Cyberkriminelle bedrohen den Online-Handel. Mit angemessenen Vorkehrungen bleiben Sie als Betreiber auf der sicheren Seite.
Die Sicherheitslage im Internet wird immer bedrohlicher. Im Dezember 2018 wurde der Rüstungshersteller Krauss Maffei durch eine Ransomware-Attacke vorübergehend lahmgelegt.
Zuvor stahlen im Oktober 2018 Hacker bei Facebook die Telefonnummern und E-Mail-Adressen von 30 Millionen Anwendern gestohlen und von 14 Millionen noch sehr viel umfassendere Informationen.
Die Kosten von Datenpannen sind auch für deutsche Unternehmen erheblich. Laut einer Studie des Ponemon Institute im Auftrag von IBM sind die durchschnittlichen Kosten einer Datenpanne in Deutschland im Jahr 2018 um 12,6 Prozent gegenüber dem Vorjahr auf einen Durchschnittsbetrag von 3,88 Millionen Euro gestiegen.
Neben den unmittelbaren Kosten sind auch die mittelbaren Auswirkungen für Shop-Betreiber bedrohlich, denn das Vertrauen der Kunden ist schwer wiederzugewinnen, wenn es einmal erschüttert wurde. In die Wiederherstellung von Datensätzen müssen wertvolle Arbeitsstunden aufgewendet werden und Geschäftschancen gehen verloren.
Das heißt, dass Online-Händler das Thema Sicherheit sehr ernst nehmen sollten. Mit einigen Tipps ist der eigene Online-Shop gegen Attacken gefeit.
Nutzen Sie Zwei-Faktor-Authentifizierung, Firewalls und virtuelle Private Networks
Die großen Suiten der etablierten Anbieter von IT-Security bieten umfassenden Schutz gegen verschiedene Angriffsmethoden. Seien Sie nicht geizig und beschränken sich auf kostenlose Antiviren-Software, denn diese bietet zwar einen gewissen Schutz, aber nicht gegen alles. Der wirtschaftliche Schaden einer erfolgreichen Attacke übersteigt die Kosten von Security-Suiten bei weitem. Sichern Sie sich mit Firewalls der neuesten Generation und nutzen Sie Virtual Private Networks für eine gesicherte Kommunikation.
Um die Identität des Kunden zu verifizieren, hilft eine Zwei-Faktor-Authentifizierung. Das heißt, eine Bestellbestätigung wird auf das Handy des Kunden geschickt. Er muss dann einen Code eingeben, um die Bestellung abzuschließen. Aber Vorsicht, seien Sie nicht zu streng. Es war eine Zeitlang Mode, bei der Zwei-Faktor-Authentifizierung ein knappes Zeitlimit von 30 Sekunden zu setzen. Das überfordert ältere Kunden, die in dieser Zeit gerade einmal ihr Handy aus der Tasche geholt haben.
Verlangen Sie von Ihren Kunden, dass Sie starke Passwörter verwenden. Je länger das Passwort, desto schwerer ist es zu knacken. Acht Zeichen sollten es schon sein, mit mindestens einer Zahl und einem Sonderzeichen. Vergessen Sie nicht, dass sie Kundenpasswörter verschlüsselt ablegen müssen, um Identitätsdiebstahl zu verhindern.
Georedundante Backups sind überlebenswichtig
Und vergessen Sie nicht, mindestens einmal täglich ein Backup ihrer gesamten Daten anzufertigen. Dieses Backup sollte georedundant sein, also mehrfach angefertigt und an verschiedenen Orten gelagert sein. Das könnte beispielsweise einmal in ihrem Büro sein, zweitens in einer Zweigstelle oder in ihrem Heim und drittens in der Cloud.
Die Anbieter von Backup-Software bieten alternativ die Sicherung in ihrer hauseigenen Cloud oder bei einem der großen Anbieter von Cloud-Infrastruktur wie Amazon Web Services, Google oder Microsoft. Weil Lösegelderpresser mit Ransomware immer wieder versuchen, Daten zu verschlüsseln und damit unbrauchbar zu machen, sollten sie ein Backup außerdem auf Medien anlegen, die nicht ständig mit ihrem Netzwerk verbunden sind, wie etwa Bandlaufwerke.
