Wird Ihr Onlineshop Ziel eines Cyberangriffs, sind nicht nur Sie selbst betroffen, sondern auch Ihre Kunden, die Ihnen persönliche Daten wie Adressen und Zahlungsinformationen anvertraut haben. Das Missbrauchsrisiko ist verständlicherweise enorm hoch, weshalb Sie Schutzmaßnahmen implementieren und damit mögliche Attacken frühzeitig abwehren sollten.
In diesem Asendia Insights Blogbeitrag geht es um Cyber Security, Fraud Management und die Frage, wie Sie die Sicherheit Ihres Onlineshops gewährleisten und die Daten Ihrer Kunden schützen können.
Betreiber eines Onlineshops verarbeiten im Zuge ihrer Geschäftstätigkeit sehr viele Daten, die ihnen nützliche Informationen zu Kunden, Lieferanten und Wettbewerbern geben. Das können Adressdaten, Zahlungsinformationen oder Einblicke zu Personas sein, mit denen Onlinehändler ihre Marketingstrategien optimieren. Für Menschen mit schlechten Absichten liegen hier also potenzielle Schätze, die man nur abgreifen und an den Meistbietenden verkaufen muss. Unabhängig davon, dass Sie verhindern möchten, dass die Daten, die Sie mühsam gesammelt haben, von Dritten abgegriffen werden, so handelt es sich hierbei oft auch um sensible Informationen. Ihre Kunden beispielsweise verlassen sich darauf, dass Sie Kreditkartendaten, Adressen oder Telefonnummern, die Ihnen im Laufe einer Transaktion anvertraut werden, entsprechend sichern – hier geht es also auch um Vertrauen und Loyalität Ihrer Shopper, die Sie nicht enttäuschen wollen.
Nicht zuletzt ist Datenschutz gesetzlich verpflichtend, in der EU etwa im Rahmen der DSGVO, die die „Erfassung, Speicherung und Verwaltung von personenbezogenen Daten” regelt. In der DSGVO wird unter anderem festgehalten, welche Maßnahmen Sie ergreifen müssen, um Daten vor Missbrauch, Verlust oder Zugriff zu schützen – bei Nichteinhaltung drohen empfindliche Strafen.
Kleine Onlineshops sind vermeintlich leichtere Ziele als große Unternehmen, da Sie über geringere Ressourcen verfügen und dadurch in der Regel auch weniger ausgeklügelte Sicherheitsmaßnahmen einrichten, um Ihre Systeme vor Angriffen zu schützen. Sie sollten sich daher über die gängigsten Formen von Cyberattacken im Klaren sein und wissen, was als Onlinehändler auf Sie zukommen kann.
Phishing
Hierbei handelt es sich um den Versuch, mithilfe einer Fake-E-Mail Daten abzugreifen oder Schadsoftware auf dem Rechner des Anwenders zu installieren. Diese E-Mails sehen häufig täuschend echt aus und geben vor, von vertrauenswürdigen Quellen wie etwa der Hausbank oder einer Behörde zu stammen. Der Nutzer wird dann beispielsweise dazu aufgefordert, Kreditkarten- oder Bankdaten in ein Formular auf einer gefälschten Webseite einzugeben.
Vor Phishing schützen Sie sich vor allem durch gründliche Quellenüberprüfung (E-Mail-Adresse des Absenders) und eine gesunde Portion Misstrauen. Wenn Sie nie um die Rücksetzung eines Passworts gebeten haben oder die E-Mail ungewöhnliche Fehler enthält, dann handelt es sich aller Voraussicht nach um einen Phishingversuch.
Malware/Ransomware
Das ist bösartige Software, die auf Ihrem System installiert wird, etwa durch Phishingversuche und falsche Links, mit denen der Anwender die Malware herunterlädt. Im Falle von Ransomware dient die Software dazu, Sie vom Zugriff auf Ihr eigenes System abzuhalten, bis Sie ein Lösegeld zahlen.
E-Skimming
Digitale Variante des Versuchs, mit einem sogenannten Skimmer Kreditkartendaten auszulesen. Achten Sie darauf, Ihre Transaktionen stets über eine sichere Verbindung durchzuführen, um E-Skimming und andere Zugriffe auf Ihre Daten zu verhindern.
