Der Bundesverband des Deutschen Versandhandels (BVH) prognostiziert auch für dieses Jahr einen neuen Online-Rekordumsatz: 25,3 Milliarden Euro werden Online-Shops bis Ende 2012 hierzulande allein mit Waren eingenommen haben, so das Ergebnis einer vom BVH beauftragten TNS-Infratest-Erhebung. Bedeutet: Jeder Serverausfall, jede attackierte Shop-Site kostet viel Geld. Bedeutet aber auch: Zu keiner anderen Zeit im Jahr ist es für Kriminelle so attraktiv wie im Dezember, Shop-Betreiber mit der Androhung von DDoS-Angriffen zu erpressen oder deren Server aus anderen Beweggründen heraus lahm zu legen.
Im vergangenen Jahr erst mussten das eine Reihe deutscher Onlinehändler wieder schmerzlich erfahren - prominentestes Opfer war der Eletronikhändler Conrad. Drei Tage vor Weihnachten wurden die Server seines Online-Shops durch eine massive Zahl von Zugriffsversuchen lahm gelegt und machten einen Last-Minute-Einkauf für interessierte Kunden unmöglich.
DDoS abwehren
Um sich gegen DDoS-Angriffe verteidigen zu können, empfiehlt sich gerade für größere und/oder international aufgestellte Online-Shops ein DDoS-Mitigation-Service, der den gesamten eingehenden Datenverkehr zunächst über das Netz eines Dienstleisters umleitet, analysiert und schädlichen Traffic herausfiltert. Somit kommen nur die Anfragen beim Shop an, die es auch sollen. Diese Services werden beispielsweise von Prolexic, Verisign oder Akamai angeboten. Darüber hinaus bestehen weitere technische Abwehrmöglichkeiten, wie die folgende Aufstellung von Alfredo Vistola, Security Solution Architect bei F5 Networks zeigt:
-
Es müssen immer genügend Hard- und Softwareressourcen vorliegen, um einen Angriff zu überstehen (aus Kosten- und Effizienzgründen ist das aber meist nicht umsetzbar);
-
Sollte eine Attacke bereits vonstatten gehen, sollten die IP-Adresse(n) der angreifenden Clients mithilfe der Firewall manuell gesperrt werden, um entsprechende Paketanfragen direkt zu verwerfen;
-
Der laufende Abgleich anfragender IP-Adressen mit Sperrlisten ist aufwändiger, aber wesentlich flexibler;
-
Die dynamische Filterung kann sich aber auch auf Datenmengen beziehen: Jede IP-Adresse, deren Anfragen einen einstellbaren Grenzwert (wie Datenvolumen pro Zeit) überschreitet, kann komplett gesperrt oder beschränkt werden. Zu beachten ist allerdings, dass durch den Einsatz von Proxies generell viele Clients mit der gleichen IP-Adresse am Zielserver aufschlagen und es zu "Overblocking" kommen kann;
-
SYN-Flooding lässt sich durch den serverseitigen Einsatz von SYN-Cookies abschwächen.
Zahlungsbetrug verhindern
Doch nicht nur DDoS-Attacken stellen eine Gefahr dar - im Weihnachtsgeschäft kommt es durch ein erhöhtes Transaktionsaufkommen auch vermehrt zu Betrugsversuchen bei der Zahlungsabwicklung, zu Zahlungsausfällen und Retouren. Auch den Betrügern ist bekannt, dass besonders kleinere Händler im Weihnachtsgeschäft weniger Bestellungen manuell auf ihre Richtigkeit prüfen können. So ist es in diesen Tagen für Kriminelle besonders verlockend, Rechnungsadressen zu fälschen oder gestohlene Konto- und Kreditkartendaten anzugeben. Die Verfolgung und Inregressnahme der Verantwortlichen ist nicht immer einfach und wird mit der steigenden Verbreitung mobiler Bestell- und Zahlungsmethoden zusätzlich erschwert. Die IP-basierte Identifikation beispielsweise ist bei mobilen Geräten kaum noch möglich.
- PCI-Anforderungen an die IT von Webshops
Hinter PCI verbirgt sich ein Regelwerk für den Zahlungsverkehr (Payment Card Industry Data Security Standard = PCI DSS), das seit Oktober 2010 in der Version 2.0 vorliegt. Diese Liste enthält zwölf Anforderungen für Bezahlverfahren, die im Unternehmensnetz zu erfüllen sind. - Anforderung 1:
Firewall zum Schutz der Daten - Anforderung 2:
Keine Kennwörter in Werkseinstellung - Anforderung 3:
Schutz der Daten von Kreditkarteninhabern - Anforderung 4:
Verschlüsselte Datenübertragung in öffentlichen Netzen - Anforderung 11:
Entwicklung und Pflege sicherer Systeme und Anwendungen - Anforderung 7:
Beschränkung der Datenzugriffe auf das Notwendigste - Anforderung 8:
Eindeutige User-Kennung für Rechnerzugang - Anforderung 10:
Logging aller Zugriffe auf Kreditkartendaten - Anforderung 6:
Regelmäßige Prüfung aller Security-Systeme - Anforderung 12:
Richtlinien zur Informationssicherheit
Das richtige Risiko-Management
Was können Online-Shop-Betreiber im Bereich Risiko-Management tun? Heiner Kallweit, Risikomanagement-Experte beim Zahlungsdienstleister Wirecard, empfiehlt eine automatisierte Betrugsabwehr, um verdächtige Transaktionsmuster im Vornherein aufspüren zu können. Wenn ein Bestandskunde beispielsweise auf einmal ungewöhnlich hohe Rechnungsbeträge aufweist oder neue, unbekannte Liefer- oder Rechnungsadressen angibt, sollten die Alarmglocken schrillen. Dennoch ist Vorsicht geboten: Höhere Kaufaufkommen sind während der Vorweihnachtszeit eher die Regel denn die Ausnahme. Ein weiteres Mittel, die Risiken einzudämmen, sind automatische Bonitätsprüfungen bei Neukunden - gerade, wenn es sich um Rechnungszahler handelt. Diese Zahlmethode bieten immer mehr Händler auch deshalb an, weil sie sich so ein besseres Neukundengeschäft erhoffen - oder einfach, weil sie so viel wie möglich aus dem hart umkämpften Weihnachtsgeschäft mitnehmen wollen.
Möchte ein Händler die Kosten eines Zahlungsausfalls nicht selbst tragen (ob durch Betrug oder fehlende Bonität), kann er zudem auf Dienstleister für Zahlungsausfallsgarantie setzen, die im Fall der Fälle die entstehenden Kosten übernimmt. Das empfiehlt sich besonders für solche kleineren Shops, bei denen jede nicht gezahlte Bestellung ein spürbares Loch in die Kasse reißt und die keine Kapazitäten für eine eigene Risiko-Management-Abteilung bereitstellen können.
Tipps für Kunden
Und die Kunden? Die sollten bei jedem Einkauf darauf achten, dass zumindest die Zahlungsabwicklung per sicherer HTTPS-Verbindung vonstatten geht und der Shop-Betreiber mit den Adress- und Kundendaten kein Schindluder treibt. Am sichersten ist es natürlich, ausschließlich auf Rechnung zu bestellen - zumindest dort, wo es möglich ist. Und achten Sie unbedingt noch darauf, nicht auf jeden vermeintliche Aktions- und Gutscheinrabatt einzugehen - wie Fälle der jüngeren Vergangenheit bei Alitalia oder Otto zeigten, geht das nicht immer ohne Scherereien ab. Und nun: Happy Shopping!