28.01.2021
Security
Isabel Hartwig
Die 5 größten E-Commerce Security Bedrohungen in Zeiten einer Pandemie
Aktuelle Cybercrime Statistiken machen es offensichtlich: Im Schatten des Digitalisierungsbooms 2020 boomten auch Cyberattacken in allen Bereichen des digitalen Lebens. Das BKA schätzt in seinem letzten Lagebericht „Cybercrime in Zeiten der Corona-Pandemie“ die Bedrohungslage als andauernd hoch ein. Ein guter Grund, um einen genaueren Blick auf die Top 5 der aktuellen Cyber-Bedrohungen im E-Commerce zu werfen.
Online Händler, ein attraktives Ziel
Hacker setzen Online-Händler aus zwei Gründen in ihren Zielfokus:
- Sie sind Hüter eines großen Schatzes: Kundendaten. Kaum eine andere Branche besitzt so viele sensible Daten die schnell weiterverkauft oder leicht zu Gütern umgewandelt werden können, wie der Handel.
- Ist ein Shop mal nicht erreichbar oder wird manipuliert, entstehen schnell riesige finanzielle Schäden und Imageverluste.
Dass spiegeln auch Statistiken wieder, die eine zunehmende Bedrohung von Angriffen zeigen, die entweder das Ziel haben, Kundendaten zu stehlen, zu manipulieren und auszunutzen (z.B. Credential Stuffing, Phishing) oder Onlineshops lahm zu legen (z.B. DDoS-Attacken). Statista meldet, dass in Q3 2020 fast 20% aller Phishing Attacken auf Onlineshops abzielten. DDoS-Attacken erzielen währen der Corona Pandemie Rekordzahlen. Wie Link11 im DDOS Report für das erste Halbjahr 2020 berichtete, lagen die Angriffszahlen zwischen April und Juni im Durchschnitt 97% höher als im Vorjahreszeitraum und erreichten im Mai 2020 einen Höchststand von 108% im Vergleich zum Vorjahr (Statista). Die Angriffe konzentrierten sich dabei deutlich auf das Gesundheitswesen und E-Commerce.
Die aktuell häufigsten Bedrohungen für Händler im Überblick:
1. Phishing
Cyberkriminelle versuchen, die Verunsicherung während der Pandemie auszunutzen und setzen dabei verstärkt auf Phishing. Bereits im April 2020 meldet Google, dass wöchentlich 18 Mio. betrügerische Emails mit Corona Bezug gestoppt werden. Der Phishing and Fraud Report berichtet, dass die Zahl der Angriffe im Peak der Pandemie um 220% höher lag als im Jahresdurchschnitt.
Wie funktionierts?
Mit Phishing E-Mails versuchen Cyberkriminelle den Empfänger zu motivieren, bedenkenlos Handlungen auszuführen, z.B. E-Mailanhänge zu öffnen oder Daten auf Fake-Websites einzugeben. Ziel ist, das Ausspähen sensibler Daten oder Preis oder eine heimliche Installation von Schadsoftware (Malware) im Hintergrund. Mit einem Klick erlangen Angreifer Zugriff auf Ihr Netzwerk. Phishing-Attacken werden vor allem durch eine täuschend echte Gestaltung immer erfolgreicher. Beim „Spear Phishing“ werden gezielt einzelne Mitarbeiter von Unternehmen mit maßgeschneiderten Inhalten kontaktiert. Adresse, Betreffzeilen, Design und Inhalte sind so gestaltet, dass sie Interesse und Arbeitsinhalt der Betroffenen wiederspiegeln und sogar als interne Unternehmenskommunikation gehalten werden können. Durch diese Individualisierung können auch klassische Spamfilter Phishing-Mails nicht erkennen.
Was können Sie tun? Security Awareness Campaigns!
Phishing zielt explizit auf die menschliche Schwachstelle in der Prozesskette ab. Es wird immer raffinierter und gerade deshalb sollten Sie auf eine Security Awareness Campaign mit einer Phishing Simulation setzen. Sensibilisieren Sie Ihre Mitarbeiter damit langfristig für Security-Maßnahmen.
Tipp
Wie Security Awareness Trainings zum Erfolg werden, lesen Sie hier: Die 10 wichtigsten Erfolgsfaktoren für effektive Security-Awareness-Trainings | Blog der T-Systems MMS
2. Credential Stuffing & Account Takeover (ATO)
Das Kernproblem bei Credential Stuffing Angriffen liegt darin, dass Passwörter häufig wiederverwendet werden. Das versuchen Hacker auszunutzen. Sie brachten im zweiten Quartal 2020 laut dem State oft the Internet Report massenhaft geleakte Anmeldedaten im Umlauf und attackierten in 63% der Fälle Websites und Shops von Einzelhändlern. Das Ziel: Daten verifizieren oder Accounts zum weiteren Betrug übernehmen.
Wie funktionierts?
Beim Credential Stuffing versuchen Hacker mit Hilfe von Bots Zugriff auf Nutzerkonten zu erhalten. Dazu erwirbt der Hacker Listen mit gestohlenen Logindaten im Darknet, mietet ein Botnet, welches dann automatisiert diese Logindaten bei Onlineshops überprüft. Kann sich der Bot einloggen, werden die Daten als „verifiziert“ im Darknet zu höheren Preisen weiterverkauft oder für weiteren Betrug missbraucht. Daraus kann nicht nur ein erheblicher Schaden für Kunden resultieren. Für den Händler drohen finanzielle Verluste und ein erheblicher Imageschaden.
Was können Sie tun? Passwortmanagement!
