Die Retail-Branche ist in den letzten Jahren ein immer beliebteres Angriffsziel für Hackergruppen geworden. Gezielte Angriffe auf einzelne Systeme anstelle weitgestreuter Attacken scheinen hierbei der Trend zu sein. Der Schaden, der durch Cyberattacken im Retail-Bereich zustande kommt, ist laut Experten etwa vier Mal so hoch wie im Bankensektor. Doch wieso sind die Unternehmen so angreifbar?

Diese Entwicklung ist vor allem auf die immer schneller werdende Digitalisierung zurückzuführen. Kunden werden immer anspruchsvoller und Onlineshops müssen laufend den neuesten technologischen Entwicklungen folgen. Das ist wichtig, um für bestimmte Stoßzeiten wie Black Friday skalierbar zu sein und den erhöhten Anfragen standhalten zu können. Der einzelne Kunde hat zudem durch Social Media, Online-Plattformen und Bewertungsforen einen viel größeren Stellenwert als je zuvor. Gerade aus diesem Grund ist es für Händler wichtig, Daten zu sammeln und auszuwerten. Damit steigt jedoch auch das Interesse der Hacker, an diese zu gelangen und sie zu missbrauchen.

Händler investieren zunehmend in ihre digitalen Kanäle, um für den Kunden immer und überall erreichbar zu sein. Durch diese Omnichannel-Strategie müssen Systeme vernetzt und manchmal auch an Drittanbieter ausgelagert werden. Somit steigt die Angriffsfläche. Standardschutzmaßnahmen reichen jedoch nicht mehr aus Bedrohungen frühzeitig genug zu entdecken, um den Schaden in Grenzen zu halten.

Beim Identitätsdiebstahl übernehmen Angreifer die Identität eines Kunden. Identitäten können entweder zentral beim Händler oder beim Kunden gestohlen werden. Doch wie gelangen Hacker an diese Daten und was ist ihr Ziel?

• Verpasste Sicherheitsmaßnahmen im Onlineshop bieten eine weitgreifende Angriffsfläche. Angreifer hacken ganze Datenbanken und kommen somit mit nur einem Angriff auf mehrere Tausend Identitäten. Die werden anschließend für kleines Geld im Darknet angeboten.
• Zu minimalistische Sicherheitsrichtlinien in Onlineshops oder zu einfache Passwörter machen es den Angreifern leicht, dem Kunden seine Identität zu stehlen. Der Unterschied zum vorherigen Angriffsszenario: Die Angriffsmethode ist zwar skalierbar, jedoch kann immer nur ein Kundenkonto auf einmal gestohlen werden.
• Nutzung von Fake-Websites. Hier kopieren Angreifer die Homepage des Onlineshops und missbrauchen mit verlockenden Angeboten das Vertrauen des Kunden in den falschen Händler. Der Käufer folgt dem Kaufvorgang bis zur finalen Bezahlung und der Angreifer kommt so an alle Daten des Käufers.
• Identitätsklau über ein Fake-Profil, um Produktbewertungen zu schreiben. Mit dem Namen, der Adresse oder einer falschen E-Mail-Adresse wird eine zweite Version des Kundenkontos angelegt, das für das Schreiben von Produktbewertungen verwendet wird. Das geht so weit, dass der Angreifer mit seiner eigenen Kreditkarte billige Artikel kauft, die dem Opfer zugeschickt werden, und der Angreifer eine Artikelbewertung eines sogar verifizierten Verkaufes schreiben kann. Von dieser Angriffsart sind hauptsächlich Multivendor-Plattformen wie Amazon betroffen.

Der Onlinehändler muss sicherstellen, dass seine Datenbanken mit den Nutzerdaten ausreichend gesichert sind. Mit weiteren Sicherheitsmaßnahmen muss er Kunden-Konten schützen. Dazu gehören zum Beispiel die Verwendung von komplexen Passwörtern, das Nutzen von Multi-Faktor-Authentifizierung und das Umsetzen eines sichern Bezahlvorgangs.

Hier kaufen Angreifer Geschenkgutscheine eines Anbieters und versuchen, hinter den Algorithmus der Gutschein-Codes zu kommen. Haben sie diesen einmal verstanden, können sie selbst Gutscheine generieren und anschließend selbst nutzen oder verkaufen. Händler sollten deshalb bei der Erstellung der Gutscheincodes darauf achten, komplexe Algorithmen zu verwenden. Zudem sollten lediglich bereits verkaufte Gutscheincodes für die Verwendung im Onlineshop freigeschaltet werden.

