Betrug im E-Commerce – mehr Sicherheit ist machbar

Auf den ersten Blick scheint alles halb so schlimm. Legt man die Betrugsstatistiken des BKA zugrunde, die von der Behörde im „Cybercrime - Bundeslagebild 2013“ veröffentlicht wurden, belief sich der finanzielle Schaden durch Computerbetrug und den Betrug mit Zugangsdaten zu Kommunikationsdiensten im Jahr 2013 auf rund 42,6 Millionen Euro. Gemessen am Umsatz von 42 Milliarden Euro, der im Internethandel in Deutschland im letzten Jahr erzielt worden ist, also eher Peanuts? Eher nicht. Die Kriminaler gehen von einem enormen „Dunkelfeld“ aus. Sie schätzen sowohl den finanziellen Schäden als auch die Zahl der Fälle um den Faktor 11 höher ein als im offiziellen Lagebild ausgewiesen. Das würde hochgerechnet bedeuten, der finanzielle Schaden hätte sich im Jahr 2013 auf 468 Millionen Euro belaufen und die Fallzahl wäre auf 704 000 zu beziffern – allein bei den zwei genannten Betrugsarten.

Hackerangriffe auf 70 Prozent der Online-Händer

In einer Studie von Ibi Research, die zwischen November 2013 und März 2014 unter 120 Online-Händlern durchgeführt wurde, gaben 19,7 Prozent der Befragten an, dass ihr Shop schon einmal oder mehrmals gehackt wurde. 32,7 Prozent der Befragten erklärten, schon einmal mit Erpressung, Datendiebstahl oder Hacking konfrontiert worden zu sein.

Das Bundesministerium für Wirtschaft und Forschung geht von deutlich größeren Schäden aus. Einer Pressemitteilung des Ministeriums vom März 2015 zufolge sind schon 70 Prozent der Online-Händler in Deutschland Opfer von Hackerangriffen geworden. „Der durch Betrug verursachte wirtschaftliche Schaden im Onlinehandel ist durch neue Hackermethoden stark angestiegen und belief sich 2014 auf knapp 2,4 Milliarden Euro“, heißt es in der gleichen Mitteilung. Das wäre ein Schaden von 5,7 Prozent des Gesamtumsatzes der Branche  - also keineswegs Peanuts.

Allein im Mai 2015 rund 3,5 Millionen geleakte Identitäten

Die Diskrepanz erklärt sich zumindest teilweise durch die verstrichene Zeit. Die Statistik des BKA ist zwei Jahre alt. Die ibi-Umfrage war im März 2014 abgeschlossen. Seitdem hat sich viel ereignet. Spektakuläre Betrugsfälle und –serien sowie massive Identitätsdiebstähle, die in allen Industrieländern für Aufsehen gesorgt haben, stellen die Notwendigkeit von Betrugsprävention, Identitätssicherheit und sicheren Autorisierungsmechanismen immer wieder unter Beweis. Der „Leak-Checker“ des Potsdamer Hasso-Plattner-Instituts hat seit seiner Einrichtung im Februar 2011 über 186 Millionen geleakte Identitätsdaten erfasst. Allein im Mai 2015 lag die Zahl der entdeckten kompromittierten Identitäten bei rund 3,5 Millionen.

Spektakuläre Fälle

  • Einige spektakuläre Fälle von Identitätsdiebstahl aus den letzten 18  Monaten belegen das Ausmaß des Problems:
  • -In einem Angriff auf die Kassensysteme des zweitgrößten Einzelhandelskonzerns der USA, Target, erbeuteten Hacker im Dezember 2013 rund 70 Millionen Datensätze. Sie enthielten Namen, Kontonummern, Geheimzahlen für die Konten und zum Teil Telefonnummern sowie  Adressen der Kunden.
  • -Anfang des Jahres 2014 wurde Snapchat um 4,6 Millionen Nutzerdaten erleichtert.
  • -Ebenfalls im Januar 2014 meldete das BSI, es habe im Rahmen von Botnet-Analysen 16 Millionen kompromittierte Benutzerkonten entdeckt.
  • -Zwischen Februar und März 2014 erlangten Hacker bei Ebay Zugriff auf eine Datenbank, die Ebay-Benutzernamen, das verschlüsselte Passwort, die E-Mail- und Postadressen, die Telefonnummer sowie das Geburtsdatum der 145 Millionen Kunden des Online-Auktionshauses enthielten. Kunden der e-wallet Paypal waren offizieller Mitteilung zufolge nicht betroffen.
  • -Im August 2014 berichtet die New York Times über den angeblich größten Datenraub aller Zeiten. Russische Hacker erbeuten 1,2 Milliarden Zugangsdaten für Internetprofile. 420 000 Internetseiten sind betroffen.
  • -Im Oktober 2014 wurde bekannt, dass Hacker aus China im Computernetz der amerikanischen Bank Morgan Stanley die persönlichen Daten von 76 Millionen Haushalten erbeutet haben. Sie erhielten so Zugriff auf Namen, Adressen, Telefonnummer und E-Mail-Adressen.
  • -Im Februar 2015 wurde bekannt, dass eine Hackertruppe mit gezieltem Phishing und eingeschleuster Schadsoftware rund 100 Banken um insgesamt 1 Milliarde Dollar erleichtert hat, in dem sie zeitweise die Kontrolle über die Geldautomaten übernahm.
  • -Im Juni 2015 erstattete der Berliner Online-Brillenhändler Mr. Spex Anzeige gegen Unbekannt. Hacker haben Bestell- und Adressdaten von 400 000 Kunden gestohlen.