Benutzerfehler
Gegen menschliche Fehler können Sie kaum etwas ausrichten. Wer im Alltagsstress eine verdächtige Mail nicht sofort als solche erkennt, begeht schlicht einen vermeidbaren Fehler – und Fehler passieren. Um die Zahl der Fehler zumindest zu minimieren, sollten Sie Ihre Mitarbeiter schulen und sich und Ihr System stets auf dem neusten Stand halten. Um im Zweifel Ihren Shop schnellstmöglich wieder ans Laufen zu bringen, sollten Sie außerdem regelmäßig Backups machen (lassen).
Schon mit ein paar einfachen Stellschrauben können Sie die Sicherheit Ihres Onlineshops erhöhen und die Daten Ihrer Kunden schützen. Achten Sie beispielsweise auf:
Bereits beim Webhosting können Sie präventiv gegen potenzielle Angriffe agieren, indem Sie einen Anbieter wählen, der selbst Schutzmaßnahmen ergreift und ein starkes Backup-System zur Verfügung stellt. Stehen die Server zudem in Deutschland, greifen die strengen deutschen Datenschutzgesetze – und die Ladezeiten Ihres Shops verringern sich.
Plugins und Add-ons sind beliebte Angriffspunkte für Hacker: Wird eine Web-Anwendung aktualisiert, werden solche Erweiterungen normalerweise nicht automatisch auch geupdatet. Dadurch können Sicherheitslücken entstehen, die wiederum potenzielle Angriffspunkte bieten. Halten Sie Plugins und Add-ons also stets auf dem neuesten Stand.
Sicherheitssoftware und eine gute Firewall greifen darüber hinaus ein, wenn bereits ein Angriff stattgefunden hat – im Optimalfall wird er durch die Schutzmaßnahmen abgewehrt und Sie bekommen gar nichts davon mit. Starke, komplexe Passwörter erhöhen die Sicherheit Ihres Onlineshops ebenfalls: Sie sollten Klein- und Großbuchstaben, Sonderzeichen und Zahlen beinhalten und aus mindestens zehn bis zwölf Zeichen bestehen.
Auch für die Zahlungsabwicklung in Ihrem Onlineshop sollten Sie bzw. Ihr Payment Provider bestimmte Sicherheitsstandards einhalten, um sensible Daten wie Kreditkarteninformationen vor dem Zugriff durch Unbefugte zu schützen. Speziell für die Zahlung per Kreditkarte existiert mit dem Payment Card Industry Data Security Standard (PCI oder manchmal auch PCI DSS) ein Regelwerk, das alle wichtigen Kreditkartenorganisationen befolgen; es enthält und definiert Standards, die sicherstellen sollen, dass sensible Zahlungsdaten korrekt verarbeitet und gespeichert und somit vor Phishing-Attacken geschützt werden.
Ihr Zahlungsanbieter sollte ebenfalls dazu in der Lage sein, Ihnen auf Nachfrage Details zu den Sicherheitsmaßnahmen zu nennen, mit denen er Transaktionen und Finanzdaten schützt.
Immer mehr Unternehmen setzen auf Künstliche Intelligenz, um Ihren Shop vor Angriffen zu schützen und Betrugsmaschen zu verhindern. Dabei setzt die KI vor allem darauf, Vorgänge wie Bestellungen oder Zahlungen auf abweichende Muster zu untersuchen und damit frühzeitig Anomalien zu erkennen. Der Vorteil der KI: Sie agiert in Echtzeit und arbeitet deutlich schneller als ein Mensch – und darüber hinaus kann sie auch komplexere Muster erkennen, die nicht jeder Mensch sofort wahrnehmen würde.
Die KI kann beispielsweise das Einkaufsverhalten von Kunden analysieren und auf diese Weise Abweichungen von der Norm feststellen, die auf mögliche Betrugsversuche hinweisen. Dasselbe gilt für ungewöhnliche Adressen oder auffällige Kreditkartennummern: Hie könnte eine Künstliche Intelligenz in Echtzeit Auffälligkeiten feststellen und beispielsweise eine zusätzliche Verifizierung vor dem Check-out verlangen.
Onlinehändler können mittlerweile zwischen verschiedenen Tools und Anbietern wählen, um die Sicherheit ihres Onlineshops mithilfe von KI zusätzlich zu erhöhen. Es ist jedoch zu beachten, dass der Einsatz von Künstlicher Intelligenz die Schulung von Mitarbeitern erfordert und auch eine KI nicht immer perfekt funktioniert: Die Ergebnisse sollten also regelmäßig überwacht und eingeordnet, Befehle, Datensätze und Prompts kontinuierlich verbessert und angepasst werden.