[datensicherheit.de, 24.02.2021] Deutschlands Online-Händler hätten im Jahr 2020 einen Anstieg der Cyber-Angriffe um 177 Prozent erdulden müssen – und dieser Trend setze sich offensichtlich fort: Bereits im Januar 2021 hat NETSCOUT nach eigenen Angaben 1.500 Cyber-Attacken auf den E-Commerce-Sektor gezählt. DDoS-Angriffe (Distributed-Denial-of-Service) träfen häufig schlecht geschützte Online-Shops, bedrohten aber auch die Leistung und Verfügbarkeit der erfahrenen Anbieter. Beim gesteigerten Anspruch von Online-Käufern heutzutage könne dies schnell zum Verlust der Wettbewerbsfähigkeit führen.

Foto: NETSCOUT

Martin Klapdor: Online-Angebote für viele Läden leider schon eine Überlebenswichtigkeit…

Anreiz für Cyber-Kriminelle, verstärkt Online-Shops ins DDoS-Visier zu nehmen

„Wegen des pandemiebedingten ,New Normal‘ und den immer noch strengen Gegenmaßnahmen ist der E-Commerce weiterhin gefragt wie nie. Das treibt auch kleinere und junge Retail-Anbieter vermehrt zu Online-Präsenzen: Online-Angebote – darunter fällt auch ,Click and Collect‘ – ist für viele Läden oft mehr als nur ein Service – sondern leider schon eine Überlebenswichtigkeit“, kommentiert Martin Klapdor, „Senior Solutions Architect“ bei NETSCOUT.
Während größere Shops, die teilweise schon jahrelange Erfahrungen mit Online-Verkauf hätten, könnten neuere die Bedrohungen kaum einschätzen und setzten ihr Geschäft „blauäugig“ großer Gefahr aus. „Während sie nach Ladenschluss zwar wie gewohnt die Türe absperren und eventuell eine Alarmanlage aktivieren, lassen sie online im übertragenen Sinn die Ladentür sperrangelweit offen“, warnt Klapdor. Für Cyber-Kriminelle sei dies ein Anreiz, verstärkt Online-Shops ins Visier zu nehmen, „weshalb jeder sich über elementare IT-Security Gedanken machen sollte, bevor er eine Online-Präsenz umsetzt“.

DDoS-Angriffe bedrohen Leistung und Verfügbarkeit

Auch die Veteranen auf dem Gebiet kämen in Bedrängnis, da Kunden heutzutage enorm empfindlich auf verminderte „User Experience“ (UX) reagierten und DDoS-Angriffe die Leistung und Verfügbarkeit bedrohten, „was schon bei geringen Abweichungen zum Verlust von Kunden und Warenkorbabbrüchen führt“.
Klapdors Rat: „Eine Lösung kann die Cyber-Versicherung sein, die Angriffe zwar nicht abwehrt, aber zumindest die Bedrohung vermindert. Essenziell ist hierbei in mehrschichtiger Security-Ansatz, der die verschiedenen Arten und Ziele von DDoS-Angriffen berücksichtigt.“ Genauso wichtig sei eine intelligente Form der Kommunikation zwischen diesen Schichten, um dynamische DDoS-Angriffe mit mehreren Vektoren zu stoppen.

Weitere Informationen zum Thema:

datensicherheit.de, 02.08.2020
Corona-Krise: Deutschlands Webshops verstärkt attackiert / Online-Händler während der Corona-Krise laut NETSCOUT stark von Cyber-Angriffen, insbesondere DDoS-Attacken, betroffen

datensicherheit.de, 09.01.2017
BSI warnt vor Online-Skimming: 1.000 deutsche Webshops betroffen / Cyber-Kriminelle nutzen Sicherheitslücken in veralteten Versionen der Shop-Software

Von unserem Gastautor Andreas Baumhof, CTO bei ThreatMetrix

[datensicherheit.de, 24.09.2018] Online- und mobile Händler waren im zweiten Quartal von 91 Millionen Cyberattacken betroffen. Diese Problematik wird die E-Commerce Prozesse für den Rest des Jahres prägen. Laut dem neuen Q2 Cybercrime Report von ThreatMetrix stellt diese Anzahl an Attacken eine minimale Verringerung der Betrugsversuche dar – eine willkommene Ruhepause bei einer sonst stetig wachsenden Tendenz. Aber der Eindruck täuscht.

