Cyberkriminelle: Wie sich Händler und Kunden vor diesen schützen können

„Crime is where the money is”, sagt ein Sprichwort. Selbst, wenn man vor „Crime“ ein „Cyber“ setzt, behält es seine Gültigkeit. In diesem Sinne dürfte es kaum verwundern, in welchem Maß Cyberkriminelle den E-Commerce in den Fokus genommen haben. Wo der Onlinehandel allein in Deutschland anno 2022 einen Umsatz von 97,4 Milliarden Euro erwirtschaften konnte (und dieses Jahr vermutlich die 100-Milliarden-Schallmauer durchbrechen dürfte), ist der Motivator für Cyberkriminelle extrem groß – so groß, dass einige Studien schon seit Jahren davor warnen, die Gefahr könnte das Geschäft nachhaltig negativ stigmatisieren; also Kunden und Umsätze kosten.

Nicht besser wird es, weil viele Händler und noch mehr Kunden nicht gerade ein Verhalten an den Tag legen, das Cyberkriminelle nur erschwert vorgehen können. Doch wie gehen diese Personen vor und was kann insbesondere der Handel tun, um nicht zuletzt das Fehlverhalten von Kunden abzumildern?

Cyberkriminelle und der digitale Handel: Zielsetzungen

Knapp über 200 Milliarden Euro Schaden pro Jahr durch Cyberkriminalität. Das vermeldet der Branchenverband Bitkom bezugnehmend auf alle deutschen Unternehmen – also eine mehr als doppelt so hohe Schadenssumme wie der Online-Handel insgesamt erwirtschaftet. Auf den E-Commerce entfielen dabei in der jüngsten Vergangenheit etwa 1,5 Milliarden Euro Schaden jährlich.

Besonders schwerwiegend: Ein Anbieter von speziellen Cyber-Versicherungen kam in einer Umfrage zu dem Ergebnis, wonach sich fast drei Viertel aller deutschen Händler nicht bedroht fühlen. Ein mehr als gefährlicher Trugschluss, wie die Monitoring-Berichte des BKA für die zurückliegenden Jahre zeigen. Doch worauf haben es die Kriminellen abgesehen? Hier lassen sich ganz explizit einige wenige Ziele identifizieren:

1. Kundendaten: Selbst, wenn diese keine verwendbaren Zahlungsinformationen beinhalten, so lassen sich diese hervorragend für Identitätsdiebstähle jeglicher Art verwerten. Hauptsächlich genutzt, um damit andere Formen von Betrug zu ermöglichen.
2. Zahlungsinformationen: Insbesondere ungesicherte Kreditkartendaten sind für Kriminelle ein wahrer „Jackpot“, da sie damit ungestört Käufe tätigen können. Nicht immer lässt sich der Diebstahl schnell aufdecken. Außerdem können Kreditkartenunternehmen die Rückzahlung mitunter verweigern.
3. Lösegeld: Wenn Cyberkriminelle ganze Onlineshops lahmlegen und bei Zuwiderhandlung mit Komplettlöschungen drohen, geben viele Händler rasch bei und zahlen das geforderte Lösegeld.
4. Versandlabels: Wie erst jüngst im Fall des „Plüsch-Tierheims“ zu sehen, attackieren Hacker die Zugänge zu Versanddienstleistern. Damit können sie auf Kosten der Händler Versandlabels ausdrucken. Im bezeichneten Fall beläuft sich der Schaden auf fast 27.000 Euro; der Händler, der 50 Prozent des Erlöses durch den Verkauf gespendeter Plüschtiere an echte Tierheime spendet, steht vor dem Ruin.
5. Produkte: Nicht zuletzt sind die Produkte, die jeder Onlinehändler anbietet, natürlich ebenfalls interessant für über das Internet agierende Täter. Selbst, wenn es sich dabei nicht um klassisches Hacking handelt.

Grundsätzlich agieren Cyberkriminelle ganzjährig. Allerdings sieht unter anderem das BKA eine besondere Fallhäufung gegen Online-Händler im jeweils vierten Quartal. Wobei anzunehmen ist, dass sie die Hektik des Vorweihnachtsgeschäfts zur Verschleierung nutzen wollen.