Online-Händler fühlen sich überfordert

Angesichts dieser Schäden und Angriffe fühlen sich Online-Händler verständlicherweise von der Aufgabe überfordert, ein sicheres Umfeld für sich und ihre Kunden zu schaffen, zumal ihre wichtigsten Partner beim Online-Bezahlen wie Banken und Zahlungsprovider zum Teil mit Technologien wie SMS Tan arbeiten, die keineswegs sicher sind.

Insbesondere durch zusätzliche Verkaufskanäle – vor allem den mobilen Kanal -, die zunehmenden Vielgestaltigkeit der Zahlungssysteme (mobil und E-Wallets) sowie die Ausdehnung ihrer Geschäftstätigkeit auf weitere Länder, fühlen sich die Online-Händler herausgefordert. Das ist ein Ergebnis der Untersuchung „Fragmentation of Fraud“, die im November 2014 von Worldpay, einem international agierenden Online-Zahlungsprovider aus England, veröffentlicht wurde.

Größtes Problem Identitätsdiebstahl

71 Prozent der 274 befragten Betrugsspezialisten machen sich die meisten Sorgen um das Thema Identitätsdiebstahl, 66 Prozent bereitet Phishing/Pharming und Whaling (gezielte Phishing-Aktionen gegen Führungskräfte) das stärkste Kopfzerbrechen und 63Prozent fürchten vor allem die unautorisierte Übernahme von Accounts. Die teilnehmenden Spezialisten sind bei Online-Shop-Betreibern beschäftigt, die mindestens 50 Millionen Dollar Umsatz erzielen.

Diese Online-Shop-Betreiber machen im Durchschnitt Geschäfte in 14 verschiedenen Ländern. Sie gehen davon aus, dass ihre internationalen Aktivitäten zunehmen werden. Die meisten Teilnehmer sehen neben USA und Kanada vor allem in Indien, Russland, Japan und China relativ große „Betrugsenergie“. Deutschland attestieren sie dagegen mit nur 12 Prozent eine relativ geringe Angreiferdichte.

Authentifizierung ist problematisch

Eine der größten Schwierigkeiten der international agierenden Online-Shop-Betreiber ist es laut Worldpay-Untersuchung aus den verschiedenen Ländern die richtigen Daten für die Authentifizierung ihrer Kunden zu bekommen.

Die Befragten halten Online-Sales über die Website eines Dritten (69%), Mobile Commerce(64%) und den Verkauf über eigene Websites (55%) für die betrugsanfälligsten Verkaufskanäle. Je mehr Kanäle „bespielt“ werden, desto schwieriger wird es, Betrug zu erkennen und zu verhindern.

Bei den Bezahlmethoden beunruhigt die Spezialisten nach wie vor die Kreditkartentransaktion am stärksten, gefolgt von der Bezahlung mit virtuellem Geld (z.B. Bitcoins), E-Wallets wie Paypal folgen an dritter Position auf der Besorgnisskala und auf dem 4. Platz befinden sich Zahlungen per Mobile Phone . Die Worldpay-Studie macht die Verletzlichkeit von Identitäten und Transaktionen im E-Commerce deutlich sichtbar. Vor allem beklagen die Sicherheitsspezialisten der Online-Händler die unzureichende Authenifikation und die Angreifbarkeit des mobilen Kanals.

