[datensicherheit.de, 05.12.2018] Der Online-Handel floriert zur Advendszeit und wird gleichzeitig zum Schauplatz für Cyber Crime: Verbraucher wie Shop-Betreiber stehen jetzt verstärkt im Fadenkreuz von Cyber-Angriffen. Denn in der umsatzstärksten Jahreszeit sind Händler eher mit ihrem Tagesgeschäft beschäftigt und kümmern sich weniger um die IT-Sicherheit. Oft wird auch die Besetzung in den IT-Abteilungen heruntergefahren – Adventszeit ist auch Urlaubszeit.
Privatpersonen werden leichter Opfer von Phishing-Angriffen. Betrügerische, aber täuschend echt aussehende, E-Mails werden jetzt nicht ganz so argwöhnisch betrachtet wie zu anderen Jahreszeiten. So haben Betrüger gute Karten, an Kunden- und Zahlungsdaten zu gelangen. Beliebt bei Cyberkriminellen sind jetzt auch Fake-Shops. Dazu setzen sie täuschend echt aussehende Shops auf: Wer hier jedoch bestellt und gleich bezahlt, sieht seine Waren nie.

© PSW Group

Christian Heutger, Geschäftsführer der PSW GROUP GmbH & Co. KG

Die IT-Sicherheitsexperten der PSW GROUP haben einige Tipps parat, worauf Käufer und Verkäufer achten sollten.

Tipps für Verbraucher: Phishing und Fake-Shops erkennen

Es gibt viele Möglichkeiten, wie Verbraucher E-Mails oder Webshops, in denen sie shoppen möchten, auf deren Seriosität überprüfen können:

• Absender-Adresse: Es ist nur der erste Schritt, aber bereits ein Blick auf den Absender einer E-Mail verrät, wo sie herkommt: Handelt es sich um eine bekannte Domain oder klingt sie bereits unseriös?
• Anrede im Anschreiben: In der Regel versenden Online-Shops, bei denen schon einmal bestellt wurde, E-Mails mit persönlicher Anrede. „Eine E-Mail, in der der Adressat mit sehr geehrter Herr, sehr geehrte Dame oder Ähnlichem angesprochen wird, sollte für Misstrauen sorgen“, mahnt Christian Heutger, Geschäftsführer der PSW GROUP.
• Rechtschreibung: Fake-Mails und -Shops strotzen für gewöhnlich vor Fehlern. Gehäufte Rechtschreibfehler in E-Mails und Webshops sind deshalb ein Anzeichen für Cyber Crime.
• SSL-Verschlüsselung: Persönliche Daten inklusive Zahlungsinformationen sollten ausschließlich verschlüsselt übertragen werden. „Verbraucher erkennen eine Verschlüsselung an einem kleinen Vorhängeschloss zu Beginn der Adresszeile sowie am Kürzel ‚https‘. Google Chrome warnt sogar vor unverschlüsselten Websites“, so Heutger.
• Zahlungsmodalitäten: Bietet ein Webshop nur eine Zahlungsmöglichkeit und dann auch noch Vorkasse, könnte es sich um eine Betrugsmasche handeln. Wer hier zahlt, erhält seine Ware höchstwahrscheinlich nie.
• Preise: Erscheinen die Preise eines Shops als zu gut, um wahr zu sein, ist Skepsis angebracht. „Selbst wenn sie Rabatte gewähren, müssen Händler auch etwas verdienen. Deshalb sollten die Preise nicht unglaubwürdig niedrig sein“, warnt Heutger.
• Gütesiegel: Vertrauenswürdige Online-Händler besitzen mindestens ein Gütesiegel, wie „Trusted Shops“ oder „EHI Geprüfter Online-Shop“. Um ein solches Siegel zu erhalten, haben sich Händler an strenge Vergabe-Richtlinien zu halten.
• Impressum: Ist das Impressum mit Firmen- und Inhabernamen, Anschrift und Kontaktdaten vollständig? Fehlen Angaben oder gar das Impressum, ist der Webshop als unseriös einzustufen. „Um beispielsweise reklamieren zu können, muss eine einfache Kontaktaufnahme über E-Mail oder Kontaktformular möglich sein. Auch ein Kaufrücktritt sowie der Widerruf müssen dem Kunden so einfach wie möglich gemacht werden“, gibt Christian Heutger einen weiteren Hinweis.
• Datenschutzerklärung & AGB: Europaweit sind die Veröffentlichung der Datenschutzerklärung und der Allgemeinen Geschäftsbedingungen Pflicht. Fehlt die Aufklärung darüber, wie, wo und wozu persönlichen Daten verwendet werden, sollte ein Webshop gemieden werden.
• Bewertungsplattformen: Bewertungsplattformen, Google-Rezensionen oder FAQ-Portale geben Eindrücke anderer User wider. Dort lässt sich leicht Auskunft darüber einholen, wie der Shop, allen voran Bestell- und Zahlungsabwicklung, bei anderen Nutzern ankam. „Geeignet sind Bewertungsplattformen, die ausschließlich echte Bewertungen zulassen. Dazu gehören ausgezeichnet.org sowie eKomi“, rät Heutger.

