Nicht nur der Onlinehandel hat durch Covid-19 in den vergangenen Monaten Auftrieb erhalten. Es ist kein Geheimnis, dass Angriffe auf E-Commerce-Angebote mindestens im gleichen Maße zugenommen haben. Die nicht unerheblichen Risiken können aus dem vermeintlichen Heilsbringer Onlinehandel schnell einen Fluch werden lassen. Dennoch ignorieren Dienstleister wie Betreiber sie nicht selten. Wie Händler ihr Risiko für einen Sicherheitsvorfall in nur 5 Schritten nachhaltig reduzieren, zeigen Steven Bailey und Steffen Ritter vom Technologiedienstleister AOE.
Dass Angriffe auf E-Commerce-Angebote mindestens im gleichen Maße zugenommen haben wie der Onlinehandel, ist kein Geheimnis. Experten gehen darüber hinaus von schwindelerregenden Dunkelziffern aus.
Sicherer E-Commerce ist mehr als nur ein Thema technischer Software- und Hosting-Infrastruktur. Auch in betriebswirtschaftlicher Hinsicht gibt es Einiges zu beachten. Die Risiken, die aus dem vermeintlichen Heilsbringer E-Commerce schnell einen Fluch werden lassen, sind nicht unerheblich. Dennoch: Dienstleister wie Betreiber verharmlosen oder ignorieren diese nicht selten.

Händler können ihr Risiko nachhaltig im Blick behalten, wenn sie folgende fünf Schritte beachten:
1. Überblick über Risiken, Gefahren und Status quo verschaffen
Darunter fallen bspw. die Fragen, wie ihr Shop oder Webportal persönliche Daten speichert, wo technische Schwachstellen existieren (könnten), wo mögliche Ziele eines Angriffs liegen und worin der Mehrwert eines Angriffs bestünde.Desweiteren sollten sich Händler informieren, welche (rechtlichen) Pflichten sie als Betreiber überhaupt haben. Die Dokumentation der technischen Komponenten unter Sicherheitsapekten sowie eine Schulung der beteiligten Mitarbeiter können oft bereits einen großen Teil der Risiken kontrollierbar machen.
Viele Angriffsvektoren werden in diesem Zuge häufig sogar ohne identifizierbaren Handlungsbedarf erfasst. Diese dennoch zu dokumentieren, ist dabei keinesfalls Zeitverschwendung, sondern führt allen Beteiligten vor Augen, was für den zukünftigen Betrieb, aber auch eine mögliche Weiterentwicklung hilfreich sein könnte.
Diese Art von beiläufiger Awareness-Schulung hilft auch dabei, die bei redaktionellen Arbeiten typischen Fehler zu vermeiden.

- Werden regelmäßige Updates durchgeführt? Wer führt diese in welchen Intervallen durch? Bestehen Wartungsverträge und Service-Level-Agreements (SLAs)?
- Wie ist die Lösung gehostet? Welche SLAs liegen dort vor und welche Vereinbarungen existieren hier für Sicherheitsupdates, Back-ups oder Ähnliches?
- Teilt sich die Plattform einen Server mit anderen Diensten?
- Ist das Portal mit automatisierten Schnittstellen an andere Dienste angebunden (unabhängig, ob eingehend oder ausgehend) und wurde diese Verbindung unter IT-Sicherheitsaspekten geplant und umgesetzt? Sind diese Datenquellen vertrauenswürdig oder könnten sie manipuliert werden?
- Habe ich das Gefühl oder Wissen, dass meine Mitarbeiter/Kollegen wie auch beauftragte Dienstleister sich der Sicherheitsrisiken, Abwehrmaßnahmen und Folgen bewusst sind und sich regelmäßig weiterbilden?
- Ist aus einem Provisorium eine Dauerlösung geworden oder eine längst nicht mehr gewartete Lösung nicht ersetzt worden? Sind die eingesetzten Softwarestände noch im Lebenszyklus der Hersteller in Betreuung?
- Mussten Änderungen, Erweiterungen oder gar der ganze Launch kurzfristig umgesetzt werden, um zum Beispiel eine Werbemaßnahme zu unterstützen, einem unerwarteten Ansturm gerecht zu werden oder um auf externe Faktoren zu reagieren?