Das zweite Quartal ist üblicherweise ein ruhigeres für die Industrie und ihre kriminellen Widersacher. Obwohl die Zahlen leicht gesunken sind, sind sie übereinstimmend mit den Zahlen aus dem gleichen Zeitraum im vergangenen Jahr. Die Verluste aufgrund von E-Commerce-Vergehen könnten sich dieses Jahr auf 20 Milliarden Dollar allein in den Vereinigten Staaten von Amerika belaufen.

Bild: ThreatMetrix

Andreas Baumhof, CTO bei ThreatMetrix

Es deuten sich drei neue Tendenzen an, die die bisher bewährte Taktik der Händler im Umgang mit steigenden Kundenbedürfnissen, intensiverem Wettbewerb sowie den sich rasant entwickelnden Cyber-Bedrohungen ins Wanken bringt.

1. Account-Erstellung zunehmend mobil  – und betrügerischDie Akzeptanzrate von mobilen Services ist überraschend hoch. 58% aller digitalen Transaktionen werden mobil durchgeführt, da dieser Weg zunehmend für Online-Käufe bevorzugt wird.In der Tat ist die mobile Technik ein Schlüsselelement auf beinahe jeder Ebene der Customer Journey, aber besonders wenn Benutzer neue Konten anlegen. Fast zwei Drittel aller Accounts werden auf einem Mobilgerät erstellt. Und den Kriminellen ist dies nicht entgangen.Daraus resultierend bleibt E-Commerce nach wie vor ein Hauptziel, um Geld mit gestohlenen Benutzerdaten zu machen, inklusive der 1,4 Milliarden persönlichen Daten, die durch Datenlecks in nur drei Monaten in diesem Jahr gestohlen wurden. Dies wird offenbart durch den sehr hohen Prozentsatz an betrügerischen Neukonten, der um 130 % höher ist als im selben Quartal im letzten Jahr.

   Infolgedessen besteht ein erhöhtes Risiko von betrügerischen Accounts, die für Zahlungen mit gestohlenen Kreditkarten genutzt werden können. Dies wird einen großen Schaden anrichten. Laut globalen Daten von Javelin Research & Strategy könnten Händler in diesem Jahr mehr als 19 Milliarden Dollar durch Rückbuchungen verlieren.

2. Zunehmend globale Bot-Attacken  – mit Händlern als ZielgruppeIm zweiten Quartal gab es in der Industrie 1,3 Milliarden Bot-Attacken, die sowohl aus Wachstumsökonomien als auch aus Schwellenländern kamen – unter anderem Vietnam, Indonesien, Russland, USA, Japan und Brasilien. Branchenübergreifend lag die Zahl bei 1,6 Milliarden, was deutlich macht, dass die große Mehrheit der Bot-Attacken (81 %) auf den E-Commerce Bereich gerichtet war.In Spitzenzeiten hat der Bot-Traffic bis zu 90 % des Transaktionsvolumens einer Organisation ausgemacht, da Bots versuchen, die gestohlenen Identitäts-Nachweise so einzusetzen, dass sie sich in seriöse Benutzerkonten einwählen und vertrauliche persönliche Informationen sowie Kreditkartendaten stehlen.Es findet ein besorgniserregender Wandel statt. In den letzten Monaten hat das Netzwerk zahlreiche Fälle von dezentralisierten Botnets aus vielen verschiedenen globalen Standorten erkannt, die versucht haben, sich mit gestohlenen Benutzerdaten in vertrauenswürdige E-Commerce-Accounts einzuloggen.

   Sobald eine Attacke erfolgreich ist, übernimmt der Betrüger hinter dem Login die manuelle Kontrolle über den Bot, ändert die Zugangsdaten und schließt missbräuchliche Bestellungen ab. Der eigentliche Kunde bemerkt dies oft erst, wenn er unbekannte Abbuchungen auf seiner Kreditkartenabrechnung sieht.

