Daten-Diebstahl leicht gemacht

Anfang des Jahres war der Schock in der E-Commerce-Branche groß: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) deckte auf, dass mindestens 1.000 Online-Händler in Deutschland durch veraltete Shop-Software vom sogenannten Online-Skimming betroffen waren. Angreifer konnten mit wenig Mühe vertrauliche Zahlungsinformationen und persönliche Daten von vielen Online-Einkäufern klauen.

„Leider zeigt sich nach wie vor, dass viele Shop-Betreiber bei der Absicherung ihrer Online-Auftritte sehr nachlässig handeln.“

Arne Schönbohm, Präsident des BSI, warnt eindrücklich vor dem sogenannten Online-Skimming: „Viele Shops werden mit veralteter Software betrieben, die längst bekannte Sicherheitslücken enthalten“, sagt Schönbohm. Das sei ein großes Risiko für Online-Händler wie auch deren Kunden, die Jahr für Jahr mehr übers Internet einkaufen und dort ihre persönlichen Daten samt Zahlungsinfos hinterlegen.

Arne Schönbohm Arne Schönbohm (© 2017 VDE)

 

Die Betreiber haften

Die Gefahr wächst, schließlich wird der Umsatz im Online-Handel  nach Angaben des Handelsverbands HDE in diesem Jahr um fünf Milliarden auf 49 Milliarden Euro steigen.

Online-Skimming in Kürze

Beim Online-Skimming (Online-Abschöpfen) nutzen Cyberkriminelle Sicherheitslücken in veralteten Versionen der Shop-Software, um einen schädlichen Programmcode einzuschleusen. Dieser späht dann beim Bestellvorgang die Zahlungsinformationen der Kunden aus und übermittelt sie an die Täter. Der eingeschleuste Code und der damit verbundene Datenabfluss sind für Nutzer nicht erkennbar.

Cyberkriminelle wittern fette Beute, und häufig machen es ihnen Online-Händler viel zu einfach. „Dass viele Online-Shop-Betreiber im hart umkämpften E-Commerce-Markt die Sicherheit ihrer Kundendaten nicht umfassend garantieren, ist zwar nachvollziehbar. Allerdings sollten sie sich darüber im Klaren sein, dass gestohlene Kundendaten durch Online-Skimming absolut existenzbedrohende Schäden nach sich ziehen“, erklärt Gernot Bekk-Huber, Experte beim Sicherheitssoftware-Anbieter Airlock. „Online-Händler tragen ohnehin eine hohe Verantwortung bei der Absicherung der Kundendaten“, sagt er. Was viele nicht wissen: Nach § 13 Absatz 7 des Telemediengesetzes sind Betreiber von Online-Shops verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen.

Manchmal liegt es jedoch nicht an der Technik, sondern schlichtweg am mangelnden Sicherheitsbewusstsein der Mitarbeiter. Ob aus kriminellen Beweggründen oder unbeabsichtigt: Nach Angaben von Sicherheitsexperten der Firma Forcepoint ist heute der Verlust von vertraulichen Daten zu 50 Prozent auf interne Sicherheitslücken zurückzuführen.

Fünf Tipps, wie sich Online-Händler besser gegen Datenklau durch Online-Skimming schützen können:

  • 1. Zugriff von Mitarbeitern auf Kundendaten eng begrenzen: Sicherheitsrichtlinien mit eingeschränkten Zugriffsrechten für Mitarbeiter dämmen das Risiko eines Datendiebstahls erheblich ein. Ebenso gilt es, die Mitarbeiter für die Gefahren zu sensibilisieren und zu schulen. Unternehmen sollten außerdem Passwörter regelmäßig ändern, kein Einloggen von Arbeitsgeräten in öffentliche Netze erlauben und Netzwerke mit spezieller Software rund um die Uhr auf Auffälligkeiten überwachen.
  • 2. Software aktualisieren und updaten: Die wichtigste Sofortmaßnahme für einen sicheren Online-Shop ist, die  genutzte Software auf dem aktuellsten Stand zu halten und Updates sofort einzuspielen. Die OWASP (Open Web Application Security Projects) hat die zehn größten Sicherheitsschwachstellen für Web-Anwendungen aufgelistet. Sie stellen für Shop-Betreiber eine gute Übersicht dar, welche Fallstricke bei Aufbau und Pflege von Web-Applikationen existieren. Shop-Betreiber sollten diese kennen und ihre Anwendungen in Bezug auf diese Punkte schützen.
  • 3. Vertrauliche Daten immer verschlüsseln: Daten wie Kreditkarteninfos werden bei der Speicherung oder der Übertragung häufig nicht richtig geschützt. Eine Übertragung mit SSL-Verschlüsselung ist Standard, ebenso das verschlüsselte Speichern der Daten in Datenbanken und Logfiles.
  • 4. Profi-Sicherheitslösungen einsetzen: Auf der sicheren Seite sind Online-Händler, wenn sie auf eine professionelle Sicherheitslösung setzen, wie eine Web Application Firewall, kombiniert mit einer Customer-IAM-Lösung (Identity and Access Management). Da eine solche Lösung vor die einzelnen Web-Anwendungen geschaltet ist, schützt sie diese, selbst wenn noch Sicherheitslücken bestehen.
  • 5. Regelmäßige Backups durchführen: Durch die Datenspeicherung gehen wertvolle Kundendaten nie verloren.

Weiterführende Links zum Thema

Die digitalen Kammerjäger

Denken wie ein Hacker

IT-Sicherheit: Diese drei Lücken sollten Sie schließen