Cyberkriminelle und ihre typischen Maschen

Die Zielsetzungen, die Cyberkriminelle verfolgen, sind klar. Selbst wenn sie mitunter noch andere Ziele verfolgen, wie etwa das Ausspähen von Betriebsgeheimnissen. Was jedoch die Maschen bei der Ausführung anbelangt, so sind die Täter im Höchstmaß flexibel.

Immer häufiger sehen Kriminalitätsbekämpfer dabei sogar eine regelrechte Buchung der Tat als Dienstleistung – Cybercrime as a Service. Das ist besonders gefährlich, da die Täter keine eigenen Ziele verfolgen. Zudem sind die Hintermänner oftmals noch viel schwieriger zu ermitteln. Da Cybercrime sich in einem stetigen Wandel befindet, und außerdem je nach Händler und Ziel unterschiedlichste Maschen angewendet werden, seien auf in der folgenden Aufzählung nur die häufigsten Vorgehensweisen erläutert.

• Klassisches Phishing: Hierbei wird eine Fake-Website erstellt, die dem echten Onlineshop teilweise verblüffend ähnelt. Da sich die echte URL jedoch nur deutlich schwieriger kopieren lässt, werden Kunden meist über Links in Köder-Mails und ähnlichen Benachrichtigungen auf die Fake-Seite gelockt. Dort sollen sie dann typischerweise Zahlungsdaten eingeben. Insbesondere die Verfügbarkeit von KI hat es in jüngster Vergangenheit massiv erleichtert, derartige Fakes zu erstellen. Zuvor waren diese oft an schlechten Übersetzungen und ähnlichen Fehlern erkennbar.
• Spearphishing: Funktioniert ähnlich, ist aber durch sehr personalisiertes Ansprechen der Opfer noch perfider – und effektiver.
• DDoS-Angriffe: Bei einer Distributed-Denial-of-Service-Attacke wird die Unternehmens-Website mit so vielen Anfragen überflutet, bis sie zusammenbricht. Häufig sind das Taten im Auftrag von Konkurrenten, die insbesondere in kurzen, äußerst wichtigen Phasen verheerend wirken können – etwa am Black Friday oder am Prime Day.
• Ransomware-Attacken: Die Kriminellen schleusen eine Schadsoftware in die Systeme des Händlers ein. Auf Knopfdruck lassen sich diese anschließend blockieren, bis eine Lösegeldforderung erfüllt wurde. Typischerweise sind die Tools zudem befähigt, bei Zuwiderhandlung oder Fristüberschreitung die Daten zu löschen (und sie vorher zwecks Weiternutzung zu den Kriminellen zu transferieren).
• Datenbank-Diebstähle: Häufig unter Ausnutzung von Sicherheitslücken in den Systemen des Händlers entwenden die Hacker die dort gelagerten Daten. Primär sind das Kundendaten (welche etwa durch Weiterverkauf im Darknet monetarisiert werden) sowie direkt nutzbare Zahlungsinformationen. Bei Online-Händlern, die bestimmte Produkte aus dem Adult-Bereich anbieten, können diese Datendiebstähle sogar nur ein Zwischenschritt sein, um Kunden zu erpressen.
• Man-in-the-Middle-Angriffe: Hierbei nutzen die Täter unsichere Datenverbindungen aus – etwa öffentliche WiFi-Netzwerke. Sie klinken sich in diesem Fall in die Verbindung zwischen Kunde und Händler ein und kopieren die dabei übertragenen Daten. Damit werden weitere Taten begangen, die von Spearphishing bis Zahlungsbetrug reichen können.
• Retourenbetrug: Die Kriminellen lassen sich eine Ware schicken; nicht immer, aber häufig ins Ausland. Häufig erfolgt der Versand an Packstationen oder ähnliche Stellen. Die dafür nötigen Konten werden meist mit gänzlich gefälschten Daten eröffnet oder mit echten Kundendaten aus Identitätsdiebstählen; ähnlich sieht es mit Zahlungsinformationen aus. Wenn der Kunde die Ware in Empfang genommen hat, melden die Betrüger eine Rücksendung an. Beim Händler trifft jedoch nur ein leerer Karton ein.

