Welche Angriffsstrategien werden von Kriminellen an der digitalen Schnittstelle zwischen Käufer:in und Händler:in genutzt? Worauf muss in Bezug auf IT-Sicherheit besonders Wert gelegt werden? Wir möchten im Folgenden das Thema Cybersicherheit im E-Commerce ganzheitlich betrachten und angemessene Sicherheitsvorkehrungen erläutern. 

Identitätsdiebstahl als bevorzugte Angriffsart im Online-Handel 

Jede vierte Person in Deutschland ist von Kriminalität im Internet betroffen. Dies ging aus den Ergebnissen einer vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten Umfrage hervor. Mehr als jede zehnte Person ist demnach schon Opfer durch den Betrug beim Onlineshopping geworden.

Nicht nur führen Fakeshops auf der einen Seite potenzielle Kundschaft in die Irre. Auf der anderen Seite verlieren auch Kund:innen schließlich das Vertrauen in authentifizierte Online-Händler:innen, falls Konten von Betrüger:innen übernommen werden. Laut Handelsforschungsinstitut IFH erleiden Online-Händler:innen durch Betrug auf diese Weise Verluste in Höhe von 1.4 Milliarden Euro pro Jahr.

Identitätsdiebstahl auf der Kund:innen- und Händler:innenseite stellt somit ein sehr hohes Risiko dar. Cyber-Kriminelle nutzen die ergaunerten Daten, um Bestellkonten einzurichten, Einkäufe zu tätigen, und/oder kostenpflichtige Abos abzuschließen. Und das alles auf Kosten ihrer Opfer.

Handelnde auf der anderen Seite zögern mit der Integration technischer Sicherheitslösungen, die das Hacken von Konten verhindern sollen, da sie ihrer Klientel gleichzeitig ein nahtloses und angenehmes Kauferlebnis bieten möchten.

 

Lernzentrale Identitätsdiebstahl

Jetzt in der DiFü-Lernzentrale erfahren, wie man sich gegen Identitätsdiebstahl schützen kann und fit werden für den Digitalführerschein!

Online-Zahlungen spielen eine große Rolle 

Gerade die Corona-Pandemie hat dazu geführt, dass viele Kund:innen zum ersten Mal online bestellt haben. Handler:innen leiden darunter, da die essenziellen, aber “lästigen“ Sicherheitsmaßnahmen bei Online-Zahlungen die unerfahrene Kundschaft meist abschrecken und nicht die bequemsten Abwicklungen bieten. 

Für Zahlungen im Internet werden viele unterschiedliche Zahlungsdienste verwendet. Dazu zählen unter anderem

  • das Lastschriftverfahren,
  • Sofortüberweisungen,
  • Zahlungskonten wie PayPal oder
  • Kreditkartenlösungen wie 3D-Secure.

Nicht selten wird dabei auch an Bankwebseiten oder zum kontoführenden Zahlungsdienstleister wie zum Beispiel Klarna weitergeleitet. Dazu kommt, dass immer mehr Banken Apps entwickeln, die ihre Nutzer:innen dazu befähigen, Zahlungen „on the go“ mit ihren mobilen Geräten zu tätigen. 

Angesichts der Sicherheitsaspekte für Nutzer:innen, Händler:innen und Banken sollten die unterschiedlichen Vor- und Nachteile in Bezug der jeweiligen Zahlungsverfahren im Vorhinein berücksichtigt werden, um Bezahlungen mit Kreditkarten abzusichern.

EU-Richtlinien, wie die PSD2 (Payment Services Directive 2), stellen dabei Grundlagen im E-Payment dar, deren Anforderungen an die IT-Sicherheit an den Zahlungsschnittstellen die Sicherheit für alle Beteiligte im Zahlungsverkehr erhöhen soll. Großer Wert wird hier auf eine „starke Kundenauthentifizierung“ gelegt. 

Wie kann kann man sich gegen Betrug im E-Commerce schützen? 

Vorsicht vor Phishing

Pishing per E-Mail wird von Cyberkriminellen häufig benutzt, um an die Daten ihrer Opfer zu gelangen. Besonders im Online-Geschäft werden Methoden wie E-Skimming von Kriminellen angewandt, um an Kreditkartendetails zu kommen.

