IT-Sicherheit: Wie sich Online-Händler vor Gefahren schützen

Über 50 Milliarden Euro Schaden, so beziffern es Profis, entstehen deutschen Firmen jedes Jahr durch Industrie-Spionage. Nur schwer einschätzen lassen sich dagegen zwar die Summen, die durch Betrugsmaschen und Cyber-Attacken verloren gehen. Doch Unternehmen sind heute leider auf vielfache Art und Weise digitalen Bedrohungen ausgesetzt. Diese Risiken können Online- und Multichannel-Händler aber durchaus minimieren, wie ein Praxis-Beitrag aufzeigt.

3D-Illustration
Industriespionage ist ein möglicher Angriffspunkt (Bild: fotolia, © fotomek)

Zwar werden die umfangreichen Regelungen der DSGVO oft als nervende Zusatzbelastung empfunden. Doch sie sorgen im Online-Geschäft auch bei den Unternehmen für mehr Sicherheit. Das, was die Gesetzesneuerung für das Vulnerability Management bedeutet, ist letztendlich nur Druck von oben, der auch dadurch entstand, dass viele Unternehmen das Thema Datenschutz bislang zu stiefmütterlich behandelten.

Nicht nur, was den Umgang mit persönlichen Daten anbelangt. Verblüffend viele Entscheider verfahren beim Thema Sicherheit nach der Maxime „Mit unserer Unternehmensgröße sind wir doch eh kein interessantes Ziel“.

Die Tatsache aber, dass eine Firma bislang noch verschont geblieben ist, schafft oft eine trügerische Sicherheit. Doch prinzipiell arbeiten sich Firmenspione weder ausschließlich an Großunternehmen ab, noch fokussieren sich Betrüger nur auf kleine, möglicherweise schlecht geschützte Unternehmen.

Fehlende Sensibilität für mögliche Risiken

Jeder stellt ein potentielles Ziel dar. Das liegt schlicht daran, dass sämtliche Firmengrößen Strukturen aufweisen, die man ausnutzen kann. Wo es bei großen Unternehmen durch die hohe Anzahl an Mitarbeitern die weniger persönliche Kommunikation ist, so sind es bei kleinen Unternehmen oft eine weniger ausgeprägte Sicherheit bei der Infrastruktur, die schnell ein enormes Risiko darstellen können.

Kurz: Keiner ist too big oder too small to fail. Ein Beispiel dafür, wie Kriminelle die Strukturen von großen Unternehmen ausnutzen: Angestellte irgendeiner Abteilung werden entweder angerufen oder mit einer fingierten E-Mail angeschrieben. Das Gegenüber gibt sich als Entscheider einer anderen Abteilung aus und erschleicht sich so sensible Insider-Informationen. Die so genannte Chef-Masche (CEO-Fraud) wird nicht nur bei sehr großen, sondern auch bei mittelständischen Unternehmen eingesetzt und hat aktuell leider großen Erfolg. Das lässt sich nur auf zweierlei Arten verhindern:

  • Jedem Angestellten des Unternehmens müssen alle Entscheider seiner Firma von Namen und Aussehen her bekannt sein. Notfalls durch eine bei allen vorhandene Liste.
  • Das Unternehmen muss eine strenge Politik fahren, nach der keinerlei relevante Informationen über andere Kanäle als das persönliche Gespräch weitergegeben werden dürfen. Klare Regeln zum Umgang mit sensiblen Informationen helfen in unsicheren Situationen weiter.

Im Zweifelsfall muss jeder so viel Menschenverstand besitzen und die Identität einer unbekannten Person zunächst verifizieren. In manchen Fällen gibt ein einfacher Rückruf schon mehr Aufschluss.