3. Internationaler E-Commerce bedenklich für Einzelhändler – und Cyber-DiebeLaut ThreatMetrix Daten sind 54 % aller E-Commerce Transaktionen grenzüberschreitend. Das ist höher als in anderen Branchen. 57 % der Online-Besteller haben einen internationalen Kauf im letzten Jahr getätigt, was E-Commerce-Marken dazu bringt, ihre globale Ausrichtung zu erweitern.Der Nachteil ist, dass die Wahrscheinlichkeit bei internationalem Verkehr um 15 % höher ist, dass Device-Spoofing betrieben wird und um 22 % höher, dass die Identität geklaut wird als bei nationalem Handel. Die Wahrscheinlichkeit, dass internationale Transaktionen abgelehnt werden, ist um 69 % höher.Daraus resultierend haben zu viele Händler zu strenge Geschäftsregeln, die Transaktionen aus bestimmten riskant eingeschätzten Ländern ablehnen – womit sie ihr Wachstumspotential einschränken, während sie ihren Wettbewerbern, die Betrugsversuche besser managen, Gebiete überlassen.

Weitere Informationen zum Thema:

datensicherheit.de, 20.09.2018
DSGVO-Anforderungen: 87 Prozent der geprüften deutschen Webshops ungenügend

datensicherheit.de, 14.08.2018
Digitale Wirtschaft: Identitätsbetrug vermeiden

datensicherheit.de, 08.08.2018
Digitale Transformation: Datenschutzvorfälle im Handel

datensicherheit.de, 14.05.2015
E-Commerce-Shops: Link11 warnt vor DDoS-Erpresserwelle

[datensicherheit.de, 11.02.2016] Zum „Safer Internet Day 2016“ hat die guenstiger.de GmbH aus Hamburg eine aktuelle Studie vorgestellt.
Analysiert wurde, wie häufig Webshop-Anmeldungen auf dem Online-Preisvergleich abgelehnt werden, weil die Händler die Sicherheitsstandards nicht erfüllen können.

Jeder dritte Webshop bedenklich

Cyberkriminalität und Betrüger-Webshops gehörten längst zur Tagesordnung im Internet. Doch es stelle sich die Frage, wie groß die Gefahr für Verbraucher sei, beim Onlineeinkauf an einen unseriösen Händler zu geraten – das Vergleichsportal „guenstiger.de“ hat nach eigenen Angaben 2015 knapp ein Drittel aller Webshop-Anmeldungen abgelehnt, da die betreffenden Seitenbetreiber grundlegende Qualitäts- und Sicherheitsstandards nicht hätten erfüllen können.
Auf „guenstiger.de“ würden aktuell mehrere tausend Webshops gelistet. Um Kunden vor potenziellen Betrügern zu schützen, würden die Händler vorab von Experten auf Schwachstellen geprüft. Bestünden Zweifel an der Vertrauenswürdigkeit oder Professionalität der Betreiber, werde eine Aufnahme verweigert.

Ablehnungsgründe

Die Hauptgründe für eine Ablehnung seien fehlende Rücksendeinformationen, unsichere Zahlungsmöglichkeiten, ein falsches Impressum, negative Kundenmeinungen sowie eine unzureichende Qualität der Daten gewesen.
Sie erhielten täglich zahlreiche Anfragen von Händlern, die ihre Ware auf ihrem Portal anbieten möchten. Eine Aufnahme erfolge ausschließlich dann, wenn die Seite ihre Richtlinien und Sicherheitsstandards erfülle, betont Harald Schiffauer, Geschäftsführer der guenstiger.de GmbH. Anhand klar definierter Kriterien werde sorgsam geprüft, ob es sich um einen vertrauenswürdigen Webshop handele.

Checkliste: Kriterien für einen seriösen Webshop:

• vollständiges Impressum mit Anschrift, Gewerbe- oder Handelsregisternummer sowie Angaben zum Geschäftsführer
• AGB und Datenschutzerklärung
• sichere Zahlungsmöglichkeiten wie Rechnung oder Nachname
• Gütesiegel wie „Trusted Shops“ oder „TÜV“ mit Weiterleitung zum Zertifikat
• realistische Preise
• gute Kundenbewertungen und Testurteile

Am Ende sei auch das „Bauchgefühl“ der Verbraucher entscheidend. Wer Bedenken an der Seriosität eines Händlers habe, sollte lieber bei einem anderen Webshop bestellen.