Risiken für Online-Händler und Kunden

Sicher einkaufen zu Weihnachten

06.12.2012
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Drei Wochen bis Weihnachten: Den Online-Shops stehen die jährlichen Großkampftage bevor. Das trifft nicht nur auf Produktangebot und -nachfrage zu, sondern auch auf die Sicherheit des Shop-Back- und Frontends. Damit sich die muntere Geschenkejagd nicht zu einem Albtraum auswächst...
Der Online-Umsatz wächst.
Der Online-Umsatz wächst.
Foto: BvH / TNS-Infratest / Statista

Der Bundesverband des Deutschen Versandhandels (BVH) prognostiziert auch für dieses Jahr einen neuen Online-Rekordumsatz: 25,3 Milliarden Euro werden Online-Shops bis Ende 2012 hierzulande allein mit Waren eingenommen haben, so das Ergebnis einer vom BVH beauftragten TNS-Infratest-Erhebung. Bedeutet: Jeder Serverausfall, jede attackierte Shop-Site kostet viel Geld. Bedeutet aber auch: Zu keiner anderen Zeit im Jahr ist es für Kriminelle so attraktiv wie im Dezember, Shop-Betreiber mit der Androhung von DDoS-Angriffen zu erpressen oder deren Server aus anderen Beweggründen heraus lahm zu legen.

Nichts ging mehr im Dezember 2011 beim Eletronikhändler Conrad.
Nichts ging mehr im Dezember 2011 beim Eletronikhändler Conrad.

Im vergangenen Jahr erst mussten das eine Reihe deutscher Onlinehändler wieder schmerzlich erfahren - prominentestes Opfer war der Eletronikhändler Conrad. Drei Tage vor Weihnachten wurden die Server seines Online-Shops durch eine massive Zahl von Zugriffsversuchen lahm gelegt und machten einen Last-Minute-Einkauf für interessierte Kunden unmöglich.

DDoS abwehren

Um sich gegen DDoS-Angriffe verteidigen zu können, empfiehlt sich gerade für größere und/oder international aufgestellte Online-Shops ein DDoS-Mitigation-Service, der den gesamten eingehenden Datenverkehr zunächst über das Netz eines Dienstleisters umleitet, analysiert und schädlichen Traffic herausfiltert. Somit kommen nur die Anfragen beim Shop an, die es auch sollen. Diese Services werden beispielsweise von Prolexic, Verisign oder Akamai angeboten. Darüber hinaus bestehen weitere technische Abwehrmöglichkeiten, wie die folgende Aufstellung von Alfredo Vistola, Security Solution Architect bei F5 Networks zeigt:

  • Es müssen immer genügend Hard- und Softwareressourcen vorliegen, um einen Angriff zu überstehen (aus Kosten- und Effizienzgründen ist das aber meist nicht umsetzbar);

  • Sollte eine Attacke bereits vonstatten gehen, sollten die IP-Adresse(n) der angreifenden Clients mithilfe der Firewall manuell gesperrt werden, um entsprechende Paketanfragen direkt zu verwerfen;

  • Der laufende Abgleich anfragender IP-Adressen mit Sperrlisten ist aufwändiger, aber wesentlich flexibler;

  • Die dynamische Filterung kann sich aber auch auf Datenmengen beziehen: Jede IP-Adresse, deren Anfragen einen einstellbaren Grenzwert (wie Datenvolumen pro Zeit) überschreitet, kann komplett gesperrt oder beschränkt werden. Zu beachten ist allerdings, dass durch den Einsatz von Proxies generell viele Clients mit der gleichen IP-Adresse am Zielserver aufschlagen und es zu "Overblocking" kommen kann;

  • SYN-Flooding lässt sich durch den serverseitigen Einsatz von SYN-Cookies abschwächen.

Zahlungsbetrug verhindern

Doch nicht nur DDoS-Attacken stellen eine Gefahr dar - im Weihnachtsgeschäft kommt es durch ein erhöhtes Transaktionsaufkommen auch vermehrt zu Betrugsversuchen bei der Zahlungsabwicklung, zu Zahlungsausfällen und Retouren. Auch den Betrügern ist bekannt, dass besonders kleinere Händler im Weihnachtsgeschäft weniger Bestellungen manuell auf ihre Richtigkeit prüfen können. So ist es in diesen Tagen für Kriminelle besonders verlockend, Rechnungsadressen zu fälschen oder gestohlene Konto- und Kreditkartendaten anzugeben. Die Verfolgung und Inregressnahme der Verantwortlichen ist nicht immer einfach und wird mit der steigenden Verbreitung mobiler Bestell- und Zahlungsmethoden zusätzlich erschwert. Die IP-basierte Identifikation beispielsweise ist bei mobilen Geräten kaum noch möglich.

Das richtige Risiko-Management

Heiner Kallweit, Wirecard: "Nur automatisierte Lösungen bieten Online-Händlern größtmöglichen Schutz."
Heiner Kallweit, Wirecard: "Nur automatisierte Lösungen bieten Online-Händlern größtmöglichen Schutz."
Foto: Wirecard AG / Klaus D. Wolf (www.wolf-bild.de)

Was können Online-Shop-Betreiber im Bereich Risiko-Management tun? Heiner Kallweit, Risikomanagement-Experte beim Zahlungsdienstleister Wirecard, empfiehlt eine automatisierte Betrugsabwehr, um verdächtige Transaktionsmuster im Vornherein aufspüren zu können. Wenn ein Bestandskunde beispielsweise auf einmal ungewöhnlich hohe Rechnungsbeträge aufweist oder neue, unbekannte Liefer- oder Rechnungsadressen angibt, sollten die Alarmglocken schrillen. Dennoch ist Vorsicht geboten: Höhere Kaufaufkommen sind während der Vorweihnachtszeit eher die Regel denn die Ausnahme. Ein weiteres Mittel, die Risiken einzudämmen, sind automatische Bonitätsprüfungen bei Neukunden - gerade, wenn es sich um Rechnungszahler handelt. Diese Zahlmethode bieten immer mehr Händler auch deshalb an, weil sie sich so ein besseres Neukundengeschäft erhoffen - oder einfach, weil sie so viel wie möglich aus dem hart umkämpften Weihnachtsgeschäft mitnehmen wollen.

Möchte ein Händler die Kosten eines Zahlungsausfalls nicht selbst tragen (ob durch Betrug oder fehlende Bonität), kann er zudem auf Dienstleister für Zahlungsausfallsgarantie setzen, die im Fall der Fälle die entstehenden Kosten übernimmt. Das empfiehlt sich besonders für solche kleineren Shops, bei denen jede nicht gezahlte Bestellung ein spürbares Loch in die Kasse reißt und die keine Kapazitäten für eine eigene Risiko-Management-Abteilung bereitstellen können.

Tipps für Kunden

Und die Kunden? Die sollten bei jedem Einkauf darauf achten, dass zumindest die Zahlungsabwicklung per sicherer HTTPS-Verbindung vonstatten geht und der Shop-Betreiber mit den Adress- und Kundendaten kein Schindluder treibt. Am sichersten ist es natürlich, ausschließlich auf Rechnung zu bestellen - zumindest dort, wo es möglich ist. Und achten Sie unbedingt noch darauf, nicht auf jeden vermeintliche Aktions- und Gutscheinrabatt einzugehen - wie Fälle der jüngeren Vergangenheit bei Alitalia oder Otto zeigten, geht das nicht immer ohne Scherereien ab. Und nun: Happy Shopping!