Adventzeit ist Shoppingzeit. Nach amerikanischem Vorbild erfreut sich hierzulande die Schnäppchenjagd am sogenannten "Cyber Monday" - dem offiziellen Weihnachtsverkaufsstart von Online-Shops - bei Jung und Alt zunehmender Beliebtheit. Aber auch für Cyberkriminelle lohnt sich der gegenwärtige Konsumrausch im Web. [...]
Immer mehr Konsumenten kaufen bequem im Internet ein, entsprechend groß ist auch das Angebot des Online-Handels, der sich alle Jahre wieder über satte Zuwächse im Weihnachtsgeschäft freuen darf. Den offiziellen Start markiert der seit einigen Jahren auch hierzulande praktizierte Cyber Monday, der heuer am 30. November stattfindet. Warum dieser Tag nicht nur bei Schnäppchenjägern, sondern auch bei Cyberangreifern bereits rot im Kalender angestrichen ist, weiß Markus Robin, General Manager von SEC Consult: „Ein Server-Ausfall oder das Nichterreichen des Shops wären besonders in dieser Zeit für Betreiber fatal. Sehr oft kommt es hier zu Erpressungsversuchen durch Hacker, die Betreibern mit DDoS-Attacken drohen.“
„DDoS” steht für „Distributed Denial of Service“. Dabei werden die Server eines Web-Angebots oder Online-Shops durch zahlreiche automatisierte Anfragen, die Hacker lancieren, so stark überlastet, dass dieser für Kunden nicht mehr erreichbar ist. Für E-Commerce-Unternehmen bedeutet das finanzielle Einbußen und Reputationsverluste. Aber auch Kundendaten stehen bei Hackern ganz oben auf der Wunschliste. Durch das Ausnutzen von Sicherheitslücken in Web-Applikationen können Teile einer fremden Website in den Shop-Auftritt integriert werden (Cross-Site-Scripting), um unbemerkt Kreditkartennummern oder Passwörter abzugreifen.
Trotz dieser offensichtlichen Gefahren sei das Problembewusstsein bei vielen Betreibern nur sehr gering ausgeprägt, gibt Robin zu Bedenken. Vor allem kleinere Anbieter wiegen sich oftmals in falscher Sicherheit: „Auch kleinere Online-Shops stehen im Visier der Hacker. Heikel wird es vor allem dann, wenn Eigenentwicklungen nicht ausreichend durch Sicherheitstests überprüft wurden. Etwaige Schwachstellen, die bei der Software-Erstellung entstanden sind, öffnen Cyberkriminellen Tür und Tor. Missbrauch ist so vorprogrammiert.“
Um Schaden zu vermeiden, können Shop-Betreiber zahlreiche Maßnahmen zur Absicherung ihres Unternehmens ergreifen, darunter Security-Audits (Bsp. ÖNORM A7700-Zertifizierung), regelmäßige Updates und gezielte Awareness-Schaffung bei Mitarbeitern. Ob der eigene Online-Shop jedoch einem „echten“ Hacker-Angriff standhalten würde und welche Hintertürchen offen stehen, kann nur durch versierte Sicherheitsexperten „von außen“ überprüft werden. Im Zuge sogenannter Penetrationstests oder spezieller DDoS-Belastungstests erfolgt ein kontrollierter, realitätsnaher Angriff auf den eigenen Server oder die eigene Web-Applikation. E-Commerce-Betreiber haben dadurch die Möglichkeit, bei Bedarf in puncto Sicherheit nachzurüsten, um das eigene Unternehmen sowie sensible Kundendaten zu schützen. „Die Verantwortung bei Datendiebstählen trägt letztlich der Shop-Betreiber“, so Robin weiter. Dabei weist der Security-Experte auf die neue EU-Datenschutz-Grundverordnung hin, die mit 2017 in Kraft tritt. Demnach müssen Unternehmen Datenverluste im Falle eines Cyberangriffs melden, zusätzlich werden die Sanktionen bei Datenschutz-Verstößen drastisch verschärft. (pi)
Be the first to comment