilfestellungen, Unterstützungen und vor allen Dingen Vereinfachungen durch die Nutzung fertiger interaktiver Elemente zu erhalten. Im Bereich der mobile Phones ist dies schon gang und gäbe und wird als App oder Widget bezeichnet. Sie sind jedermann bekannt und fast lückenlos in allen Bereichen eingesetzt. Diese „kleinen Helferlein“ bieten im Idealfall einen hohen Nutzen bei minimalem Aufwand.

Widgets, sind also kleine autarke Anwendungen, die in Drittsystemen wie auch Webseiten, einfach eingebettet und genutzt werden können. Die Möglichkeiten reichen von der Integration von Bewertungen, Kommentarfunktionen, über die Darstellung von Vertrauenssignalen bis hin zu Wetterdaten und erweiterten Funktionalitäten. Schlichtweg ein attraktiver und einfach zu integrierender Mehrwert oder Content.

Die unkomplizierte Einbindung der Widgets mittels Code-Snippets vereinfacht das Prozedere: Code-Snippet klug eingebunden – Mehrwert integriert – Ziel erreicht! Allerdings bergen die Widgets auch Gefahren, wie der im Folgenden beschriebene reale Anwendungsfall eines Kinderhotels zeigt.

Praxisbeispiel: Ein Widget macht Ärger

Eines der führenden Bewertungsportale in der Touristik hatte im September ein technisches Problem. Es stellte sich später heraus, dass die Server gehackt und von Malware verseucht wurden. Als Webseiten-Betreiber, der den Service des Bewertungsportals lediglich über ein eingebundenes Widget zur Verfügung stellt, werden Sie sicherlich denken: „Das hat doch mit meiner Webseite nichts zu tun!“ Die korrekte Antwort darauf lautet aber: In so einem Fall sind Sie als Webseiten-Betreiber mit integriertem Widget direkt betroffen!

Die aus diesem Vorfall entstandenen Folgen waren eine wesentlich schlechtere Erreichbarkeit der Webseite über die Browser, ein komplettes Abschalten des Google AdWords Kontos und eine Verschlechterung der organischen Suchergebnisse. Die hohe Abhängigkeit von Google sei hier nur nebenbei angemerkt.

Die erste Meldung kam als Malware Alert über Google AdWords. Dies hatte natürlich unmittelbar die Sperrung des AdWords-Kontos zur Folge. Es entstanden keine Umsätze mehr an dieser Stelle! Natürlich gab es hier zunächst keinerlei offensichtliche Erklärung und eine umfangreiche Fehlersuche sowie ein aufwendiger Analyseprozess fügte sich nahtlos daran an. Bald darauf kamen weitere Meldungen, die ersten Kunden kontaktierten das Hotel und teilten ihre Probleme mit. Die Webseite war über die Browser Google Chrome und Firefox nicht mehr erreichbar. Dann folgte eine Malware Sicherheitswarnung. Nun war das Chaos komplett und alle Alarmglocken schrillten.

 Maleware Sicherheitswarnung

Maleware Sicherheitswarnung

Externes Widget als Fehler entlarvt

Eine technisch einwandfreie Seite, geprüft seitens Webmaster sowie Hoster und Agentur generiert einen kompletten Cut anhand des angeblichen Malware Alerts. Das erste Problem bestand eben in diesem Punkt: Die Webseite war problemfrei, dennoch wurde der Malware Alert generiert.

Die Webseite wurde nun ein weiteres Mal komplett durchgecheckt:

  • Prüfen des integrierten JS
  • Prüfen der Sourcen
  • Checkup der Fehlermeldung (die leider etwas unzureichend war)

Bis dato war die Webseite bereits einen ganzen Tag nicht erreichbar. Fallback-Lösungen und ein eingeübtes Krisenmanagement existierten bisher nicht, was dazu führte, dass keine Buchungen über die Webseite eingehen konnten.

Nachdem alle internen Faktoren ausgeschlossen werden konnten, konzentrierten sich die Spezialisten nun auf mögliche externe Faktoren. Langsam bewegte sich die Analyse in Richtung der Widgets. Der Ausschluss weiterer Faktoren erfolgte und überraschenderweise wurde das Widget des Bewertungsanbieters als Übeltäter entlarvt.

Zeitgleich ergaben Recherchen im Internet erste Hinweise auf diese Problemquelle. Der Widget-Anbieter hatte sich bis dato entsprechend bedeckt gehalten und keine entsprechende Meldung an Kunden und Webseiten-Betreiber gesandt.

Der entstandene Schaden

Faktisch war die Website nun zwei Tage nicht über diverse Browser erreichbar. Die AdWords-Maßnahmen mussten dann noch einen Checkup seitens Google über sich ergehen lassen und waren dann erst am dritten Tage wieder aktiv geschaltet.

Zusammenfassend waren es also zwei komplette Tage mit eingeschränkter Erreichbarkeit der Website und abgeschalteten Kampagnen. Hinzu kommt der seitens Google angestoßene Checkup des AdWord-Kontos nach Bereinigung der Situation am dritten Tag.

Aus der Perspektive des SEA bedeutete das eine Spanne von drei Tagen ohne wirksame Maßnahmen und infolge dessen keine Buchungen und keinen Umsatz in diesem Bereich. Den mit einem vergleichbaren Vorfall auf Ihrer Webseite möglichen Verlust könnten Sie am eigenen Beispiel berechnen.

Risiko beim Einsatz externer Widgets

Externe Widgets sind fallweise nützlich und in der Lage, einen echten Mehrwert zu generieren, aber dennoch nicht ohne Gefahren. Seitenbetreiber, welche diese Widgets bereits einsetzen, oder noch einsetzen wollen, müssen mit einem erhöhten Sicherheitsrisiko und einer höheren Anfälligkeit rechnen.

Nicht zu vergessen ist der Umstand, dass man sich fremden Code ausführbar auf die eigene Website / den eigenen Webshop integriert. Dies birgt eklatante Sicherheitsrisiken in sich, da man in der Regel keine Gewährleistung der Sicherheit und auch keinen Einblick in die technischen Voraussetzungen der Anbieter hat.

Die externen Widgets entsprechen einer regelrechten „Black Box“, die man in sein eigenes System integriert. Aus gutem Grund verlief eine berühmte Eroberung in der griechischen Mythologie nach diesem Muster und aus demselben Grund kommt diese Strategie in kriminellen und nachrichtendienstlichen Kreisen regelmäßig zur Anwendung.

Natürlich sind die allermeisten Widget-Anbieter von seriöser Art, dennoch sollten grundsätzlich nur externe Widgets von absolut vertrauenswürdigen Anbietern genutzt werden. Doch selbst dann bleibt immer noch ein Restrisiko, welches nicht zu kalkulieren ist. Technische Fehler, Servercrash, gehackte Anbieternetzwerke und der berühmte „man in the middle“ bleiben in diesem Fall als unkalkulierbares Restrisiko.

Unter diesen Aspekten gilt es, das Restrisiko als potentielle Fehlerquelle im Auge zu behalten, etwaige Folgen funktionell abzusichern und für den worst case immer eine Fallback-Lösung griffbereit zu halten.

Previous E-Commerce: Umsatzmaximierung mit Strategie
Next Die 7 größten Fehler bei der Systemevaluation

No Comment

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

eins × drei =