Tipps für Online-Händler: Schutz vor DDoS-Attacken

• Um Online-Händler anzugreifen, sind DDoS-Attacken ein beliebtes Mittel: Kriminelle generieren solange massenhaft künstlichen Traffic, bis der Server in die Knie geht. Ziel ist es, die Shop-Server lahmzulegen und Händler um ihren Umsatz zu bringen. Treffen kann das jeden. Mit diesen Sicherheitsmaßnahmen sind Händler gewappnet:
• Belastbarkeitsplan entwerfen: Er enthält die technischen Kompetenzen und eine Idee davon, wie der Geschäftsbetrieb unter dem Stress, der nach einem solchen Angriff entsteht, aufrechterhalten wird.
• Angriffserkennungsroutinen entwickeln: Es gibt sowohl großvolumige Angriffe als auch Angriffe von kurzer Dauer und mit geringem Volumen. „Letztere werden gestartet, um das Netzwerk zu testen und Sicherheitslücken aufzuspüren. Händler sollen sich deshalb mit den Netzwerkverkehrsmustern vertraut machen und sich über DDoS-Angriffsschutzlösungen informieren, die den Angriffsverkehr in Echtzeit erkennen“, rät Heutger.
• Filterung des Angriffs-Traffics: Um ein Netzwerk gegen DDoS-Angriffe abzusichern, wird ein Schutz im Internetzugang benötigt, der nur „saubere“ Daten weiterleitet und Angriffs-Traffic filtert. Viele Cloud-Lösungen werden hier als On-Demand-Lösungen angeboten. „Da hier manuelle Eingriffe in die Netzwerkkonfiguration erforderlich werden, greift der Schutz erst mit einigen Minuten Verzögerung. Alternativ existieren Always-on-Lösungen „On-Premise“ und „in the Cloud“, informiert der Sicherheitsexperte.
• DDoS-Abwehrinstanz in Firewall: In die vorhandenen Sicherheitssysteme sollten eine zusätzlich DDoS-Abwehrinstanz implementiert werden. Denn bei einer Attacke werden selbst leistungsfähige Firewall- sowie Intrusion Prevention-Systeme (IPS) derart mit Daten überflutet, dass Internet und damit diverse Dienste nicht mehr verfügbar sind.
• Challenge Response System: Um herauszufinden, ob Anfragen von realen Usern oder infizierten Endgeräten stammen, lohnt sich ein Challenge Response System. „Damit lässt sich eine Anfrage an den Client versenden. Antwortet dieser korrekt, kann der Zugriff gewährt werden. Andernfalls wird die Abfrage abgewiesen und die betroffene IP-Adresse gesperrt“, erklärt Christian Heutger.
• Multi-Layer Defence: Belegen DoS- und DDoS-Angriffe nur eine geringe Bandbreite, sind Firewalls in der Lage, sie zu erkennen und abzuwehren. Dabei muss jedes angreifende Paket durch entsprechende Firewall-Regeln bearbeitet werden. Das belastet die CPU des Firewall-Systems. Abhilfe schaffen Appliances, die auf mehrschichtige Abwehrmodelle setzen.

„Grundsätzlich kann nur eine mehrschichtige Strategie verlässlichen Schutz vor DDoS-Attacken bieten. Für welche DDoS-Lösung sich ein Händler entscheidet, er sollte sicherstellen, dass sie nicht nur Application-Layer-DDoS-Angriffe erkennt. Sie sollte auch benutzerdefinierte Muster und Techniken blockieren und über die Fähigkeit verfügen, anormale Verhaltensmuster im Verkehrsaufkommen zu erkennen“, gibt Christian Heutger einen abschließenden Rat.

Weitere Informationen zum Thema:

datensicherheit.de, 13.10.2018
Sicherheit nach Efail: Empfehlungen für private Nachrichten

datensicherheit.de, 02.10.2018
DSGVO: Datenminimierung im WHOIS hat Auswirkungen auf Domain-Registrare und Zertifizierungsstellen

datensicherheit.de, 06.09.2018
Mehr Vertraulichkeit im Internet durch DNS über HTTPS

datensicherheit.de, 28.06.2018
Whois: Bedrohung durch die DSGVO

[datensicherheit.de, 05.08.2015] Eine sichere IT-Infrastruktur ist im Interaktiven Handel zentrale Voraussetzung für das gesamte Geschäftsmodell. Verfügbare, sichere und leistungsfähige IT-Systeme sind die Basis für jeden einzelnen Prozessschritt im E-Commerce, aber auch für Know-how-Schutz und den Schutz personenbezogener Daten. Moderne Handelsformen und Anforderungen an die IT-Sicherheit bedingen sich dabei wechselseitig. Um das hohe Innovationspotential und die breite Expertise beider Branchen enger zusammenzuführen, haben die Verbände bevh (Bundesverband E-Commerce und Versandhandel e.V.) und TeleTrusT (Bundesverband IT-Sicherheit e.V.) eine strategische Partnerschaft beschlossen.

