Sicherer eCommerce: Digitalen Handel sicher gestalten

Das Weihnachtsgeschäft gehört für den Einzelhandel zu den umsatzstärksten Zeiten des Jahres. Mit dem erhöhten Einkaufsaufkommen steigt allerdings auch das Risiko für Angriffe, insbesondere auf die Händler, Onlineshops und Webseiten. Was Sie beachten sollten, damit Ihr Online-Shop nicht zum Einfallstor für Cyberkriminelle wird und mit welchen Maßnahmen Sie Ihr Unternehmen vor einem potenziellen Angriff besser schützen können, erklären wir Ihnen in unserem aktuellen Ratgeber.

Einkaufswagen und MacBook

Die IT-Sicherheitslage in Deutschland bleibt weiter angespannt: Einer aktuellen Bitkom-Studie zufolge, entsteht der deutschen Wirtschaft durch digitale Angriffe jährlich ein Schaden von über 220 Mrd. Euro. Insgesamt wurden in dem Erhebungszeitraum 2020/2021 neun von zehn Unternehmen (88 Prozent) Opfer einer Cyberattacke. Einzelhandelsunternehmen stellen in diesem Zusammenhang ein besonders beliebtes Ziel da: Wie Untersuchungen durch IT-Sicherheitsfirmen zeigen, waren im vergangenen Jahr über 40 Prozent der Einzelhandelsunternehmen innerhalb der DACH-Region von einem Angriff durch Schadsoftware betroffen.

Diese Entwicklung ist nicht verwunderlich, bedenkt man, dass viele der Unternehmen, während der Covid-19-Pandemie erst in den Online-Handel eingestiegen sind. Durch die pandemiebedingten Geschäftsschließungen waren viele Einzelhändler kurzfristig auf neue Vertriebswege angewiesen, für Betroffene lag da der Start eines eigenen Online-Shops nahe. In der Kürze der Zeit kam dabei allerdings häufig die digitale Sicherheit zu kurz – in den meisten Fällen stand zuallererst die Verfügbarkeit und Erreichbarkeit des eigenen Angebots im Vordergrund.
 

Welche Cyberattacken gibt es im Bereich des eCommerce?

Für Cyberkriminelle stellt der Einzelhandel ein besonders populäres Ziel dar, da der technische Aufwand für den Betrieb des Online-Shops relativ hoch ist und dabei gleichzeitig auch ein enormes Potential für Fehler bzw. Schwachstellen bietet. Dazu gehören beispielsweise die Verwendung schwacher Passwörter zur Absicherung des Administrations-Kontos (Händlerkonto) sowie nicht hinreichend gesicherte Kundendaten. Zu den beliebtesten Angriffsarten auf den Einzelhandel zählen

  • DDoS-Angriffe (Destributed Denial-of-Service) auf den Online-Shop/Server:
    Bei dieser Angriffsart nutzen Kriminelle Kapazitätsbeschränkungen aus, die für jede Netzwerkressource besteht, um eine Überlastung zu verursachen und so die Verfügbarkeit der Website zu stören.
  • Fake-Bestellungen, die zu einem „Ausverkauf” führen
  • Bestellungen auf Basis gestohlener Identitäten
  • Fake-Reservierungen von Produkten
  • Spammails im Namen des Shops
  • Fake-Shop als Kopie des eigenen Shops
  • Fälschung von Retouren (Kunde retourniert andere Ware als bestellt)
  • Übernahme von Händleraccounts auf größeren Plattformen zu Betrugszwecken
     

Welche Maßnahmen sollten Sie als Einzelhändler/in treffen?

Um sich vor solchen digitalen Angriffen ausreichend zu schützen, gibt es allerdings einige grundlegende Aspekte, die Sie in Ihrem Unternehmen beachten können:

  • Nutzen Sie aktuelle Online-Shop-Systeme, die Sicherheitsupdates und Softwarepflege des Herstellers bzw. Anbieters erhalten und führen Sie regelmäßig Updates durch.
  • Sollten Sie sogenannte „Plugins“, also Erweiterungen von Drittanbietern einsetzen, achten Sie darauf, dass auch hier stets Updates installiert werden, denn auch hier können Fehler zur Übernahme und Manipulation Ihrer Webseite führen
  • Achten Sie beim Verkauf über einen Marketplace darauf, dass dieser hohen Sicherheitsstandards nachkommt.
  • Setzen Sie für den verschlüsselten Datenverkehr zwischen Kunden und Shop auf TLS (Transport Layer Security), das sichere https Verbindungen ermöglicht. Dabei handelt es sich um ein Protokoll, dass bei der Kommunikation zwischen Shop und Kunde sicherstellt, dass kein unbefugter Dritter Zugriff erhält oder Daten verändern bzw. abfangen kann. Die dafür notwendige Technik ist mittlerweile kostenfrei zugänglich (Let’s Encrypt). Alternativ ziehen Sie eine Webagentur mit Verständnis für Digitale Sicherheit zurate. Verzichten Sie keinesfalls auf https.
  • Verwenden Sie starke Passwörter (lang und komplex) und setzen Sie auf Passwortmanager-Software, wie KeePassXC. Denken Sie außerdem daran, die Zugänge von Mitarbeitenden zu sperren, wenn diese das Unternehmen verlassen.
  • Aktivieren sie überall dort, wo es möglich ist, eine 2-Faktor-Authentifizierung (2FA), dann wird neben dem Passwort auch stets ein weiteres Sicherheitsmerkmal – z.B. ein ein Sicherheitscode aus einer sog. Authenticator App oder SMS – genutzt. Dies erhöht den Schutz Ihrer Onlinekonten immens, da dem Angreifer das Passwort nicht mehr ausreicht.
  • Grundsätzlich gilt für Unternehmen (auch ohne Online-Shop): Schließen Sie niemals gefundene oder fremde USB-Sticks von unbekannten an Ihre Geräte an. Cyberkriminelle nutzen USB-Sticks als Angriffsquelle. Diese USB-Sticks enthalten Angriffsskripte und erlauben dem Angreifer auf die Daten der Benutzer zuzugreifen und diese zu kopieren. Zudem kann so unbewusst der Zugang zum Systemgewährt werden oder das Endgerät durch Überladung zerstört werden.
     