Möglichkeiten zur Absicherung und Identifizierung

Auch ein Bestellbetrug droht Händlern: Per Anruf oder E-Mail gibt sich der Betrüger als (bekannter) Kunde aus und gibt eine Bestellung auf. Hierbei wird eine abweichende Lieferadresse genannt. Die Ware wird geliefert, jedoch niemals bezahlt. Verschiedene Sicherheitsmaßnahmen bieten Schutz:

  • Bei allen Bestellungen/Käufen über einem bestimmten Warenwert sollte der Auftrag durch den Kunden telefonisch bestätigt werden.
  • Käufer in einer Filiale, die sich als Mitarbeiter einer als Kunde registrierten Firma ausgeben, müssen sich ausweisen.
  • Keine Einrichtung von Kundenkonten ohne persönlichen Kontakt.
  • Falls das aus irgendeinem Grund nicht möglich sein sollte, sind Alternativen eines sicheren Identifikationsprozesses zu suchen. Dazu bietet sich das Postident-Verfahren an, bei dem die Post via Personalausweis die Identität einer Person überprüft.

Auch ein bereits etwas älterer Trick funktioniert nach wie vor: Betrüger deponieren im Unternehmen einen Datenträger mit Schadsoftware. Früher oder später findet sich ein argloser Angestellter, der den Datenspeicher an seinen Arbeitsrechner anschließt, um zu prüfen, was sich darauf befindet.

Accountant Calculating
Rechnungskauf birgt Gefahren (Bild: fotolia, © Andrey Popov)

Schon können Sicherheitssysteme überwunden werden. Die einfachste Lösung: Ein totales Verbot der Nutzung von Flashspeichern bzw. externen Speichern jeglicher Art. Rechner ohne Möglichkeit zum Anschluss von USB-Geräten oder ohne CD/DVD-Laufwerk können Abhilfe schaffen.

Doch auch Cloud-Computing birgt viele Risiken. Denn oft wird das Cloud-System nicht ausreichend durch sichere und regelmäßig wechselnde Passwörter abgesichert. Dadurch ist es Kriminellen in der Vergangenheit schon gelungen, große Datenmengen und wichtige Firmen-Interna abzugreifen – unter anderem durch Brute-Force-Attacken.

Mithilfe eines speziellen Programms werden dabei wahllos mögliche Passwortkombinationen probiert, bis das Richtige gefunden ist. Den besten Schutz dagegen bieten komplexe Kennwörter, die neben Buchstaben (Klein- und Großschreibung) und Zahlen zudem Sonderzeichen enthalten. Auch die Länge ist ein entscheidender Faktor: Kann ein aus fünf Zeichen bestehendes Passwort (zwei Zahlen und drei Kleinbuchstaben) bereits in wenigen Millisekunden geknackt werden, verlängert sich diese Zeit bei einem acht Zeichen langen Codewort (zwei Zahlen, vier Kleinbuchstaben, zwei Sonderzeichen) bereits auf rund zweieinhalb Tage. Die Regel lautet also: Je länger und komplexer, desto sicherer.

Bei der Methode des Highjacking verschaffen sich Hacker den Zugriff auf eine Internetdomäne – etwa eines Online-Shops. Häufig wird dabei in die Kommunikationskanäle eingegriffen, wobei sensible Daten abgegriffen werden können. Eine besondere Relevanz im Bereich ECommerce hat das sogenannte Ad-Highjacking, wobei kriminelle Affiliate-Anbieter digitale Anzeigen hacken und die Klicks auf eigene Kanäle umleiten. Hier hilft nur stetige Kontrolle – entweder selbst oder durch den jeweiligen Affiliate-Partner. Dafür können auch spezielle Überwachungsprogramme eingesetzt werden. Fallen Unregelmäßigkeiten auf, sollten sofort Gegenmaßnahmen ergriffen werden (Anzeige zur Verletzung des Markenrechts, Aufnahme in eine Negativliste). Wichtig ist zudem ein rechtssicherer Affiliate-Vertrag.