Das Hasso Plattner Institut hat auch 2020 bei einer Auswertung von 3,1 Mio geleakten Zugangsdaten festgestellt, dass die Top 3 Passwörter „123456“, „123456789“ und „passwort“ sind. Das zeigt, wie wichtig es ist, Anmeldeoptionen so zu designen, dass Passwörter nur nach bestimmten Regeln angelegt werden können. Dabei gilt die Regel: Umso länger umso sicherer. Ein Passwort sollte mindestens aus 8 Zeichen in chaotischer Kombination aus Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen bestehen. Trauen Sie sich daher zu, Ihren Kunden zu empfehlen, Passwörter nur einmalig zu nutzen und zeigen Sie ihnen damit, wie wichtig Ihnen die Sicherheit ist. Oder bauen Sie nach Möglichkeit Multifaktorauthentifizierungen ein.
Tipp
Sie wollten schon immer mal wissen, ob Sie selbst Opfer eines Datendiebstahls geworden sind? Auf der Seite des Hasso Platten Instituts Identity Leak Checker (hpi.de) Können Sie überprüfen, ob Ihre Logindaten geleakt wurden.
3. API Angriffe
APIs werden oft als „Klebstoff“ moderner Systemarchitekturen bezeichnet und sind die Basis für eine nahtlose Interaktion mit Kunden über viele Touchpoints hinweg. Jede Schnittstelle ist aber auch ein mögliches Einfallstor für Cyberangriffe, dem man Sicherheitsmaßnahmen entgegenstellen muss.
Wie funktionierts?
Die häufigsten Angriffsmethoden sind: Cross-Site-Scripting (XSS) (42%) und SQL-Injection (40%) (Impreva). Beide Techniken sind beliebt, da anfällige Datenbanken schnell gefunden und manipuliert werden können. Ziel ist es, über das Ausnutzen von Sicherheitslücken auf sensible Daten zugreifen zu können. Im Fokus stehen vor allem persönliche Daten, Finanzdaten und Passwort-Hashes. Im Endeffekt ist auch eine komplette Übernahme von Accounts möglich, auch Ihren internen Accounts. Ebenso können schädliche Codes eingeschmuggelt werden, welche sich auch auf andere Anwender auswirken können.
Was können Sie tun? API Gateways und Security Strategie!
Starke API Gateways agieren als Kontrollorgan und ermöglichen neben der Authentifizierung von Daten, auch die Kontrolle und Nutzungsanalyse Ihrer APIs. Das allein reicht aber noch nicht aus: Eine zuverlässige Firewall und Customer Identity and Access Management muss zum Einsatz kommen. API Security muss ein Bestandteil Ihrer Sicherheitsstrategie sein. Sie sollten unbedingt Transparenz über Ihre APIs haben. Halten Sie API Komponenten immer auf dem neuesten Stand, schaffen Sie sich einen Überblick, wie alles miteinander funktioniert und identifizieren Sie Schwachstellen.
4. DDoS Attacken
Als Distributed Denial of Service-Angriff (DDoS-Angriff) bezeichnet man einen Angriff auf die Verfügbarkeit eines Shops oder Website bzw. einen mutwilligen Versuch, eine Überlast herbei zu führen, bis der Shop oder die Website nicht mehr erreichbar ist.
Wie funktionierts?
Bei DDoS-Angriffen nutzen Hacker die Grenzen von Netzwerkressourcen aus. Webserver können eine bestimmte Anzahl von Anfragen verarbeiten, begrenzt durch deren Kapazität oder die Bandbreite der Server Internetverbindung. Angreifer versuchen durch massenhafte Anfragen, den Server zu überlasten und dazu zu bringen, gar nicht mehr zu antworten (Denial-of Service). DDoS-Angriffe werden dabei immer komplexer und sind oft Bestandteil von Erpressungsversuchen.
Was können Sie tun? Richtige Hosting Plattform!
Mit der Entscheidung für die richtige Hosting Plattform sind Sie auf der sicheren Seite. Die richtige E-Commerce Plattform stellt regelmäßig Updates und Patches zur Verfügung und bietet Sicherheitsfunktionen, mit denen Sie speziell auch vor DDoS-Attacken geschützt werden können.
5. E-Skimming
Skimming kannte man bisher aus dem realen Leben in der Form, dass EC-Karten an EC-Geräten kopiert und die PIN-Nummer über diverse Techniken ausspioniert wurde. Ähnlich läuft die Cybervariante des Angriffs ab.
Wie funktionierts?
Hackern gelingt es dabei, Schadsoftware im Checkout eines Onlineshops zu hinterlegen, meist in Form kleiner verschleierter Java-Skripte. Kauft ein Kunde ein, werden die Zahlungsinformationen in Echtzeit im Hintergrund an Kriminelle weitergeleitet. Die Schadsoftware kommt über Phishing E-Mails an Mitarbeiter in die Systeme, häufig aber auch über Drittanbieter mit Verbindung zur Systemlandschaft, wie zum Beispiel über Widgets oder Plugins.
Was können Sie tun? Updates & Patches!
Kern des Skimmings ist es, dass es Hackern gelingt, Schwachstellen zu durchdringen und Schadsoftware zu installieren. Mindern Sie das Risiko erfolgreicher Phishing-E-Mails durch Security Awareness Campaigns und halten Sie Ihr Shopsystem auf dem aktuellsten Stand. Je älter ein System ist, umso anfälliger ist es für Angriffe. Shopanbieter stellen regelmäßig Updates zur Verfügung, um Sicherheitslücken zu schließen.
Tipp
Vergessen Sie das Aufräumen nicht. Plugins oder andere Software, die nicht mehr benötigt wird, sind unnötige Sicherheitsrisiken – deinstallieren ist die bessere Alternative.
In diesen unsicheren Zeiten können Sie sich in einer Sache sicher sein: Wir sind für Sie da. Wenn Sie Fragen rund um das Thema E-Commerce Security haben, kontaktieren Sie uns.
