Nicht nur der Onlinehandel hat durch Covid-19 in den vergangenen Monaten Auftrieb erhalten. Es ist kein Geheimnis, dass Angriffe auf E-Commerce-Angebote mindestens im gleichen Maße zugenommen haben. Die nicht unerheblichen Risiken können aus dem vermeintlichen Heilsbringer Onlinehandel schnell einen Fluch werden lassen. Dennoch ignorieren Dienstleister wie Betreiber sie nicht selten. Wie Händler ihr Risiko für einen Sicherheitsvorfall in nur 5 Schritten nachhaltig reduzieren, zeigen Steven Bailey und Steffen Ritter vom Technologiedienstleister AOE.

Besonders Einzelhändler, kleinere Hersteller von Waren sowie Gastronomen haben im letzten Jahr erstmals den Vertriebsweg E-Commerce für sich entdeckt.

Dass Angriffe auf E-Commerce-Angebote mindestens im gleichen Maße zugenommen haben wie der Onlinehandel, ist kein Geheimnis. Experten gehen darüber hinaus von schwindelerregenden Dunkelziffern aus.

Sicherer E-Commerce ist mehr als nur ein Thema technischer Software- und Hosting-Infrastruktur. Auch in betriebswirtschaftlicher Hinsicht gibt es Einiges zu beachten. Die Risiken, die aus dem vermeintlichen Heilsbringer E-Commerce schnell einen Fluch werden lassen, sind nicht unerheblich. Dennoch: Dienstleister wie Betreiber verharmlosen oder ignorieren diese nicht selten.
Der Onlinehandel boomt - und zieht immer mehr Kriminelle an, die Schwachstellen in den E-Commerce-Systemen ausnutzen.
© IMAGO / photothek
Der Onlinehandel boomt - und zieht immer mehr Kriminelle an, die Schwachstellen in den E-Commerce-Systemen ausnutzen.
Unabhängig davon, ob wirtschaftlich oder technisch: Keinem Betreiber von E-Commerce-Angeboten sollte ein nachhaltiges Risiko-Management fehlen, um im Fall eines Security-Incidents nicht das Nachsehen zu haben.

Händler können ihr Risiko nachhaltig im Blick behalten, wenn sie folgende fünf Schritte beachten:

1. Überblick über Risiken, Gefahren und Status quo verschaffen

Darunter fallen bspw. die Fragen, wie ihr Shop oder Webportal persönliche Daten speichert, wo technische Schwachstellen existieren (könnten), wo mögliche Ziele eines Angriffs liegen und worin der Mehrwert eines Angriffs bestünde.

Desweiteren sollten sich Händler informieren, welche (rechtlichen) Pflichten sie als Betreiber überhaupt haben.
Über die Autoren
Steven Bailey verfügt über langjährige Expertise in der digitalen Transformation internationaler Unternehmen. Als Chief Strategy Officer verantwortet er bei AOE das Business Development und die Kundenberatung im Bereich Digitalisierungs- und Omnichannel-E-Commerce-Strategien. Die von ihm betreuten Kunden umfassen die gesamte Branchen-Bandbreite - von Groß- und Einzelhandel über Luftfahrt, Automotive und Industrie bis zu Life Science und Telco.
Steven Bailey
© AOE

Steffen Ritter arbeitet als E-Commerce-Consultant und Software-Architekt bei AOE. Er berät Kunden in den Bereichen Integrationen, System-Architekturen, Identitätsmanagement und IT-Security im Web.
Steffen Ritter, AOE
© AOE
Die Dokumentation der technischen Komponenten unter Sicherheitsapekten sowie eine Schulung der beteiligten Mitarbeiter können oft bereits einen großen Teil der Risiken kontrollierbar machen.

Viele Angriffsvektoren werden in diesem Zuge häufig sogar ohne identifizierbaren Handlungsbedarf erfasst. Diese dennoch zu dokumentieren, ist dabei keinesfalls Zeitverschwendung, sondern führt allen Beteiligten vor Augen, was für den zukünftigen Betrieb, aber auch eine mögliche Weiterentwicklung hilfreich sein könnte.