Diese Angriffsmethode wird hauptsächlich zur Hochsaison angewandt. Dabei fälschen Angreifer Rechnungen für Produkte, die sie nie bestellt haben oder geben an, eine Bestellung nie erhalten zu haben. Händler haben gerade zu diesen Zeiten zumeist weder die Kapazität noch die technischen Mittel, den Sachverhalt zu untersuchen. Eine saubere Überprüfung, wer was gekauft hat, sowie die Nachverfolgung der Sendung ist ein aufwendiges jedoch effizientes Gegenmittel. Um die Überprüfung ganzheitlich und effizient zu gestalten, sollte so viel wie möglich automatisiert werden. Zusätzlich kann über Schnittstellen zu anderen Systemen und zu externen Partnern automatisiert nachverfolgt werden, wer was gekauft und auch wirklich zugestellt bekommen hat.

Bei einer DDoS-Attacke (Distributed-Denial-of-Service) geht es überwiegend darum, dem Händler Schaden zuzufügen, indem der Onlineshop außer Betrieb genommen wird. Insbesondere in hochsaisonalen Zeiten (Black Friday, Cybermonday) kann hier ein erheblicher Schaden entstehen. Angreifer versuchen, mit einer erhöhten Anzahl gezielter Zugriffe den Onlineshop über eine Dienstblockade lahmzulegen. Skalierbare Cloud-Infrastrukturen helfen beiden, dem Angreifer und dem Onlinehändler. Hier stellt sich die Frage, wer den längeren Atem hat, seine Infrastruktur hochzuskalieren. Sehr wichtig ist es, eingehende Angriffe schnellstmöglich zu erkennen. Das kann über ein ganzheitliches Monitoring erleichtert werden. Ein sogenannter Incident-Response-Plan („Was mache ich, wenn der Ernstfall eintritt?“) hilft, um nach der Erkennung die richtigen Maßnahmen einzuleiten.

Dieser Angriffs-Typus kann auch im stationären Handel stattfinden. PoS-Geräte werden dabei über das Einspielen von Schadsoftware kompromittiert und die Kreditkartendaten direkt und meistens online ausgelesen. Der angerichtete Schaden sowie der Ertrag der Angreifer können enorm sein. Händler sollten regelmäßig überprüfen, ob sie die Sicherheitsstandards (PCI-DSS) einhalten. Laufende Risikoanalysen können zudem aufzeigen, welche Standards aktuell nicht eingehalten werden und welches Risiko somit entsteht. Dieses kann zusätzlich durch eine Überprüfung, ob Mitarbeiter eine kriminelle Vergangenheit haben, reduziert werden.

Der Onlinehandel gerät zunehmend ins Visier von Angreifern. Das hängt damit zusammen, dass die Volumina sehr hoch sind und Kunden sehr viele ihrer persönlichen Daten bereitstellen. Zudem werden Sicherheitskonzepte bei Onlinehändlern überwiegend noch niedriger priorisiert als neue Funktionalitäten, die den Handel antreiben und die Wettbewerbsfähigkeit stärken. Ausgehend von den Möglichkeiten der Angreifer, zum Beispiel durch cloudbasierte Großangriffe, sollten Händler folgende Bausteine berücksichtigen:

• Der Aufbau eines ganzheitlichen Monitoring-Systems zur Überwachung des Onlineshops hilft, verdächtiges Verhalten frühzeitig zu identifizieren und Gegenmaßnahmen einzuleiten.
• Das Aufsetzen einer simplen, robusten Architektur zur Abwehr von Angriffen, die durch eine solide (Cloud-)Infrastruktur Website- oder App-Angriffen standhält.
• Die starke Authentifizierung von Nutzern, etwa der Zwei-Faktor-Authentifizierung oder über verschiedene Kanäle (Smartphone, Laptop, Biometrische Personen-Authentifizierung).
• Den Aufbau eines sogenannten Security-Operating-Models, das aus vordefinierten Prozessen für das Schwachstellenmanagement, Tools zur Abwehr von Angriffen und einem Team von Sicherheitsexperten besteht.

Cybersecurity ist ein immer fortlaufender Prozess, da Angreifer immer wieder neue Methoden entwickeln. Händler sollten sich daher dringend mit dem Thema Cybersecurity auseinandersetzen, ihre persönlichen Risiken bewerten und Maßnahmen ableiten. Diese sollten immer im Verhältnis zur Größe des Onlineshops stehen. Für große Shops lohnt es sich, selbst ein sogenanntes Security-Operations-Center aufzubauen, bei kleineren kann es Sinn machen, Sicherheitsdienste bei spezialisierten Dienstleistern einzukaufen. Auch bieten einige E-Commerce-Plattformen solche Dienste bereits von Haus aus an. Diese können relativ einfach dazu gebucht werden oder sind bereits im Standard-Paket integriert.