Die Kundendaten im Internet-Handel sind für Datendiebe eine wertvolle Beute. Wie können sich Online-Händler schützen?
Mit der steigenden Beliebtheit des Online-Shoppings und dem wachsenden Angebot der Internet-Anbieter legt auch die Zahl der Betrugsversuche zu. Auf der IHK-Fachveranstaltung „Prävention IT-Kriminalität“ bezifferte Stefan Weinfurtner, Experte am Institut IBI Research der Universität Regensburg, den Schaden im Online-Handel auf 2,4 Mrd. Euro – bei einem Gesamtumsatz von rund 40 Mrd. Euro.
Im letzten Jahr hat sich laut der Studie „2016 Global Threat Intelligence Report“ das Hauptangriffsziel von Cyber-Kriminellen von den Finanzmärkten zum Einzelhandel verlagert. Demnach waren Einzelhandelsunternehmen fast drei Mal so häufig Cyber-Angriffen ausgesetzt als der Finanzsektor, der im Vorjahr noch an erster Stelle gestanden hatte. Als Ursache gilt die große Menge personenbezogener Informationen und Kreditkartendaten, die der Handel verarbeitet. Viele dieser Informationen werden in dezentralen IT-Umgebungen mit einer Vielzahl von Endpunkten und Point-of-Service-Geräten verarbeitet, die schwerer zu schützen sind.
Neben dem Datendiebstahl sieht Weinfurtner drei handelsspezifische Bereiche, an denen Online-Betrüger ansetzen. Dazu zählt das Online-Marketing, bei dem beispielsweise Konkurrenten systematisch und massenhaft auf das Banner eines Anbieters klicken, natürlich ohne dass eine Kaufabsicht besteht. So entstehen für den Online-Werber Kosten, die aufgrund der hohen Klick-Zahlen erwarteten Einnahmen bleiben aus. Diese offene Flanke sei mittlerweile aber weitgehend gelöst, so Weinfurtner.
Am häufigsten Betrügereien rund um den Zahlungsprozess. So können Online-Kunden nicht richtig identifiziert werden, auch weil sie mit gestohlenen Kreditkarten auf Shopping-Tour per Mausklick gehen. Ernst zu nehmen ist auch das klassische „Zahlungsstörungsrisiko“ beim Kauf auf Rechnung, bei dem erhaltene Ware nicht vollständig, nicht fristgerecht oder überhaupt nicht bezahlt wird. Oder der Käufer bestellt mehr Ware, als er bezahlen kann. Andere Betrüger nutzen gestohlene Kundendaten für den Bezahlvorgang im Webshop. Immer häufiger sehen sich Online-Händler einem Betrug beim Retouren-Management ausgesetzt, weil Kunden bestellte Ware (z. B. Festkleider oder Schuhe) schon benutzt haben oder sie beschädigt und verschmutzt zurücksenden.
Nach Erhebungen des Regensburger Instituts IBI Research, das auf Fragen des E-Commerce spezialisiert ist, haben vier von fünf Händlern bereits mit Betrug oder Betrugsversuchen zu tun gehabt. 60 Prozent der befragten Online-Händler geben an, dass die Zahl der Fälle in den letzten fünf Jahren deutlich angestiegen ist. Die Betrügereien werden vor allem abends und nachts registriert und häufen sich besonders in der Weihnachtszeit.
Doch der Handel rüstet nach: Drei Viertel der Unternehmen führen Maßnahmen zur Betrugserkennung in ihrem Online-Shop durch. Gut die Hälfte kombiniert hierzu eigene Schutzvorkehrungen mit der Hilfe externer Spezialisten, so IBI Research. Die Händler überprüfen nun stärker Bestellungen von Neukunden, nehmen Bestellungen ab einer gewissen Summe unter die Lupe bzw. Bestellungen in bestimmten Produktgruppen. Eine Überprüfung von Bestandskunden findet dagegen nur relativ selten statt.
Risikomanagement
Weinfurtner rät den Online-Händlern zu einem effizienten Risikomanagement. Zuerst sollten immer interne Daten (z. B. selbst erstellte Negativlisten) genutzt werden. Externe Daten sollten nur gezielt, etwa nach Forderungsbetrag oder gewünschter Zahlungsart, zugekauft werden. Schließlich sollten immer zuerst kostengünstige Datenquellen abgefragt werden. Denkbar ist zudem, entsprechend dem ermittelten Ausfallrisiko die Zahlungsverfahren auf Vorkasse und Kreditkarte zu reduzieren. Er gibt allerdings zu bedenken, dass der Anteil der fehlerfrei abgewickelten Zahlungsvorgänge bei der Kreditkarte bei lediglich 20 Prozent liegt, bei der Zahlung auf Rechnung sogar nur bei vier Prozent. Am sichersten ist die Sofort-Überweisung, bei der in 84 Prozent aller Käufe das Geld störungsfrei beim Händler ankommt, gefolgt von der Vorkasse per Überweisung.