Sicherheit in der Cloud

Hier müssen für eine umfassende Sicherheit verschiedene Punkte beachtet werden. Der Cloud sollte niemals blind vertraut werden. Ihr Komfort sollte niemals zulasten der Sicherheit gehen. Auch wenn das bedeutet, dass man nicht von überall aus Zugriff auf wichtige Daten in Echtzeit hat. Denn das Internet bietet viele Möglichkeiten des Betrugs, im Zweifelsfall auch über die so genannte Drive-by-Infektion.

Dabei wird der eigene Rechner bereits beim bloßen Besuch einer anderen Webseite mit Viren oder Trojanern infiziert. Möglich ist dies durch versteckte Skripte. Der einzige Schutz derzeit ist das regelmäßige Aktualisieren der Sicherheitsprogramme, des Browsers und der eingesetzten Software im Allgemeinen. Darüber hinaus gibt es weitere Sicherheitsmaßnahmen für mehr Sicherheit im Netz:

  • Das Einrichten einer Blacklist wie hier beim Chrome Browser kann die vorhandene Firewall zusätzlich unterstützen. Die Blacklist sollte dabei auch vermeintlich sichere Adressen umfassen – zum Beispiel von Tageszeitungen. Mitarbeiter dürfen nur auf Seiten zugreifen, die unmittelbar für ihre Berufsausübung notwendig sind – auch wenn das Zusatzaufwand für die IT bedeutet.
  • Es muss untersagt sein, private Endgeräte mit dem Firmen-Wifi zu verbinden. Entweder direkt im Arbeitsvertrag oder indirekt darüber, indem das Passwort geheim bleibt.
  • Sollte dies aus unternehmerischer Sicht nicht durchführbar sein, sollte das WLAN als separates Netzwerk implementiert werden, das sich nicht mit dem Firmennetzwerk überschneidet.
female support
Mitarbeiter müssen sensibilisiert werden (Bild: fotolia, © .shock)

Sicher ist es keine schlechte Idee, in eine IT-Infrastruktur zu investieren, die besonders sensible Daten komplett vom Netz abkoppelt. Anders ausgedrückt: Nicht alles muss aus der Distanz zugänglich sein.

Zusätzlich ist es wichtig, sämtliche Mitarbeiter für mögliche Risiken zu sensibilisieren. Es gibt keine Position in der Hierarchie, die mehr oder weniger exponiert wäre. Denn auch hier ist die Sicherheitskette nur so stark wie ihr schwächstes Glied. Daher müssen alle Mitarbeiter auch verstehen, warum ihnen zum Beispiel wegen ihrer Position zusätzliche Auflagen gemacht werden müssen. Denn es gilt Punkt eins: Jeder ist heute ein potenzielles Ziel.

Über den Autor: Bernd Neudorf hat zunächst als Fachinformatiker und Anwendungsentwickler verschiedene mittelständische Unternehmen beim Aufbau ihrer IT-Strukturen begleitet. Heute arbeitet er als freiberuflicher IT-Consultant und entwickelt dabei maßgeschneiderte IT-Lösungen. Sein Schwerpunkt liegt im Bereich Cloud-Technologien und EDV-Prozess- und Systemintegration.

PS: Verpassen Sie keine Beiträge mehr! Jeden Freitag liefert Ihnen unser Info-Service alle Nachrichten, Analysen und Insider-Infos der Woche kostenlos in Ihr Postfach. 4.556 Kollegen aus dem Versand- und Multichannel-Handel nutzen dieses Angebot schon, um up-to-date zu bleiben. Jetzt hier anmelden:

Ich akzeptiere die Datenschutzerklärung. Die Einwilligung lässt sich jederzeit widerrufen. *Pflichtfeld

Über Stephan Randler 2270 Artikel
Stephan Randler (40) ist Autor und Herausgeber von neuhandeln.de - einem Online-Magazin für Entscheider im E-Commerce. Zuvor war er Chefredakteur vom "Versandhausberater". Als Fachjournalist begleitet er die E-Commerce-Branche bereits seit 2004 - mit Texten, Moderationen und Vorträgen. mehr