Es sollte daher besonders darauf geachtet werden, welche wichtigen Daten, seien es Kreditkartennummern oder auch Passwörter und PINs, von welchen Absendern und auf welche Art und Weise abgefragt werden.

Sensible Datenweitergabe vorab prüfen

Sensible Informationen sollten nie weitergegeben werden, falls die Identität des Empfangenden im Vorhinein nicht überprüft wurde. Sensibilisierungskampagnen, die die Mitarbeitenden und/oder die Kundschaft schulen, um sich vor Phishing-Angriffen zu schützen, minimieren das Risiko auf beiden Seiten.  

Wenn es um die Speicherung von Daten geht, sollten auf der Seite der Unternehmen nie mehr Daten aufbewahrt werden, als für eine optimale Abwicklung der Geschäfte nötig sind. Vor allem in Anbetracht der wachsenden Zahl von Datenschutzbestimmungen, wie in der DSGVO, ist es wichtig, dass eine eigene Unternehmensphilosophie sorgfältig festhält, welche Daten in Bezug auf Sicherheit gespeichert werden dürfen.

Personenbezogene Daten gesondert schützen

Eine Separierung der wichtigen Personenbezogenen Daten von anderen Informationen, um diese mit mehr geeigneten Sicherheitsmaßnahmen zu priorisieren, ist von Vorteil. In der Kommunikation mit den Kund:innen, sollte der sichere Umgang mit den erhobenen Daten stets betont werden, um das Vertrauen zu stärken. Automatisierte Back-Up Lösungen sollten die wichtigen Daten auch noch vor vollständigen Verlust schützen. 

Starke Passwörter verwenden

Starke Passwörter, die sich bei jedem Konto unterscheiden erhöhen die Sicherheit für Kaufinteressierte immens. Auf Kund:innenseite sollte darauf Wert gelegt werden, dass ein starkes Passwort und/oder Zweifaktorauthentifizierung Bedingung bei der Erstellung eines Kontos ist. Bei E-Mail-Konten, die von Käufer:innen häufig zur Anmeldung bei verschiedenen Online-Diensten benutzt werden, gilt dasselbe: starkes Passwort, starke Zweifaktorauthentifizierung. 

Auf SSL-Zertifikat achten

Ein SSL-Zertifikat für den Onlineshop ist für Kund:innen durch den Buchstaben „s“ in der Adressezeile erkennbar: https://. Es signalisiert Nutzenden, dass die Website sicher ist. Falls das Zertifikat gültig ist, wird die sichere Verbindung meist auch durch ein Schloss-Symbol signalisiert. Hier kommt es drauf an, welcher Browser genutzt wird. 

Wo finden Unternehmen im Bereich E-Commerce passende Maßnahmen zur Verbesserung der IT-Sicherheit? 

TISiM – die Transferstelle IT-Sicherheit schafft erstmals ein bundesweites und kostenfreies Angebot, bei dem sich Betriebe und Unternehmen anbieterneutral über IT-Sicherheit informieren und konkrete Umsetzungsmaßnahmen planen können.

Durch das zentrale Tool von TISiM, dem Sec-O-Mat, erhalten Unternehmen nach einer kurzen Befragung passgenaue Umsetzungsvorschläge zur Verbesserung ihrer IT-Sicherheit. Die Umsetzungsvorschläge bündeln dabei bereits bestehende Angebote und Initiativen und bereitet diese praxisnah auf.

Der Sec-O-Mat bietet dabei vor allem kleinen und mittleren Unternehmen ohne eigene IT-Abteilung einen niedrigschwelligen Einstieg in das Thema IT-Sicherheit.

Durch regionale Anlaufstellen bei IHKs und Handwerkskammern können Unternehmen zudem auf ihrem Weg zu mehr IT-Sicherheit auch vor Ort begleitet werden. So gelangt das Wissen von Experten und Expertinnen zielgerichtet dorthin, wo es in erster Linie benötigt wird: in die Betriebe. 

In der DiFü-Lernzentrale erfahren, wie man online einfach und sicher shoppen kann.