Im Zusammenhang mit User Experience kommt der Begriff Cyber Security garantiert nicht als Erstes in den Sinn. Dabei ist ein sicherer Onlineshop unerlässlich für die Kundenbindung. Datenverlust zieht irreparable Schäden nach sich. Der mittlerweile verbreitete Einsatz von KI-Technologien stellt einen erheblichen Treiber für Cyber-Angriffe dar, die drastisch zunehmen. Wir zeigen im Blogbeitrag auf, wie sicherer E-Commerce gelingt.
Aspekte der E-Commerce Sicherheit
E-Commerce Sicherheit bezieht sich allgemein auf eine Reihe von weltweit anerkannten Richtlinien, die einen sicheren Online-Einkauf gewährleisten. Ein Teil davon sind Protokolle. Diese schützen sowohl den Online-Händler als auch seine Kunden, die ihre persönlichen Daten im Zuge des Kaufs preisgeben. Bevor ein Unternehmen nun die notwendigen Protokolle für die Sicherheit seines Onlineshops festlegt, sollte er sich mit verschiedenen Aspekten vertraut machen. Dazu gehören:
- Authentifizierung
Gewährleistet, dass Käufer und Verkäufer tatsächlich die Personen sind, als die sie sich ausgeben.
- Datenschutz
Konzentriert sich darauf, die Kundendaten zu schützen, vor allem vor Eingriffen durch Unbefugte.
- Integrität
Stellt sicher, dass die übertragenen Daten nicht verändert oder irgendwie bearbeitet werden.
- Nachweisbarkeit
Bezieht sich auf den Rechtsgrundsatz, der eine lückenlose Dokumentation von Transaktionen vorsieht.
Cyber Security: Typische Sicherheitslücken im Onlinehandel
E-Commerce Plattformen sind die perfekte Zielscheibe für Cyberangriffe. Als reichhaltige Quelle für sensible Informationen und Kapital bedienen sich skrupellose Akteure hier gerne. Die Ausnutzung von Sicherheitslücken im E-Commerce ist für sie ein profitables Geschäft. Umso mehr gewinnt Cyber Security an Bedeutung.
Es braucht ein Set an Maßnahmen, um sich vor den Sicherheitsbedrohungen im E-Commerce zu schützen. Dabei reicht es nicht, dieses einmal aufzusetzen: Aktualisierung und Wartung sind für optimalen Schutz ein Muss. Aber wie genau sieht so ein Cyberangriff aus? Wer ist der Gegner? Wer die Gefahr kennt, kann sich besser schützen. Konkrete Angriffe im E-Commerce sind z.B. Spam in Produktbewertungen, gefälschte Massenbestellungen oder gezielte Manipulation der Google-Rankings durch Wettbewerber. Im Folgenden schauen wir uns weitere typische Bedrohungen für die E-Commerce-Sicherheit an:
- Malware & Ransomware
Malware bezeichnet bösartige Software, die von Hackern im System des Opfers installiert wird. Ransomware ist eine Art Malware. Diese sperrt das Unternehmen von seinem eigenen System aus und verhindert den Datenzugriff. Zu den häufigsten Anzeichen für einen Malware-Angriff gehören z.B. die Weiterleitung zu falschen Seiten oder ein langsames System, das ständig abstürzt bzw. einfriert.
- Phishing
Das Opfer erhält betrügerische E-Mails, die jedoch glaubwürdig wirken. KI macht es den Angreifern noch einfacher, da sie mit dessen Hilfe perfekt auf den Empfänger zugeschnittene Anschreiben verfassen können. Oft sind es dringende Aufforderungen wie z.B. „Bitte sehen Sie sich XY sofort an.“ Klickt der Empfänger auf die Datei oder den Link, wird ein bösartiges Programm auf seinem Rechner installiert.
- E-Skimming
Bei E-Skimming handelt es sich um die digitale Version des Kreditkarten-Skimming. In der physischen Welt werden Skimmer über Kreditkartenlesegeräte installiert, um so Daten abzuschöpfen. Unter einem E-Skimmer versteht man hingegen einen bösartigen Code, der während einer Online-Transaktion die Kreditkartendaten eines Kunden stiehlt. Sichere Zahlungsprozessoren sind eine gute Möglichkeit, dieser Sicherheitsbedrohung zu begegnen.
- Zero-Day-Exploit
Zero-Day-Exploit oder auch Zero-Day-Angriff meint einen Angriff, der eine bislang unbekannte Sicherheitslücke missbraucht. Das Opfer ist nicht in der Lage, den Angriff abzuwehren bevor es zu spät ist, da ihm die Schwachstelle bis dato nicht bewusst war. Diese Form der Sicherheitsbedrohung sind besonders gefährlich für den E-Commerce.
- Code-Injection
Code-Injection bezeichnet die Ausnutzung von Schwachstellen in Computerprogrammen oder Webanwendungen. Hier schleust ein Hacker unerwünschten Programmcode ein. Mit der anschließenden Ausführung kann er schwerwiegenden Schaden verursachen, wie z.B. die Manipulation oder das Entwenden von Daten.