Diese Art von beiläufiger Awareness-Schulung hilft auch dabei, die bei redaktionellen Arbeiten typischen Fehler zu vermeiden.
Eine detaillierte Übersicht der technischen und organisatorischen Details eines Projekts hilft Schwachstellen, Risiken und Handlungsbedarf zu erkennen und rechtzeitig Maßnahmen einzuleiten.
© IMAGO / Panthermedia
Eine detaillierte Übersicht der technischen und organisatorischen Details eines Projekts hilft Schwachstellen, Risiken und Handlungsbedarf zu erkennen und rechtzeitig Maßnahmen einzuleiten.
Möchte ein Betreiber sich einen Überblick über seine eigene Plattformsicherheit verschaffen, sollten auch die folgenden Aspekte betrachtet werden:

  • Werden regelmäßige Updates durchgeführt? Wer führt diese in welchen Intervallen durch? Bestehen Wartungsverträge und Service-Level-Agreements (SLAs)?
  • Wie ist die Lösung gehostet? Welche SLAs liegen dort vor und welche Vereinbarungen existieren hier für Sicherheitsupdates, Back-ups oder Ähnliches?
  • Teilt sich die Plattform einen Server mit anderen Diensten?
  • Ist das Portal mit automatisierten Schnittstellen an andere Dienste angebunden (unabhängig, ob eingehend oder ausgehend) und wurde diese Verbindung unter IT-Sicherheitsaspekten geplant und umgesetzt? Sind diese Datenquellen vertrauenswürdig oder könnten sie manipuliert werden?
  • Habe ich das Gefühl oder Wissen, dass meine Mitarbeiter/Kollegen wie auch beauftragte Dienstleister sich der Sicherheitsrisiken, Abwehrmaßnahmen und Folgen bewusst sind und sich regelmäßig weiterbilden?
  • Ist aus einem Provisorium eine Dauerlösung geworden oder eine längst nicht mehr gewartete Lösung nicht ersetzt worden? Sind die eingesetzten Softwarestände noch im Lebenszyklus der Hersteller in Betreuung?
  • Mussten Änderungen, Erweiterungen oder gar der ganze Launch kurzfristig umgesetzt werden, um zum Beispiel eine Werbemaßnahme zu unterstützen, einem unerwarteten Ansturm gerecht zu werden oder um auf externe Faktoren zu reagieren?


Cyberkriminelle nutzen verschiedenste Techniken, um die Computer und Daten ihrer Opfer anzugreifen. Händler sollten deshalb Projekte von E-Commerce- bzw. Cybercrime-Experten technologisch analysieren und einschätzen lassen.
© IMAGO / Westend61
Cyberkriminelle nutzen verschiedenste Techniken, um die Computer und Daten ihrer Opfer anzugreifen. Händler sollten deshalb Projekte von E-Commerce- bzw. Cybercrime-Experten technologisch analysieren und einschätzen lassen.
Sich diesen Fragen zu stellen und die Antworten zu dokumentieren, wird zwangsläufig zu weiteren Fragen führen, sodass man Schritt für Schritt potenzielle Problembereiche erkennen wird.

Idealerweise lassen Händler diese Selbstanalyse von einem unabhängigen Dritten begleiten. Das verhindert, dass man sich selbst etwas vormacht oder Beteiligte über unangenehme Tatsachen hinwegtäuschen.

2. Juristische Beratung

Es empfiehlt sich grundsätzlich bei jedem Webangebot eine juristische Beratung in Anspruch zu nehmen, die branchen-/dienstleistungs-/produktspezifisch aufzeigt, welche Gesetze, Verordnungen und berufsrechtlichen Regularien im konkreten Tätigkeitsbereich anzuwenden sind und welche Anforderungen sich daraus für ein Onlineangebot ergeben.

Wer sich im Internet glaubhaft als jemand anderes ausgibt, kann auf dessen Kosten andere diffamieren, Verträge abschließen - und hemmungslos konsumieren.
© Zephyr_p / shutterstock
Sicherheit

Identitätsklau: So schützen sich Händler gegen Betrüger im Netz

Es ist wichtig zu verstehen, dass immer der Betreiber selbst dafür verantwortlich ist, dass sein Onlineangebot rechtskonform umgesetzt wird. Dies muss auch sich verändernde Inhalte oder Rechtslagen berücksichtigen.

Der Technologiedienstleister ist (meist) allein für die Umsetzung zuständig und kann weder eine juristische Beratung durchführen noch für die Rechtssicherheit eines Onlineangebots haften. Erst recht nicht für dessen Inhalte.

3. Wahl der passenden Dienstleister

Zu Beginn eines E-Commerce-Projektes oder Relaunchs bietet es sich an, Cybersecurity-Aspekte gleich in der Ausschreibung zu berücksichtigen. Spätestens wenn es zum ersten Angriff kommt oder sich die gesetzlichen Rahmenbedingungen entsprechemd ändern, werden sich die dadurch steigenden Investitionsausgaben amortisieren.