Ein georedundantes Backup kann Ihnen helfen, den Betrieb aufrechtzuhalten, und das nicht nur bei Datenverlusten durch Cyberattacken, sondern auch bei Feuer, Sturm und Hochwasser.
Geschäft bei Ausfällen fortsetzen
Die Geschäftsfortführung im Krisenfall (Business Continuity) ist ein Thema, mit dem Sie Sich beschäftigen sollten. Ist Ihr Unternehmen gemäß der internationalen Norm ISO 27001 zertifiziert, signalisieren Sie Ihren Kunden und Partnern, dass sie stets sicherheitskonform arbeiten. Nähere Informationen erhalten Sie beim Bundesamt für Sicherheit in der Informationstechnik (BSI) .
Halten Sie die Software Ihres Online-Shops stets aktuell und spielen Sie aktuelle Patches auf. Setzen Sie Verschlüsselung bei allen ihren Daten ein. Achten Sie auf den Datenschutz und beachten Sie die Vorgaben der Datenschutzgrundverordnung (DSGVO).
Sicherheit gegen Kreditkartenbetrug
Neben diesen allgemeinen Hinweisen zur Datensicherheit steht im Online-Handel das Thema Kreditkartenbetrug im Fokus. Auch für Kreditkartenzahlungen gibt es einen internationalen Standard, der ihnen hohe Sicherheit gewährleistet, und zwar der Payment Card Industry Data Security Standard (PCI DSS).
Vor allem in den USA kommt es immer wieder vor, dass Cyberkriminelle Datenlecks ausnutzen und in großem Umfang die Daten von Kreditkarten stehlen. Mit diesen Daten versuchen die Hacker dann im Web Produkte und Services zu ergaunern.
Aber auch in Deutschland sind immer wieder Online-Händler Opfer von Betrugsversuchen. Laut einer Studie waren bereits 84 Prozent der deutschen E-Commerce-Anbieter mit diesem Problem konfrontiert.
Dabei sind Zahlungen per Lastschrift oder Rechnung für Sie als Händler noch problematischer als per Kreditkarte. Wenn der Kunde trotz korrekter Lieferung einfach nicht zahlt oder eine Rücklastschrift fordert, haben Sie ein Problem.
Es gibt zahlreiche Betrugsvarianten, aber mittlerweile auch Methoden zur Betrugserkennung (Fraud Prevention). Es gibt viele erfolgreich eingesetzte Systeme, die betrügerische Aktivitäten anhand der Analyse von Informationen aus verschiedenen Datenquellen in Kombination mit maschinellen Lerntechniken identifizieren können. So können Sie die 97 Prozent der guten Kunden von den drei Prozent Problemfällen trennen.
Ziehen Sie kompetente Partner hinzu
Wenn Ihnen all diese Sicherheitsthemen allzu kompliziert und aufwendig erscheinen, haben Sie Recht. Die effektivste Sicherheit kann Ihnen ein zuverlässiger Partner bieten, der Ihnen alle Sicherheitssorgen abnimmt und Sie dadurch entlastet, damit Sie sich auf Ihr Kerngeschäft konzentrieren können.
Die Paymill GmbH bietet Ihnen umfassenden Betrugsschutz und prüft die Daten jeder Transaktion anhand einer weltweiten Blacklist. Um die Sicherheit von Kreditkarten zu gewährleisten, setzt Paymill auf den Payment Card Industry Data Security Standard (PCI DSS). So ist gewährleistet, dass auch Ihr Online-Shop die Vorgaben von PCI DSS erfüllt.
Zusätzliche Sicherheitsfunktionen bietet das Angebot 3D Secure, mit dem Sie sichergehen können, dass der Kunde tatsächlich der Inhaber der verwendeten Kreditkarte ist.
Paymill bietet starke Verschlüsselungsmechanismen mit 256-Bit Encryption. Die Secure Socket Layer (SSL) Zertifikate haben eine Länge von 4.096 Bit.