Ebenfalls hier zu nennen ist noch das Credential Stuffing. Dabei handelt es sich um eine Untervariante der Nutzung von gestohlenen Kundendaten. Kriminelle machen sich dabei eine Tatsache zunutze: Viele Menschen verwenden im Netz an mehreren Stellen dieselbe E-Mail-Adresse und häufig sogar dasselbe Passwort. Typischerweise mit automatisierten Werkzeugen werden diese anderweitig gestohlenen Informationen dann bei unterschiedlichsten Online-Diensten ausprobiert – und im Erfolgsfall für verschiedene weitere Betrügereien genutzt.

Was Händler tun können und unbedingt sollten

Eines steht fest: Zwar mögen viele Händler das Thema Cybercrime nach wie vor zu blauäugig betrachten. Die schon zahlenmäßig größten Schwachstellen finden sich jedoch aufseiten der Kunden. Nicht zuletzt deshalb, weil diese ein maximal komfortables Einkaufserlebnis und andere Annehmlichkeiten einfordern, was naturgemäß jedoch häufig mit den Notwendigkeiten einer wirksamen Cybersecurity kollidiert. Dementsprechend sollten Onlinehändler sich auf das fokussieren, was wirklich unter ihrer Kontrolle liegt.  Hierzu zählen folgende Bereiche:

1. Das Bedrohungspotenzial anerkennen: Jeder Online-Händler ist ein Ziel, egal wie klein er sein mag oder wie sehr sein Angebot nur eine Nische bedient. Cybersicherheit geht buchstäblich jeden etwas an.
2. Unbedingt den Shop für HTTPS konfigurieren: Nur damit lassen sich Man-in-the-Middle-Angriffe wirklich wirksam unterbinden, weil die übertragenen Daten stark verschlüsselt werden. Doch Vorsicht, bei nicht korrekter Implementierung von HTTPS drohen neue Sicherheitslücken.
3. Die eigenen Systeme unbedingt fachmännisch überprüfen und absichern lassen: Gerade kleine Händler, die kein eigenes IT-(Sicherheits-)Personal beschäftigen, sollten diese Arbeit unbedingt outsourcen. Bitte dabei stets bedenken, wie geschäftsschädigend ein Datendiebstahl wirken kann.
4. Hochflexibel skalierbare Systeme nutzen, insbesondere (jedoch nicht ausschließlich) rund um das Hosting der Website: Eine zeitgenössische Lösung dafür wären HCI-Cluster. Durch ihre Kombination aus lokalen und Cloud-Diensten sind sie äußerst skalierbar, wodurch DDoS-Angriffe wenigstens nicht ihre volle Wirksamkeit entfalten können – oder sogar ins Leere laufen.
5. Kunden immer wieder auf richtiges Verhalten hinweisen: Etwa Einblendungen beim Erstellen eines Kundenkontos, die darum bitten, unbedingt ein einzigartiges Passwort zu nutzen, das der Kunde nicht auch auf anderen Plattformen verwendet.
6. Stets für das Kunden-Login besonders sichere Methoden wie Zwei-Faktor-Authentifizierungen anbieten: Idealerweise sogar standardmäßig und nur durch Opt-Out abwählbar.
7. Alle wichtigen Daten (insbesondere Kunden- und deren Zahlungsdaten) nur hochverschlüsselt speichern und unbedingt an sicherer Stelle Duplikate davon besitzen.

Der richtige Umgang mit Alt-Kundendaten

Ein häufig vergessenes und zudem dem Denken vieler Onlinehändler zuwiderlaufendes Thema sind überdies Alt-Kundendaten. Jeder E-Commerce-Treibende dürfte in seinem Bestand verschiedene Kundenkonten haben, die vielleicht viele Jahre alt sind, aber nur einmal genutzt wurden.

Insbesondere dann, wenn mit diesen Daten Zahlungsinformationen oder Passwörter verknüpft sind, sollten Händler hierbei regelmäßig die Löschfunktion betätigen. Natürlich mag das schmerzen. Allerdings ist das Risiko derartiger „Altbestände“ leider sehr hoch. Denn je länger solche Datensätze digital bestehen, desto größer ist das Risiko, dass sie Kriminelle spätestens bei einem Fall von Credential Stuffing nutzen können.

Übrigens: Sollte es erwiesenermaßen mit dem eigenen guten Firmennamen zu Phishing-Versuchen gekommen sein, dann ist es absolut angebracht, Kunden darauf auf der Startseite des Shops hinzuweisen. Und ihnen möglichst detailliert zu erläutern, woran sie diese Versuche erkennen können.