Das Kunden-Log-in ist ein beliebtes Einfallstor für Cyberbetrüger. 80% der Anmeldeversuche im E-Commerce erfolgen mit gestohlenen Daten. Damit ist der Einzelhandel im Branchenvergleich laut einer aktuellen Studie am stärksten vom Missbrauch von Log-in-Daten betroffen. Wie kriminelle Hacker vorgehen und was Händler tun können, um sich und ihre Kunden zu schützen, erklärt Sven Kniest von Okta in einem Gastbeitrag.

In Anbetracht steigender Inflation und allgemeiner Unsicherheit agieren viele Verbraucher aktuell zurückhaltend. Das bekommt seit einigen Monaten besonders der Einzelhandel zu spüren: Mit einem Minus von 8,8% verzeichnete der Handel im Juni 2022 den größten Umsatzrückgang in Deutschland seit 1994. In diesen Zeiten sind Kundenbindung und -vertrauen besonders wichtig. Gerade im E-Commerce heißt das, ein hohes Maß an Sicherheit für Kundenkonten und -daten zu gewährleisten.

Eine große Herausforderung für Onlinehändler ist dabei das sogenannte "Credential Stuffing". Es beschreibt das Verwenden gestohlener Anmeldedaten, um sich Zugang zu Benutzerkonten zu verschaffen. Dabei nutzen Angreifer die Angewohnheit einiger User aus, dasselbe Passwort in Kombination mit derselben E-Mail-Adresse für verschiedene Konten gleichzeitig zu verwenden.
Betrügerische Zugriffe auf Nutzerkonten sind ein wachsendes Problem im E-Commerce. Dabei sind gerade in schwierigen Zeiten Kundenvertrauen und -bindung entscheidend.
© IMAGO / Westlight
Betrügerische Zugriffe auf Nutzerkonten sind ein wachsendes Problem im E-Commerce. Dabei sind gerade in schwierigen Zeiten Kundenvertrauen und -bindung entscheidend.
Damit haben Kriminelle leichtes Spiel: Sind die Zugangsdaten für ein Konto erst mal erbeutet, haben sie mithilfe automatisierter Tools Zugriff auf viele weitere Accounts des Nutzers.

Einzelhandel besonders stark bertroffen

Wie die Daten des aktuellen "State of Secure Identity Reports" von Okta zeigen, betrifft Credential Stuffing vor allem den Handel. So waren 80% der Anmeldeversuche im E-Commerce und Einzelhandel betrügerischer Natur, während die Rate in den meisten anderen Branchen lediglich bei unter 50% lag.

Abgesehen haben es die Kriminellen dabei auf Treuepunkte, limitierte Editionen eines Produkts oder den Verkauf der Kundendaten. Ein alarmierendes Ergebnis, zumal Kunden darauf vertrauen, dass ihre Daten bei den Händlern sicher sind.
Bei ihren Angriffen setzen die Cyberkriminellen zudem vermehrt auf den Einsatz von Bots, welche automatisch Anmelde- und Registrierungsversuche ausführen. Der aktuelle Report zeigt, dass Bots im Einzelhandel für knapp ein Fünftel aller Versuche verantwortlich sind, neue Kundenkonten bei Unternehmen und Einzelhandelsmarken zu registrieren.


Multi-Faktor-Authentifizierung im Visier der Hacker

Mit dem Einsatz von Multi-Faktor-Authentifizierung (MFA) können Händler den Log-in-Prozess für ihre Kunden sicherer gestalten. Dabei werden mehrere Authentifizierungsfaktoren, wie Push-Tan oder Fingerabdruck, abgefragt, wodurch eine zusätzliche Absicherung gegenüber der Verwendung einer einfachen Kombination aus E-Mail-Adresse und Passwort entsteht.

MFA bildet so ein weiteres starkes Hindernis für mögliche Angreifer. Doch auch diese Sicherheitsmaßnahme ist im letzten Jahr stärker ins Visier der Kriminellen gerückt und die Angriffsrate um fast ein Prozent gestiegen, von 2,8 auf 3,7%.
Beim sogenannten Credential Stuffing nutzen Angreifer gestohlene Kundendaten und die Angewohnheit mancher Nutzer aus, ein einziges Kennwort für verschiedene Anmeldungen zu verwenden.
© IMAGO / photothek
Beim sogenannten Credential Stuffing nutzen Angreifer gestohlene Kundendaten und die Angewohnheit mancher Nutzer aus, ein einziges Kennwort für verschiedene Anmeldungen zu verwenden.

Kundenidentitäten schützen

Die größte Herausforderung beim Kunden-Log-in ist die Balance zwischen der Bereitstellung höchster Sicherheitsstandards einerseits und einem reibungslosen Kundenerlebnis andererseits. Lösungen für das Customer-Identity-Access-Management (CIAM) bieten unterschiedliche Optionen, eine identitätsbasierte Authentifizierung vorzunehmen und den Anmeldeprozess zu gestalten.

Das erreichen sie beispielsweise, indem sie mithilfe von maschinellem Lernen die Verhaltensmuster der Nutzer auswerten und nur bei abweichendem Verhalten, sprich hohem Risiko, zusätzliche Sicherheitsfaktoren abfragen. CIAM bietet Unternehmen zudem Verfahren für die Aufdeckung von Credential Stuffing und betrügerischen Registrierungen sowie Techniken zur Verhinderung der Umgehung von MFA. 

Fazit

Die Gefahr vor Cyberangriffen nimmt stetig zu, insbesondere im Einzel- und Onlinehandel. Umso wichtiger ist es, dass Onlinehändlern und Unternehmen diese Gefahr bewusst ist und sie die entsprechenden Maßnahmen ergreifen, um nicht nur ihre Daten, sondern auch die ihrer Kunden zu schützen.

Dabei müssen Sicherheit und Kundenerfahrung kein Widerspruch sein. Vielmehr kann ein reibungsloser Registrierungs- und Anmeldeprozess ein wichtiges Tool zur Stärkung des digitalen Vertrauens sein und positiv in die Kundenbindung einzahlen. 

MEHR ZUM THEMA: 

Thalia, Tegut, Mediamarkt-Saturn: Cyber-Angriffe auf namhafte Händler sorgen immer wieder für Schlagzeilen, die große Mehrheit der Attacken schafft es aber gar nicht in die Medien.
© IMAGO / Panthermedia
IT-Sicherheit

So schützen sich Händler vor Cyber-Angriffen


Bei einem Penetrationstest nehmen IT-Sicherheitsexperten die Perspektive von Cyberkriminellen ein und versuchen, mit deren Methoden in ein System einzudringen.
© IMAGO / Jochen Tack
IT-Sicherheit

Pentests: IT-Systeme durch Hackerwissen schützen


Der Einzelhandel wird als Angriffsziel für Hacker immer beliebter - und Log4j bietet Cyberkriminellen ein neues Einfallstor.
© IMAGO / Alexander Limbach
IT-Sicherheit

Was der Log4j-Alarm für Einzelhändler bedeutet