Der „Social Engineer Coach“ Thomas Krauss von der Happurger Präventionsfirma Power of Words warnt die Online-Händler vor dem Trugschluss, dass sich schon niemand für die Daten interessieren werde. Dies sei ein „existenzieller Selbstbetrug“. Mittlerweile gebe es im sogenannten Darknet (in etwa: „dunkles, kriminelles Internet“) Webshops für Schad-Software, sozusagen Cyber-Waffen im Sonderangebot. Damit könnten selbst Laien für ein paar Hundert Dollar zu Cyber-Kriminellen werden. Darüber hinaus werde im Darknet auch „Cybercrime as a Service“ (CaaS) – also Hacken oder Datendiebstahl als Dienstleistung – angeboten.
Allerdings fließen Kundendaten – „die Kronjuwelen jedes Webshops“ – nur zu 20 Prozent durch gezielte technische Angriffe ab. Der Löwenanteil des Datenklaus resultiert mit 80 Prozent aus direkten menschlichen Eingriffen. Bei diesem sogenannten „Social Engineering“ versuchen Angreifer, Mitarbeiter von Unternehmen auszuhorchen oder zu Fehlhandlungen zu verleiten. Diese „Kunst der Täuschung“ führt nach Kenntnis von Krauss „zu fast 100 Prozent zum Ziel“, wenn sie gut gemacht ist. Dazu nutzen Cyber-Kriminelle echt wirkende Mails mit Vor- und Zunamen sowie authentischer Firmenbezeichnung, um als scheinbarer Kollege mit einem manipulierten E-Mail-Anhang einen Trojaner ins Firmennetz zu schleusen. Neben diesem Mail-Spoofing (Manipulation oder Vortäuschung) ist auch ein Telefonnummern-Spoofing denkbar, bei dem dem Angerufenen eine intern oder extern bekannte Nummer – etwa die Telefonnummer der Hausbank – vorgegaukelt wird.
Cyber-Kommissar Christian Brunner vom Polizeipräsidium Mittelfranken empfiehlt eindringlich die kontinuierliche Wartung und Aktualisierung der IT, die allerdings nur für 90-prozentigen Schutz sorge. Wichtig sei auch ein Notfallplan CERT (Computer Emergency Response Team), um bei einer Attacke planmäßig reagieren zu können. Der Beamte berichtet jedoch aus der Praxis, dass der Großteil der Angriffe aufgrund von menschlichem Versagen zum Ziel führt. Dabei nimmt er auch die Führungsebene in die Pflicht: Es sei alles andere als selbstverständlich, dass sich das Management selbst an die Sicherheitsregeln hält, die es vorgegeben hat.
Der Cyber-Polizist erinnerte daran, dass eine Anzeige unter Umständen gemäß des § 42 Bundesdatenschutzgesetzes erfolgen müsse, wenn Daten von Kunden oder Geschäftspartnern nach außen gedrungen sind. Allerdings werde häufig auf eine Anzeige verzichtet, weil z. B. der Täter ein Mitarbeiter ist, der Angriff erfolglos blieb oder keine Schäden erkennbar sind. Manche Firmen befürchten auch Image-Schäden oder eine vorübergehende Sicherstellung der Hardware zur Strafverfolgung. Wieder andere sehen von einer Anzeige ab, weil sie nicht lizensierte Software im Einsatz haben.
Eine Erstberatung bietet das Kommissariat 34 im Nürnberger Zeughaus, auch die Beratungsstellen der Polizei in Ansbach, Erlangen, Fürth und Schwabach stehen als Ansprechpartner für Unternehmen zur Verfügung. Dort können auch weiterführende Kontakte erfahren oder Vorträge vereinbart werden. Das Polizeipräsidium Mittelfranken ist Mitglied der Initiative „Prävention IT-Kriminalität“, in der auch der Bayerische Verband für Sicherheit in der Wirtschaft e.V. (BVSW), die MW IT-Businesspartner in Röttenbach und die IHK Nürnberg für Mittelfranken mitarbeiten.
