Online-Shops im Einzelhandel werden bei den Verbraucher:innen immer beliebter. Um sicherzustellen, dass die Kundschaft ihre Bestellungen schnell und fehlerfrei erhalten, braucht es neben E-Commerce-Plattform und Online-Shop eine gut funktionierende Logistik.
Damit der Datenaustausch zwischen Shop und Logistik reibungslos gelingt, arbeitet die Mehrheit der Einzelhändler mit Fulfillment-Dienstleistern zusammen. Diese schließen über eine API (Application Programming Interface) ihre IT-Systeme an die E-Commerce-Plattform an, um den Verbraucher:innen einen einfachen und übersichtlichen Ablauf von Produktauswahl bis zum Versand und eventuellen Retouren ermöglicht. Dabei werden über diese Schnittstellen personenbezogene Daten wie Name, Telefonnummer, Alter, Geburtstag und Adresse ausgetauscht. Unternehmen stehen also in der rechtlichen Verpflichtung diese Informationen abzusichern.
Lücken im System
Bei zahlreichen Fulfillment-Dienstleistern und E-Commerce-Plattformen entdeckten Forscher der japanischen Sicherheitsfirma Trend Micro Sicherheitslücken bei der Implementierung der Logistik-APIs. Cyberkriminelle können diese Schwachstellen ausnutzen, empfindliche Daten stehlen und im Anschluss etwa für Phishing-Angriffe oder SMS-Betrug missbrauchen.
Für Einzelhändler mit Online-Plattformen, können Datendiebstähle kostspielig werden, denn bei einem Verstoß gegen die DSGVO drohen Bußgelder. Doch noch schwerwiegender für die Händler ist der Reputationsverlust im Fall eines Datenlecks. Vertrauen, das auf diese Weise verloren gegangen ist, kann nur mühsam wieder aufgebaut werden.
Schwachstellen erkennen
Vor allem URLs in Bestellbestätigungen werden aufgrund fehlender Authentifizierung oftmals zum Einfallstor für Datendiebstahl. Denn damit Konsument:innen für den Kauf bei einem Online-Shop nicht extra einen Account anlegen müssen, ermöglichen Unternehmen in der Regel die Bestellung über einen Gast-Zugang. Das ist bequem, aber weniger abgesichert. Die E-Mail oder SMS, die nach dem Kauf als Bestätigung an den Gast versendet wird, enthält eine URL, mit der jeder den Status der Bestellung und alle dazugehörigen Daten mit nur einem Klick abrufen kann. Denn die URL-Parameter beinhalten einen Authentifizierungs-Schlüssel, der ohne weitere Sicherheitsmaßnahmen den Zugriff auf die Bestelldaten erlaubt.
Cyberkriminelle können diese URL abfangen, die Webseite aufrufen und so an die personenbezogenen Daten gelangen.
Dieses Risiko verschwindet nicht, wenn man auf eine verschlüsselte SSL-Verbindung zwischen Client und Server zurückgreift. Denn die Daten liegen an vielerlei Orten als Klartext gespeichert: zum Beispiel in den Logfiles eines Webservers, eines Routers, Proxys oder im Browser-Verlauf der Kund:innen.
Als eine weitere Schwachstelle erweisen sich die Nutzung von Sessions und Cookies zur Authentifizierung. Sie gestatten es Nutzer:innen, auf Daten zuzugreifen, ohne sich erneut anmelden zu müssen. Doch durch die lange Lebensdauer von Cookies kann ein Angreifer – solange die Session nicht regulär beendet wurde – diese aufrufen, Transaktionen zurückverfolgen und an personenbezogene Daten gelangen.
Einzelhändler setzten auf Mehrfaktor-Authentifizierung im E-Commerce
Mit gängigen Security-Best Practices lassen sich eklatante Schwachstellen im System besser schützen. Sollte etwa ein Cookie oder Session-Key-Wert die Authentifizierung zwischen einem Host und einem Server regeln, ist es ratsam, die Gültigkeitsdauer des Key auf das Mindestmaß zu setzen. Empfehlenswert sind zwei bis maximal fünf Minuten, bei Risikodaten sogar weniger.
URL-Parameter sollten immer verschlüsselt sein. Außerdem sollten nur Daten übertragen werden, die für eine Transaktion tatsächlich erforderlich sind. Grundsätzlich ist es empfehlenswert, direkten URL-Zugriff auf personenbezogene Daten nicht zu ermöglichen und stattdessen mit Mehrfaktor-Authentifizierung auf E-Commerce-Plattformen zu arbeiten. Allein diese Maßnahmen erschweren es Angreifern bereits, die personenbezogenen Daten der Kundschaft abzugreifen.
Mehr Cybersicherheit im Multichannel-Handel
Die Digitalisierung von Geschäftsprozessen kann Arbeitsabläufe erleichtern, die Effizienz verbessern und den Umsatz steigern. Dabei gibt es jedoch zur Erhöhung der Sicherheit einige Aspekte, die Unternehmen, die in mehreren Verkaufskanälen tätig sind, bei der Implementierung von Software beachten sollten.
Cybersicherheit: Alarmstufe Rot im Handel
Mit seiner Fülle an Kundendaten hat sich der Einzelhandel zum Top-Ziel der Computerkriminalität entwickelt, erfolgreiche Angriffe nehmen in den letzten Jahren rapide zu. Händler stehen aber nicht hilflos da – sie müssen allerdings aktiv werden: Es gibt bewährte Schutzmechanismen und Hilfe von Dritten.