- Man-in-the-Middle-Angriff (MITM)
Ein MITM-Angriff ist als „aktiver Lauschangriff“ zu verstehen. Hierbei wird eine Datenübertragung oder ein Gespräch zwischen zwei Parteien von einer außenstehenden Instanz abgefangen. Von dieser dritten Partei kann zusätzlich bösartige Software in ausgetauschte Dateien eingeschleust werden, um im Anschluss an den Angriff weitere Systeme zu infizieren.
Bedeutung von KI für die Cyber Security im E-Commerce
Künstliche Intelligenz (KI) ist schon lange kein Trend mehr und durchdringt alle Lebensbereiche. So hat sie auch Auswirkungen auf die Sicherheit im E-Commerce. Zum einen hat KI das Potential, die Cyber Security zu verbessern, birgt aber auch neue Risiken und Herausforderungen. Es ist daher wichtig, einen ausgewogenen Ansatz zu verfolgen, bei dem die Vorteile von KI genutzt werden, während gleichzeitig mögliche Risiken berücksichtigt und minimiert werden.
Zum Beispiel können Cyberkriminelle KI-Technologien nutzen, um leistungsfähigere und zielgerichtetere Angriffe zu entwickeln. Das kann sich in einem personalisierten Phishing-Angriff ausdrücken oder im Umgehen von Sicherheitsmechanismen. Bei Adversarial Attacks werden KI-Modelle gezielt mit manipulierten Daten gefüttert, um sie zu täuschen. Das kann dazu führen, dass die KI falsche Entscheidungen trifft und Sicherheitslücken entstehen.
Bewusstsein für E-Commerce Sicherheit schaffen
Es steht fest: Cyber Security ist ein viel diskutiertes Thema und gewinnt durch die fortschreitende Etablierung von KI-Technologien neue Brisanz. Viele Unternehmen unterschätzen die Bedeutung jedoch noch. Sie fühlen sich sicher. Vor allem deshalb, da ein Bewusstsein für die Gefahren fehlt und dafür, was Sicherheit alles bedeuten kann. Zur Sicherheit im E-Commerce gehört nicht nur, dass kein Außenstehender an Zahlungsdetails gelangt und damit Unwesen treibt. Es gehört auch dazu, dass der Onlineshop jederzeit für die Kunden verfügbar ist – ein wichtiges Kriterium für den B2B- wie auch den B2C-E-Commerce.
Investition in einen Experten zahlt sich aus
Es gibt zum Glück einige Möglichkeiten, sich aktiv zu schützen. Der Haken: Die Technik entwickelt sich schnell, und es erfordert Zeit und das nötige Fachwissen, das als Shopbetreiber alles alleine im Blick zu haben. Hier lohnt sich die Zusammenarbeit mit einer E-Commerce-Agentur, die mit kritischen Infrastrukturen umgehen kann, Cyber Security ernstnimmt und diese in gemeinsamen Projekten mit einbezieht. Auch ist es ratsam, bei Bedarf eine Arbeitsgruppe mit Schwerpunkt Sicherheit einzurichten.
Cyber Security: Setzt bei netz98 an der Basis an
Auf professionellem Niveau sind z.B. regelmäßige Backups, Multi-Faktor-Authentifizierung – bei Adobe Commerce (Magento) von Haus aus gegeben –, HTTPS, die Sicherung von Netzwerken durch Firewalls, sichere Passwörter sowie die Auswahl eines sicheren Zahlungsdienstleisters Selbstverständlichkeiten. Das Team von netz98 achtet in allen Kundenprojekten darauf, dass solche „Basics“ erfüllt sind.
Es gibt aber noch ganz viele Sicherheitsmaßnahmen, die darüber hinausgehen und das Risiko von Bedrohungen für das E-Commerce-Unternehmen verringern sowie gleichzeitig dem Endkunden ein sicheres Online-Einkaufserlebnis bieten. Bei netz98 setzen wir beispielsweise Folgendes für die Sicherheit unserer Kunden ein:
- Monitoring der eingesetzten Bibliotheken auf neue Sicherheitslücken
- Automatische Prüfung auf Injection-Lücken im Code
- Einsatz sicherer Captcha-Methoden zur Mensch-Überprüfung
- Gezieltes Blockieren bekannter Adressbereiche
- Leistungsfähige Code-Versionierung mit Rückverfolgbarkeit aller Änderungen
- Automatische Paket-Validierung, um Supply-Chain-Angriffen effektiv entgegenzuwirken
- Sichere Authentifizierungsmethoden über alle Beteiligten hinweg – vom Entwickler über Anwender bis hin zu Anwendungen
- Gemäß Principle of Least Privilege werden Rechte und Rollen möglichst individuell für den jeweiligen Use Case zugeordnet
Adobe agiert schnell mit Security Patches
Adobe schließt neue Sicherheitslücken sehr schnell durch die Bereitstellung von Security-Patches – und wir spielen diese Updates meist noch am Tag der Veröffentlichung aus. Als Magento und Adobe Commerce Gold Partner erhält das netz98-Team größere Updates bereits mehrere Wochen vorab. Dies ermöglicht es uns, ein Projekt ideal auf das Release vorzubereiten, sodass unser Kunde immer auf dem neusten Funktions- und vor allem Sicherheitsstand ist.
Bild: Freepik