Onlineshops sind und bleiben ein heißes Ziel für Cyberangriffe. Für Identitätsdiebstahl sind sie Schatzkammern für persönliche Daten. Aber nicht nur potenzielle Kund:innen, die auf dem Weg sind Waren aus dem Internet zu beziehen, müssen auf der Hut sein. Auch Unternehmer:innen sind betroffen. Die Kosten des Verlusts von Daten und Vertrauen gegenüber den Kund:innen kann erheblichen Schaden anrichten.
Welche Angriffsvektoren werden von Kriminellen an der digitalen Schnittstelle zwischen Käufer:in und Händler:in genutzt? Worauf muss in Bezug auf IT-Sicherheit besonders Wert gelegt werden? Wir möchten daher im Folgenden das Thema Cybersicherheit im E-Commerce ganzheitlich betrachten und angemessene Sicherheitsvorkehrungen erläutern.
Identitätsdiebstahl als bevorzugte Angriffsart im Online-Handel
Jede vierte Person in Deutschland ist von Kriminalität im Internet betroffen. Dies ging aus den Ergebnissen einer vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten Umfrage hervor. Dabei liegt der Anteil von Straftaten durch den Betrug beim Onlineshopping an der Spitze. Nicht nur führen Fakeshops auf der einen Seite potenzielle Kundschaft in die Irre, sondern Kund:innen verlieren das Vertrauen in authentifizierte Online-Händler:innen, falls Konten von Betrüger:innen übernommen werden. Laut Handelsforschungsinstitut IFH verlieren Online-Händler:innen so 1.4 Milliarden Euro pro Jahr durch Betrug.
Identitätsdiebstahl, auf der Kund:innen- und Händler:innenseite, stellt daher ein sehr hohes Risiko dar. Cyber-Kriminelle nutzen die ergaunerten Daten, um Bestellkonten einzurichten, Einkäufe zu tätigen, und/oder kostenpflichtige Abos abzuschließen. Und das alles auf Kosten ihrer Opfer. Handelnde auf der anderen Seite zögern mit der Integration technischer Sicherheitslösungen, die das Hacken von Konten verhindern sollen, da sie ihrer Klientel gleichzeitig ein nahtloses und angenehmes Kauferlebnis bieten möchten.
Online-Zahlungen spielen eine große Rolle
Gerade die Corona-Pandemie hat dazu geführt, dass viele Kund:innen zum ersten Mal online bestellt haben. Handler:innen leiden darunter, da die essenziellen, aber “lästigen“ Sicherheitsmaßnahmen bei Online-Zahlungen die unerfahrene Kundschaft meist abschrecken und nicht die bequemsten Abwicklungen bieten.
Für Zahlungen im Internet werden viele unterschiedliche Zahlungsdienste verwendet. Dazu zählen unter anderem das Lastschriftverfahren, Sofortüberweisungen, Zahlungskonten wie PayPal oder Kreditkartenlösungen wie 3D-Secure. Nicht selten wird dabei auch an Bankwebseiten oder zum kontoführenden Zahlungsdienstleister wie zum Beispiel Klarna weitergeleitet. Dazu kommt, dass immer mehr Banken Apps entwickeln, die ihre Nutzer:innen dazu befähigen Zahlungen „on the go“ mit ihren mobilen Geräten zu tätigen.
Angesichts der Sicherheitsaspekte für Nutzer:innen, Händler:innen und Banken, sollten die unterschiedlichen Vor- und Nachteile in Bezug der jeweiligen Zahlungsverfahren im Vorhinein berücksichtigt werden, um Bezahlungen mit Kreditkarten abzusichern. EU-Richtlinien, wie die PSD2 (Payment Services Directive 2), stellen dabei Grundlagen im E-Payment dar, deren Anforderungen an die IT-Sicherheit an den Zahlungsschnittstellen, die Sicherheit für alle Beteiligte im Zahlungsverkehr erhöhen soll. Großer Wert wird hier auf eine „starke Kundenauthentifizierung“ gelegt.
Wie kann man sich gegen Betrug im E-Commerce schützen?