 Basis sind sichere Identität und Verbindlichkeit

Ins gleiche Horn stößt Özgür Koyun, verantwortlich für Marketing & Business Development bei Kobil Systems, einem deutschen Anbieter mobiler Sicherheitsplattformen aus Worms: „Die Basis von sicherem E-Commerce sind Identität und die Verbindlichkeit der Transaktion. Beides ist durch den Siegeszug von zum Teil unsicheren mobilen Apps, der komplizierten Integration von Sicherheitsmaßnahmen in die IT-Landschaften und Prozesse von Online-Händlern sowie durch die mangelnde Unterstützung unternehmensübergreifender Prozesse gefährdet.“

Seiner  Meinung nach lässt sich zum Beispiel der mobile Kanal sehr viel besser absichern ohne an Benutzerfreundlichkeit zu verlieren wie das zum Beispiel beim 3D Secure Verfahren der Fall ist, das Kunden teilweise überfordert. Laut Koyun lässt sich die Benutzerfreundlichkeit sogar erhöhen, in dem Teile des Authentifizierungs- und Autorisierungsprozesses automatisiert werden, so dass der Kunde weniger eintippen muss.  Die Sicherheit steigt dann, wenn  Shop-Anbieter sich nicht mehr auf die Security  des jeweiligen Endgerätes verlassen, sondern ihre Apps und damit Identität sowie Transaktion sicherer gestalten. Das ließe sich mit einem Software Development Kit zum Schutz von Identität und Transaktionen erreichen, mit der Apps schon bei der Entwicklung mit integrierten Sicherheitsfunktionen ausgestattet werden wie:

  • -Schutz vor Debugging und Reverse Engineering,
  • -Security Sensoren (Jailbreak-, Malware-Detection),
  • -Methoden der Software-Härtung zur Verhinderung bekannter Laufzeitangriffe,
  • -Schutz von bösartigen URL,
  • -Verschlüsselung der Kommunikation zwischen Online Service, App und Endgerät
  • -Speicher für anwendungsspezifische Zertifikate, vertrauenswürdige Zertifizierungsstellen sowie für private Schlüssel und persönliche Zertifikate.
  • -Unerreichbarkeit für Anwendungen von Dritten.

Wenn dann die mit einem solchen SDK entwickelte App auch noch mit dem jeweiligen Mobilgerät verknüpft wird und sich auf einem Sicherheitsserver des Shop-Betreibers registriert, seien viele Attacken wie Identitätsdiebstahl und Transaktionsbetrug erheblich erschwert. Auf diese Weise stelle der Shop-Betreiber eine sichere Verbindung zum Endgerät des Kunden her und könne sicher sein, dass die verschlüsselten Daten, die von der App kommen auch authentisch sind. Ein solcher „Stacheldrahtzaun“ um ein App, sichere sie und die über sie kommunizierten Daten auch in unsicheren Umgebungen ab.

 Noch mehr Sicherheit durch Eco-Systeme

„Die sichere Identität ist nicht alles, aber ohne sie lässt sich kein sicherer E-Commerce betreiben“, resümiert Koyun und zeigt gleich auf, wie er sich das Erreichen von noch mehr Sicherheit und Benutzerfreundlichkeit in Zukunft vorstellt. Da Transaktionen und Kommunikation nicht zuletzt aufgrund der digitalen Transformation vieler Branchen und Unternehmen in den kommenden Jahren extrem stark zunehmen werden, sieht Kobil für Online-Shop-Betreiber und ihre Kunden einen gangbaren Weg in umfassenden Identitäts-Eco-Systemen, die sich über möglichst viele Handelsplattformen erstrecken können. Dann müssten Kunden ihre Identität viel weniger häufig anlegen, Onlineshops könnten Identitätsmanagement und Transaktionsabsicherung als Service aus der Cloud beziehen und sie nahtlos in ihre Systeme einbinden.

Der große Vorteil: Weniger Abbrüche bei Online Einkäufen. Schnellere Zahlungsabwicklung. Höchster Schutz sowohl für Händler als auch Nutzer und last, but not least weniger Gebühren, die an Kreditkartenherausgeber gezahlt werden müssen.

Kombiniert man nun noch diese Technologie mit einem Loyality Programm, so kann innerhalb eines Eco-System der Nutzer mit nur einer Identität, gleich mehrmals profitieren und die Händler erreichen Kunden, die Sie bis dato aufgrund Ihrer Reichweite nicht erreichen konnten.

Autor: Christoph Witte ist Gründer und Leiter ist von Wittcomm,  einer inhabergeführten  PR-Agentur mit Sitz in München.

RSS Feed

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags