Kriminelle gehen im Netz immer professioneller vor – und der Handel gehört zu den lohnenden Angriffszielen. Etailment- und Der-Handel-Redakteur Stefan Becker hat Experten gefragt, wie sich Händler vor Datendiebstahl und Betrug schützen können, und sechs Strategien gegen Cyberkriminalität ausgemacht.
Das sind die sechs Prinzipien gegen Cyberattacken:
1. Externe Hilfe
„Suchen Sie sich jemanden, der sich mit IT-Sicherheit auskennt“ – das ist der Rat von Trend Micro. Kein Händler könne das Thema allein stemmen, aber alle hätten einen IT-Partner, und der sei die erste Anlaufstelle. „Wenn die IT-Abteilung zehnmal mit Vorschlägen nicht durchkommt, versucht sie es vielleicht kein elftes Mal“, ergänzt Philipp Merth, Regional Vice President Central European Region von Akamai. „Externe finden eher Gehör.“
Zur externen Hilfe gehören außer IT-Fachleuten auch Spezialisten für IT-Forensik, für Incident-Response-Management und für Recht. Serviceverträge sollten sicherstellen, dass sie sich auch an einem warmen Spätsommer-Freitag bereit erklären, sofort und über das Wochenende zu arbeiten.
© IMAGO / Panthermedia
Wenn Händler einige Grundprinzipien in Sachen IT-Sicherheit beachten, können sie einen wirksamen Schutzschild gegen Hackerattacken aufbauen.
Nicht vergessen werden sollte die Absprache mit externen Partnern. „Unternehmen sollten prüfen, wie resilient die Firmen aufgestellt sind, mit denen sie kooperieren. Ausgeklügelte, zielgerichtete Angriffe auf die externen Partner können auch sie treffen“, sagt Lisa Fröhlich, Sprecherin des IT-Sicherheits-Anbieters Link 11. Das bedeutet kritische Fragen an die Hoster von Onlineshop und Website und Anbieter von Content-Management- und Zahlungssystemen.
Wichtigste Regel ist, das alles in Friedenszeiten präzise vorzubereiten. „Wenn ein Angriff passiert“, warnt Richard Werner von Trend Micro, „sind die Verantwortlichen so im Stress, dass sie nicht mehr klar denken.“
2. Automatisierung
Automatisierte technische Abwehrlösungen sind vor allem in der Betrugsabwehr von Bedeutung, etwa im E-Commerce. Also dort, wo mit falschen Identitäten versucht wird, Ware ohne Bezahlung oder auf fremder Leute Rechnung abzugreifen. „Die Abwehrstrategie besteht darin, verdächtige Muster im Kundenverhalten zu identifizieren“, sagt Frank Heisel, Co-Geschäftsführer von Risk Ident. Je größer der Händler, desto eher seien professionelle Dienstleister erforderlich, die Transaktionen automatisch prüfen.
Für Matthias Baumhof, Chief Technology Officer für das Produkt „Threat Metrix“ bei Lexis Nexis Risk Solutions, sind gute Dienstleister in der Lage, digitale Identitäten weltweit zu prüfen (nicht die persönlichen Daten dahinter). Zum Beispiel darauf, ob die Identitäten schon woanders angemeldet sind und wie sie sich dort verhalten. Würden bei verschiedenen Händlern unterschiedliche Kreditkarten angegeben oder trete dieselbe Identität von weit auseinander liegenden Orten aus auf, schlage das System Alarm. Dann können Händler den fraglichen Kunden zu ID-Bestätigungen auffordern: über ihre App, per Anruf oder automatischer SMS-Nachricht.
„Je besser ein Händler die Kunden kennt, desto eher kann er das automatisch laufen lassen“, sagt Baumhof. Er verweist auch auf die Möglichkeit, automatisch nach sogenannten Scams zu suchen. Dabei werden Menschen von vermeintlichen Vorgesetzten oder Verwandten zum Beispiel per Telefon dazu gebracht, Geld zu überweisen oder Waren zu bestellen. „Ich bin überzeugt, dass auch Händler davon betroffen sind“, sagt er. Verhaltensbasierte Systeme könnten erkennen, ob ein Nutzer unter Stress stehe, ob z.B. die Eingaben langsamer kommen als sonst oder ob über ziellose Mausbewegungen versucht werde, den Kontakt zur Website zu halten, während Anweisungen gegeben werden.
Aber auch im Kampf gegen Ransomware gibt es automatische Systeme: Akamai bspw. pflegt eine Datenbank gefährlicher Links, so Philipp Merth. Sie könne jeden einzelnen Link in einer winzigen Zeitspanne nach dem Anklicken auf Gefährlichkeit prüfen und gegebenenfalls den Seitenaufruf verhindern.
3. Differenzierung
„Den umfassenden Schutz durch ein einziges System wird es nicht geben“, bilanziert Michael Deissner von Comforte. „Es braucht immer eine Kombination aus Schutzsystemen.“ Dabei müssen Schwerpunkte gesetzt werden.
Faustregel: Große Unternehmen werden eher Ziel von Ransomware und Datendiebstahl, kleine eher von Betrugsversuchen mit Kreditkarten und Gutscheinen oder von DDoS-Attacken (Schachmattsetzung durch eine große Zahl von Angriffen, auch mit dem Ziel von Datenbeute), so die Einschätzung von Richard Werner (Trend Micro). Webshops würden gegenwärtig gezielt auf Schwachstellen untersucht, zum Beispiel, um den Shop zu übernehmen.
Allerdings: „Cybersicherheit war lange für kleine Unternehmen nicht so wichtig“, sagt Werner. „Das hat sich geändert.“ Lisa Fröhlich von Link 11 verweist darauf, dass DDoS-Attacken „durch ihre Intensität deutlich anspruchsvoller abzuwehren sind. Sowohl die Angriffsgröße als auch die Häufigkeit der Attacken haben zugenommen.“ Solche Angriffe dienten zudem oft der Ablenkung vom eigentlichen Angriff zum Beispiel mit Ransomware. Kurz: Darum müssen sich alle kümmern.
© IMAGO / Science Photo Library
Identitätsdiebstahl durch Hacker: Um Betrug abzuwehren, müssen Onlinehändler digitale Identitäten prüfen und falsche Identitäten identifizieren können.
4. Risikoabwägung
Die Priorisierung der Gefahren und damit der Schutzsysteme ist nichts anderes als eine Risikoabwägung. „IT-Sicherheit ist ein finanzieller und organisatorischer Aufwand“, sagt Frank Heisel von Risk Ident. „Sie kostet Zeit und macht das Kerngeschäft langsamer. Aber es geht um die Geschäftsfähigkeit.“ Der Aufwand muss gegen die Gefahren gestellt werden: Erpressung, Datenverlust und damit einhergehende Imageverluste.
„Der Gesetzgeber verlangt keine maximale Security, aber dass Händler das tun, was in ihren Möglichkeiten steht“, fasst Richard Werner von Trend Micro zusammen. Es darf also Lücken geben, wo der Aufwand zu groß wäre – doch wo und in welchem Umfang, das ist eine klassische unternehmerische Entscheidung. „Die kann Händlern niemand abnehmen“, sagt Werner. Priorisierung sei aber wichtig: „Wer überall 100 Prozent Sicherheit will, läuft Gefahr, nichts richtig zu machen“, so das bündige Fazit von Akamai.
Die Nutzung von Cloud-Diensten bedeutet übrigens nicht, dass alle Sicherheitsaufgaben und alle Risiken auf fremde Schultern wandern. Die Verantwortung für die Daten bleibe beim Händler, lautet die einhellige Einschätzung der Experten.
5. Verschlüsselung
Michael Deissner von Comforte schwört auf Verschlüsselung. Sein Haus hat sich darauf spezialisiert, Unternehmensdaten in sogenannte Tokens umzuwandeln. Das sind verschlüsselte Datensätze, die sich genauso verarbeiten und analysieren lassen wie Klartextdaten.
Dieses Prinzip schütze nicht vor dem Einbruch – dafür gibt es andere Systeme -, sondern den Datenkern selbst. Deissner nennt das „die finale Verteidigungslinie“. Für die Arbeit im Unternehmen ergebe sich kein Unterschied. Für Einbrecher schon: Sie erbeuteten lediglich Datenmüll. In fünf bis zehn Jahren werde es keine Klardaten in Unternehmen mehr geben, schätzt Deissner.
© IMAGO / Shotshop
Verschlüsselung schützt den Datenkern: Informationen werden so umgewandelt, dass sie für Unbefugte nicht mehr lesbar sind.
6. Menschlicher Faktor
„Der Bug sitzt vor dem Rechner“ – der alte böse Spruch der IT-Abteilungen enthält einen großen Kern Wahrheit. Michael Deissner von Comforte sagt es etwas eleganter: „Wir können so schöne Systeme haben, wie wir wollen. Hauptgrund für Einbrüche ist menschliches Versagen.“ Das muss gar nicht mal Dummheit sein, wie der Spruch suggeriert. Stress und Unachtsamkeit genügen. Regelmäßige Schulungen zu aktuellen Viren und Betrugsversuchen gehören zu den Standard-Ratschlägen aller IT-Fachleute.
Deissner weist auf ein Problem hin, das in seinen Augen unterschätzt wird: vergessene Ordner. „Wenn wir einen Auftrag erhalten, suchen wir wirklich in allen Ecken“, sagt er. „Die Unternehmen wundern sich oft über das, was wir finden: Daten, von denen niemand etwas wusste.“ Und zwar oft ganze IT-Systeme voller hochsensibler Informationen, die sich automatisch updaten.
So etwas geschehe, wenn Führungskräfte sich Arbeitsdateien anlegen und sie beim Ausscheiden schlicht vergessen. Oder wenn jüngere Mitarbeiter auf neuere Systeme setzen, die alten aber nicht abschalten – sodass sie noch da sind und leichte Beute bieten.
Auch Selbstüberschätzung gehört zu den Problemen. Wiederum Michael Deissner: „Wir wundern uns, wie naiv manche Chefs meinen, sie sähen es sofort, wenn eingebrochen wird.“ Das sehe man nämlich gerade nicht – der Fall Marc O’Polo ist dafür das beste Beispiel.
Dieser Artikel erschien zuerst in Der Handel.