„Durch die Kooperation mit dem bevh wird das TeleTrusT-Netzwerk um wichtige Anwenderkreise erweitert und Expertise wechselseitig erschlossen.“ unterstreicht RA Karsten U. Bartels LL.M., TeleTrusT-Vorstand und Leiter der TeleTrusT-AG „Recht“. „Thematische Schnittmengen sind beispielsweise das IT-Sicherheitsgesetz, Sicherheit in der Cloud, sichere Authentifizierung und Absicherung von Online-Bezahlprozessen.“, so Bartels.

„E-Commerce macht heute gut 85 % des Gesamtumsatzes der Branche des Interaktiven Handels aus. Die natürliche Verzahnung von E-Commerce und IT-Sicherheitsindustrie bekommt mit der heute beschlossenen Verbändekooperation ein deutlich stärkeres Gewicht.“ stellt Christoph Wenk-Fischer, Hauptgeschäftsführer des bevh, fest.

Ziele der Kooperation beider Verbände sind eine noch bessere Vernetzung der Interaktiven Händler mit den wichtigsten Stakeholdern der IT-Sicherheitsindustrie sowie eine Koordinierung und Effektivierung der Interessenvertretung in ausgewählten Bereichen. Komplexe Fragen der IT-Sicherheit können über die Partnerschaft bedarfs- und damit zielgerichtet beantwortet werden.

Unklare oder zu komplexe Web-Formulare führten häufig zum Abbruch von Bestell- und Anmeldevorgängen und zum Ausweichen auf Konkurrenzangebote. Untersuchungen der „GOLDMEDIA Custom Research GmbH“ zeigten, dass jeder dritte Internetnutzer Schwierigkeiten beim Ausfüllen habe und jeder siebte Nutzer Bestellvorgänge vorzeitig abbreche, berichtete GOLDMEDIA auf seiner Website am 19.01.2010:
Bei einem E-Commerce-Marktvolumen in Deutschland von rund 22 Milliarden Euro und einem durchschnittlichen Warenkorbwert deutscher Online-Einkäufer von 64 Euro seien durch mangelhafte Web-Formulare rund 50 Millionen Bestellvorgänge gefährdet. Damit setzten die Unternehmen Umsätze in Höhe von ca. drei Milliarden Euro aufs Spiel, die entweder zur Konkurrenz wanderten oder dem Online-Handel zum Teil auch ganz verloren gingen.
Nahezu jede Website enthalte heute Web-Formulare. Das Spektrum reiche von der simplen Eintragungszeile für Newsletter oder einfachen Kontaktformularen für formlose Unternehmensanfragen bis hin zu komplexen Formularen und Listen mit diversen Angabe- und Auswahlmöglichkeiten. Besonders für Produktverkäufe müssten Formulare genauestens auf die Bedürfnisse der Besucher und potenziellen Käufer abgestimmt sein.
Viel Aufwand werde seitens der Unternehmen betrieben, die Interessenten zum Web-Formular hinzuführen – zu wenig allerdings, um den Kaufprozess auch erfolgreich abzuschließen, betone Dr. Florian Kerkau, GOLDMEDIA-Geschäftsführer.

© GOLDMEDIA Custom Research GmbH

Zu den wichtigsten Anforderungen gehörten die intuitive und leicht verständliche Anlage möglichst kurzer Formulare sowie ein durchweg transparenter und glaubwürdiger Abfrageprozess. Gerade die Glaubwürdigkeit habe einen signifikanten Einfluss auf das Eingabe- oder gegebenenfalls Kaufverhalten der Nutzer. Vertrauensbildend seien sparsame und sinnvolle, d.h. nur auf die Sache bezogene, Abfragen sowie der deutliche Hinweis auf die Beachtung der Datenschutzbestimmungen.

Quelle: GOLDMEDIA, 19.01.2010
Originalartikel unter: Regeln für gute Web-Formulare / Online-Handel riskiert Umsatzeinbußen durch mangelhafte Web-Formulare

Weitere Informationen zum Thema:

GOLDMEDIA, 19.01.2010
Zehn goldene Regeln für gute Web-Formulare