Treueprogramme von Einzelhändlern – ein beliebtes Ziel von Hackern

Der Kampf von Unternehmen und Marken um die Aufmerksamkeit und Kundentreue ist groß. Wer es geschafft hat, mittels einem Treueprogramm eine große Anzahl von Kunden an sich zu binden, verfügt über wertvolle Daten. Denn solche Programme binden die Kunden an das Unternehmen, ermöglichen eine erfolgreiche direkte Kommunikation, reduzieren Marketingkosten und erhöhen den Umsatz. Oft sind Treueprogramme mit speziellen Angeboten für Kunden der wichtigste Grund, eine Marke im Internet aufzusuchen. Aufgrund der Covid-19-Krise und den damit verbundenen Umsatzrückgängen haben die Einzelhändler verstärkt in Treueprogramme investiert, sie erweitert oder neu geschaffen, um die Beziehung zu ihren Kunden zu verbessern.

Cyberangriffe auf Treueprogramme gehen in die Milliarden

Eigentlich sollte es selbstverständlich sein, dass Treueprogramme intensiv geschützt werden, denn gehackte Daten führen oft auch zum Vertrauensverlust und zur Abwanderung der Kunden. Doch der Einzelhandel und damit auch seine Treueprogramme sind weiterhin ein bevorzugtes Ziel von Hackern. Laut dem Report „State of the Internet“ – Betrug im Einzelhandel und Gastgewerbe“ wurden zwischen Juli 2018 und Juni 2020 mehr als 100 Milliarden Credential-Stuffing-Angriffe registriert, davon mehr als 63,8 Milliarden im Einzelhandel, Reise- und Gastgewerbe. Mehr als 90 Prozent der Angriffe im Handel zielten auf die Einzelhandelsbranche ab.

Dahinter verbergen sich Angriffe mit gestohlenen Login-Daten, mit denen versucht wird, sich in andere Konten einzuloggen, sie zu übernehmen und ihre Daten abzuschöpfen. Meistens werden diese Attacken von einem Botnet ausgeführt. Bots werden beispielsweise programmiert, um Konten ausfindig zu machen, die wegen schwacher Passwörter für eine Account-Übernahme anfällig sind. Während des Lockdowns im 1. Quartal 2020 brachten Kriminelle Dutzende von Passwort-Kombinationslisten und alte Anmeldelisten für die Identifikation neuer Konten in Umlauf.

Passwörter sind die größte Schwachstelle

Credential-Stuffing-Attacken adressieren ein großes Kernproblem: Passwörter. Recycelte Passwörter, gemeinsam genutzte Passwörter und leicht zu erratende Passwörter können zu einem erfolgreichen Angriff führen. Im Laufe der Jahre haben sich die Kriminellen an diverse technische Veränderungen angepasst und begonnen, direkt auf APIs zu zielen, um diese Angriffe durchzuführen.

API, also Application Programming Interface, bezeichnet eine Schnittstelle eines Softwaresystems, die anderen Programmen zur Anbindung zur Verfügung gestellt wird. Die bekanntesten APIs fürs Web dienen dazu, zum Beispiel Wikipedia, Facebook, Twitter, DHL, PayPal oder Google Maps in einen Onlineshop einzubinden. Haben die Hacker die APIs überwunden, können sie meist direkt auf die Server zugreifen und Datendiebstahl begehen.

Treueprogramme: Cyber-Angriffe auf Anmeldeportale

Cyberkriminelle attackieren auch weiterhin Anmeldeportale: Um ihre Erfolgschancen zu verbessern, nutzen sie Passwortsammlungen, die durch das Testen von Passwortvariationen systematisch ausgebaut werden. Denn leider neigen Menschen dazu, Worte, an die sie sich gut erinnern können, mit einfachen Zusätzen zu variieren. Wenn zum Beispiel ein älterer Datendiebstahl das Passwort Zirkus2019 enthält, liegt es nahe, auch Zirkus2020 oder Zirkus2018 oder andere Ableitungen auszuprobieren.

Aus diesem Grund ist die Verwendung von Wörtern oder Mustern aus dem Wörterbuch generell eine schlechte Idee. Viel besser sind lange, zufällig zusammengesetzte, starke Passwörter, die ein Passwort-Manager für jede neue Website erzeugt. Werden solche Passwörter zusätzlich mit einer Zwei-Faktor-Authentifizierung kombiniert, sind Credential-Stuffing-Angriffe meist zwecklos.

Dringender Bedarf an Schutzmaßnahmen

Security-Unternehmen haben im Laufe der Jahre viele Sicherheitslösungen und Abwehrstrategien entwickelt und verbessert. Aber Cyberkriminelle sind kreativ und entwickeln gleichzeitig immer neue Angriffsformen. Auch bedeutet das Vorhandensein von Sicherheitslösungen nicht unbedingt, dass diese auch eingesetzt werden. Selbst große Unternehmen verlangen oft nur eine Handynummer oder ein numerisches Passwort zur Identifizierung ihrer Kunden für das jeweilige Treueprogramm. Und die verwendeten Server sind vielfach unzureichend abgesichert. Darum besteht auf Unternehmensseite weiterhin ein dringender Bedarf an besseren Identitätskontrollen und Gegenmaßnahmen.

Ganz generell sollten Kundendaten nicht auf den Servern des Einzelhandels gespeichert werden. Hier sind Cloud-Lösungen, verbunden mit entsprechenden Sicherheitsanwendungen, die weitaus bessere Lösung, um beispielsweise zu verhindern, dass Websites Distributed Denial-of-Service (DDoS)-Angriffen ausgesetzt sind. Diese fürchtet jeder Einzelhändler, denn wenn sein Online-Shop unter dem Ansturm von Millionen Datenpaketen zusammenbricht, könnte das zu hohen Umsatzeinbußen führen. Zwischen Juli 2019 und Juni 2020 sah sich der Handel täglich durchschnittlich 125 DDoS-Angriffen ausgesetzt, 90 Prozent davon im Einzelhandel, der Rest im Reise- und Gastgewerbesektor.

Investitionen in Security-Maßnahmen

Die Konflikte zwischen Kriminellen und dem Handelssektor werden nicht einfach abflauen. Es obliegt den Unternehmen selbst, daran zu arbeiten, immer einen Schritt voraus zu sein. Sicherheit kann nicht als einmalige Investition angesehen werden. Es handelt sich dabei vielmehr um einen kontinuierlichen Prozess, um den Geschäftsbetrieb aufrechtzuerhalten oder bei einem Vorfall so schnell wie möglich wiederherzustellen. Darum sind Investitionen in Security-Maßnahmen ihr Geld wert, vor allem wenn dadurch unersetzliche Kundendaten und Daten der Treueprogramme abgesichert werden.

Über den Autor: Elmar Witte, Security Specialist bei Akamai. Das Unternehmen unterstützt bei der Bereitstellung und dem Schutz digitaler Erlebnisse. Die „Akamai Intelligent Edge Platform“ umgibt alles – vom Unternehmen bis zur Cloud –, damit Kunden ihr Geschäft schnell, smart und sicher umsetzen können. Das Portfolio umfasst Lösungen für Website- und Anwendungsperformance, Cloud- und Unternehmenssicherheit sowie Videobereitstellung. (sg)

Lesen Sie auch: Cyberattacken: Risiken beim Onlineshopping nehmen in der Vorweihnachtszeit zu