Nicht immer liegt das Themenfeld der Cybersecurity jedoch in der Expertise der IT-Dienstleister. Viele Aspekte betreffen spezialisiertes Fachwissen, welches in weiten Teilen nichts mit der eigentlichen technologischen Einrichtung oder dem Design einer E-Commerce-Plattform zu tun hat.
Händler müssen u.a. durch Schulungen sicherstellen, dass ihre Mitarbeiter sich Sicherheitsrisiken und Abwehrmaßnahmen bewusst sind.
© IMAGO / photothek
Händler müssen u.a. durch Schulungen sicherstellen, dass ihre Mitarbeiter sich Sicherheitsrisiken und Abwehrmaßnahmen bewusst sind.
In der Realität sind aber zum einen natürlich die vielen Bestandsprojekte zu betrachten, zum anderen dürften bei einem großen Teil der KMU-Projekte Umfang und -budget nicht zur Kundenzielgruppe entsprechend qualifiziert aufgestellter Cybersecurity-Anbieter passen.

In diesen Fällen kann es ratsam sein, Sicherheitsexpertise in Form von kleineren Einzelberatungen durch Spezialisten zu dem Projekt hinzuzuziehen, um das Budget zu schonen.

4. Planen für den Ernstfall

Absolute Sicherheit gibt es nicht. Aber ein Unternehmen kann sich auf einen Hackerangriff vorbereiten, um im Ernstfall bestmöglich und vor allem kurzfristig und koordiniert reagieren zu können.

Ein solcher Plan wird am besten von Juristen, IT-Security-Spezialisten, dem technologischen IT-Dienstleister und den Betriebsverantwortlichen in der Organisation gemeinsam mit der Geschäftsführung entwickelt.
Etailment-Expertenrat
In unserem Gastautoren-Club "Etailment-Expertenrat" schreiben von der Redaktion ausgewählte Autoren im Wechsel über den digitalen Handel von heute und morgen.
Die kompetenten Kolumnisten aus Handel, Industrie, Wissenschaft und Agenturwelt liefern Denkanstöße, Strategien, Trends und Tipps zu Themen wie Marketing, Sales, Digitalisierung, Management, Logistik und anderen Problemfeldern des Handels.
Sie geben damit branchenübergreifende Impulse für die unternehmerische Zukunft.
Alle Kolumnen finden Sie jederzeit gesammelt unter "Etailment Expertenrat".
Er sollte im Minimum Ansprechpartner und Verantwortlichkeiten definieren und gleichzeitig Konzepte zur Kommunikation, Deaktivierung von Diensten und Accounts sowie Kontaktadressen zu nötigen Stellen (zum Beispiel LKA, BKA, Datenschutzbehörden und Partner-Dienstleister) enthalten.

Meist sind diese Stellen offen und dankbar dafür, dass man sich mit diesem Plan bereits vor Eintreten eines Sicherheitsvorfalls an sie wendet, sich bekannt macht und sich zum Vorgehen austauscht.

Zwar gilt: Gut geplant ist halb gewonnen! Aber eben nur halb. Für die andere Hälfte bietet die deutsche Versicherungswirtschaft sogenannte Cybersecurity-Versicherungen an, mit denen Anbieter das verbleibende Risiko und somit ihre geschäftliche Existenz absichern können.

5. Den ersten Schritt gehen

Die Augen vor den Gefahren zu verschließen und zu hoffen, dass alles gutgeht, scheint, wenn man einer Forsa-Umfrage glaubt, en vogue zu sein. Wer allerdings online langfristig erfolgreich sein will, sollte von Anfang an Verantwortung übernehmen und seine Risiken realistisch abschätzen.

Die drastische Zunahme von Cybercrime und die inzwischen einfache Verfügbarkeit von Angriffshilfsmitteln verstärken die Dringlichkeit des Handlungsbedarfs auf Seiten der Onlinehändler nur noch.

Gerade kleinere Betreiber verfallen hier gerne in eine Art Schockstarre in Demut vor dem Berg von Herausforderungen. Wichtig ist aber vor allem eins: einfach anfangen und in kleinen Schritten vorangehen. Am besten gleich, bevor es zu spät ist.

MEHR ZUM THEMA:

Nicht jeder Bot verfolgt gute Absichten: Immer öfter haben es Händler mit Schadprogrammen zu tun, mit denen Reseller die Bestände von Onlineshops aufkaufen.
© imago images / Westend61
IT-Sicherheit

Mensch gegen Maschine: So schützen Händler sich vor bösen Bots


Datendiebstahl: Besser vermeiden.
© Robert Kneschke/fotolia.com
Cyber Security

Datensicherheit: Das sind die häufigsten Fehler im Handel


Ob Identitätsdiebstahl bei Kunden oder bösartige Bots, die Händlerbestände leerkaufen - der Onlinehandel ist immer häufiger Zielscheibe von Cyberkriminellen.
© IMAGO / Michael Weber
Etailment-Expertenrat

E-Commerce-Security: Nur ein Thema für die Technik?