Idealerweise lassen Händler diese Selbstanalyse von einem unabhängigen Dritten begleiten. Das verhindert, dass man sich selbst etwas vormacht oder Beteiligte über unangenehme Tatsachen hinwegtäuschen.
2. Juristische Beratung
Es empfiehlt sich grundsätzlich bei jedem Webangebot eine juristische Beratung in Anspruch zu nehmen, die branchen-/dienstleistungs-/produktspezifisch aufzeigt, welche Gesetze, Verordnungen und berufsrechtlichen Regularien im konkreten Tätigkeitsbereich anzuwenden sind und welche Anforderungen sich daraus für ein Onlineangebot ergeben. Es ist wichtig zu verstehen, dass immer der Betreiber selbst dafür verantwortlich ist, dass sein Onlineangebot rechtskonform umgesetzt wird. Dies muss auch sich verändernde Inhalte oder Rechtslagen berücksichtigen.Der Technologiedienstleister ist (meist) allein für die Umsetzung zuständig und kann weder eine juristische Beratung durchführen noch für die Rechtssicherheit eines Onlineangebots haften. Erst recht nicht für dessen Inhalte.
3. Wahl der passenden Dienstleister
Zu Beginn eines E-Commerce-Projektes oder Relaunchs bietet es sich an, Cybersecurity-Aspekte gleich in der Ausschreibung zu berücksichtigen. Spätestens wenn es zum ersten Angriff kommt oder sich die gesetzlichen Rahmenbedingungen entsprechemd ändern, werden sich die dadurch steigenden Investitionsausgaben amortisieren.Nicht immer liegt das Themenfeld der Cybersecurity jedoch in der Expertise der IT-Dienstleister. Viele Aspekte betreffen spezialisiertes Fachwissen, welches in weiten Teilen nichts mit der eigentlichen technologischen Einrichtung oder dem Design einer E-Commerce-Plattform zu tun hat.

In diesen Fällen kann es ratsam sein, Sicherheitsexpertise in Form von kleineren Einzelberatungen durch Spezialisten zu dem Projekt hinzuzuziehen, um das Budget zu schonen.
4. Planen für den Ernstfall
Absolute Sicherheit gibt es nicht. Aber ein Unternehmen kann sich auf einen Hackerangriff vorbereiten, um im Ernstfall bestmöglich und vor allem kurzfristig und koordiniert reagieren zu können.Ein solcher Plan wird am besten von Juristen, IT-Security-Spezialisten, dem technologischen IT-Dienstleister und den Betriebsverantwortlichen in der Organisation gemeinsam mit der Geschäftsführung entwickelt. Er sollte im Minimum Ansprechpartner und Verantwortlichkeiten definieren und gleichzeitig Konzepte zur Kommunikation, Deaktivierung von Diensten und Accounts sowie Kontaktadressen zu nötigen Stellen (zum Beispiel LKA, BKA, Datenschutzbehörden und Partner-Dienstleister) enthalten.
Meist sind diese Stellen offen und dankbar dafür, dass man sich mit diesem Plan bereits vor Eintreten eines Sicherheitsvorfalls an sie wendet, sich bekannt macht und sich zum Vorgehen austauscht.
Zwar gilt: Gut geplant ist halb gewonnen! Aber eben nur halb. Für die andere Hälfte bietet die deutsche Versicherungswirtschaft sogenannte Cybersecurity-Versicherungen an, mit denen Anbieter das verbleibende Risiko und somit ihre geschäftliche Existenz absichern können.
5. Den ersten Schritt gehen
Die Augen vor den Gefahren zu verschließen und zu hoffen, dass alles gutgeht, scheint, wenn man einer Forsa-Umfrage glaubt, en vogue zu sein. Wer allerdings online langfristig erfolgreich sein will, sollte von Anfang an Verantwortung übernehmen und seine Risiken realistisch abschätzen.Die drastische Zunahme von Cybercrime und die inzwischen einfache Verfügbarkeit von Angriffshilfsmitteln verstärken die Dringlichkeit des Handlungsbedarfs auf Seiten der Onlinehändler nur noch.
Gerade kleinere Betreiber verfallen hier gerne in eine Art Schockstarre in Demut vor dem Berg von Herausforderungen. Wichtig ist aber vor allem eins: einfach anfangen und in kleinen Schritten vorangehen. Am besten gleich, bevor es zu spät ist.