Phishing per E-Mail wird von Cyberkriminellen häufig benutzt, um an die Daten ihrer Opfer zu gelangen. Besonders im Online-Geschäft werden Methoden wie E-Skimming von Kriminellen angewandt, um an Kreditkartendetails zu kommen. Es sollte daher besonders darauf geachtet werden, welche wichtigen Daten, seien es Kreditkartennummern oder auch Passwörter und Pins, von welchem Absendern und auf welche Art und Weise abgefragt werden. Sensible Informationen sollten nie weitergegeben werden, falls die Identität des Empfangenden im Vorhinein nicht überprüft wurde. Sensibilisierungskampagnen, die die Mitarbeitenden und/oder die Kundschaft schulen worauf geachtet werden muss, um sich vor Phishing-Angriffen zu schützen, minimieren das Risiko auf beiden Seiten.
Wenn es um die Speicherung von Daten geht, sollten auf der Seite der Unternehmen nie mehr Daten aufbewahrt werden, als für eine optimale Abwicklung der Geschäfte nötig sind. Vor allem in Anbetracht der wachsenden Zahl von Datenschutzbestimmungen wie in der DSGVO ist es wichtig, dass eine eigene Unternehmensphilosophie sorgfältig festhält, welche Daten in Bezug auf Sicherheit gespeichert werden dürfen. Eine Separierung der wichtigen personenbezogenen Daten von anderen Informationen, um diese mit mehr geeigneten Sicherheitsmaßnahmen zu priorisieren, ist von Vorteil. In der Kommunikation mit den Kund:innen, sollte der sichere Umgang mit den erhobenen Daten stets betont werden, um das Vertrauen zu stärken. Automatisierte Back-Up Lösungen sollten die wichtigen Daten auch noch vor vollständigen Verlust schützen.
Starke Passwörter, die sich bei jedem Konto unterscheiden erhöhen die Sicherheit für Kaufinteressierte immens. Auch auf Unternehmensseite sollte darauf Wert gelegt werden, dass ein starkes Passwort und/oder Zweifaktorauthentifizierung Bedingung bei der Erstellung eines Kontos ist. Bei E-Mail-Konten, die von Käufer:innen häufig zur Anmeldung bei verschiedenen Online-Diensten benutzt werden, gilt dasselbe – Starkes Passwort, starke Zweifaktorauthentifizierung.
Abschließend können Händler:innen die Sicherheit der Daten durch die Nutzung einer SSL-Verschlüsselung für den gesamten Online-Shop stärken, die bei der Authentifizierung zwischen vernetzten Computern unterstützt. Sobald ein SSL-Zertifikat für den Onlineshop integriert ist, kann von HTTP zu HTTPS gewechselt werden, was den Nutzenden signalisiert, dass die Website sicher ist. Falls das Zertifikat noch gültig ist, wird die sichere Verbindung meist durch ein Schloss-Symbol oder auch durch das Nutzen von https:// in der Adressleiste signalisiert. Hier kommt es drauf an, welcher Browser genutzt wird.
Wo finden Unternehmen im Bereich E-Commerce passende Maßnahmen zur Verbesserung der IT-Sicherheit?
TISiM – die Transferstelle IT-Sicherheit schafft erstmals ein bundesweites und kostenfreies Angebot, bei dem sich Betriebe und Unternehmen anbieterneutral über IT-Sicherheit informieren und konkrete Umsetzungsmaßnahmen planen können. Durch das zentrale Tool von TISiM dem Sec-O-Mat erhalten Unternehmen nach einer kurzen Befragung passgenaue Umsetzungsvorschläge zur Verbesserung ihrer IT-Sicherheit. Die Umsetzungsvorschläge bündeln dabei bereits bestehende Angebote und Initiativen und bereitet diese praxisnah auf.
Der Sec-O-Mat bietet dabei vor allem kleinen und mittleren Unternehmen ohne eigene IT-Abteilung einen niedrigschwelligen Einstieg in das Thema IT-Sicherheit. Durch regionale Anlaufstellen bei IHKs und Handwerkskammern können Unternehmen zudem auf ihrem Weg zu mehr IT-Sicherheit auch vor Ort begleitet werden. So gelangt das Wissen von Experten und Expertinnen zielgerichtet dorthin, wo es benötigt wird: in die Betriebe.
Der Beitrag wurde von der Transferstelle für IT-Sicherheit im Mittelstand (TISiM) verfasst. Die Inhalte der TISiM finden sie jetzt bei der Transferstelle Cybersicherheit im Mittelstand.
Mehr lesen über