Mit welchen Kosten sollten Sie als Betreibende rechnen?

Die Kosten für einen digital sicheren Online-Shop hängen davon ab, ob der Online-Shop selbst betrieben wird, oder durch einen Dienstleister oder ein Marketplace genutzt wird. Bei eigenem Betrieb entstehen neben Hardware und Softwarekosten für den Shop unter anderem Kosten durch Sicherheitslösungen und Sicherheitsvorkehrungen, sowie Kosten für Mitarbeitende zur Einrichtung und Instandhaltung. Hier sind die Wartung und Pflege, die dann in Eigenregie erfolgen müssen, essenziell wichtig, damit die Internetseite und das Shopsystem nicht übernommen oder angegriffen werden können. Generell gilt dabei, vor allem bei Internetdiensten: Software, bei der keine zeitnahen Sicherheitsupdates und ein sicherer Betrieb gewährleistet werden könnten, sollte erst gar nicht in Betrieb genommen werden.

Wenn möglich und verfügbar, setzen Sie auf Software, die eine sogenannte „LTS Version“ (LTS = Long Term Support) ist. Das bedeutet, dass Softwareprodukte über einen langen Zeitraum mit Feature- und Sicherheitsupdates versorgt werden, ohne auf eine neue Hauptversion wechseln zu müssen. In der Regel sind das zwischen 5 und 10 Jahre.

Es ist klug,  den sicheren Betrieb Profis zu überlassen, damit sich die Betreibenden auf ihr Kerngeschäft konzentrieren können. Das kann entweder durch Anmietung eines Shopsystems inkl. einer entsprechenden Wartung, die inbegriffen sein muss, erfolgen oder durch die Nutzung von Drittangeboten, wie beispielsweise Marketplace-Plattformen.

Dienstleister und Marketplace übernehmen solche Aufwendungen gegen wiederkehrende Gebühren oder Provisionen. Bei diesen besteht das Schutzkonzept unter anderem darin, dass Händler aufgefordert werden, sichere Passwörter zu nutzen. Dienstleistende selbst übernehmen im Hintergrund entsprechend die Sicherheitsaufgaben. Als Händler sollten sie Angebote vorab miteinander vergleichen. Achten Sie hier besonders darauf, dass Sicherheitsstandards wie TLS, verschlüsselte Datenbanken etc. eingehalten werden. Fordern Sie Betreiber oder Anbieter aktiv dazu auf, Ihnen relevante Informationen zum sicheren Betrieb und Pflege des Systems zur Verfügung zu stellen und machen Sie dies zum Bestandteil des Vertrages.


Fazit zum aktuellen Stand der IT-Sicherheit im Einzelhandel

Die Händlerlandschaft in Deutschland ist sehr unterschiedlich geprägt. Im Allgemeinen lässt sich an vielen Stellen erkennen, dass das Thema der Digitalen Sicherheit bei den kleinen Unternehmen zwar immer stärker in den Fokus rückt, dennoch gibt es weiterhin einen großen Spielraum für Verbesserungen. Es ist wichtig, dass sich sowohl Händler als auch Betreibende in jedem Fall um die Sicherheit Ihrer Daten und damit auch um die Sicherheit der Daten ihrer Kundinnen und Kunden kümmern. Dies kann und sollte mit Hilfe von Fachleuten geschehen, die dabei helfen können, Software und Systeme sicher aufzusetzen und zu betreiben. An der Digitalen Sicherheit zu sparen, kann weitreichende Folgen haben und das eigene Geschäftsfeld ruinieren.


Zusammenfassung / Wichtig zu wissen:

  • Einzelhandelsunternehmen stellen ein beliebtes Ziel für Cyberangriffe dar. Deshalb ist es wichtig, dass Sie sich mit geeigneten Maßnahmen bestmöglich vor einer Attacke schützen.
  • Verwenden Sie aktuelle Online-Shop-Systeme, die Sicherheitsupdates und Softwarepflege des Herstellers bzw. Anbieters erhalten und führen Sie regelmäßig Updates durch.
  • Sorgen Sie im Fall der Verwendung von Plugins dafür, dass auch hier stets Updates installiert werden.
  • Achten Sie beim Verkauf über einen Marketplace darauf, dass dieser hohen Sicherheitsstandards nachkommt.
  • Setzen Sie für den verschlüsselten Datenverkehr zwischen Kunden und Shop auf TLS (Transport Layer Security).
  • Nutzen Sie starke Passwörter (lang und komplex) und setzen Sie auf Passwortmanager-Software.
  • Greifen Sie, wo möglich, auf eine 2-Faktor-Authentifizierung (2FA) zurück.
  • Schließen Sie niemals gefundene oder fremde USB-Sticks von unbekannten an Ihre Geräte an.
  • Überlassen Sie den sicheren Betrieb Ihres Online-Shops Fachleuten. An der Digitalen Sicherheit zu sparen kann im Fall eines Cyberangriffs am Ende deutlich mehr Kosten verursachen.