Das Internet gleicht in vielerlei Hinsicht dem Wilden Westen. Die Zeit der Pioniere, eine staatenübergreifende Gesellschaft entwickelt sich, der technische Fortschritt explodiert... Gleichzeitig versucht jeder, so viel Territorium wie möglich für sich zu beanspruchen. Die «neue Welt» pulsiert bereits, doch die Regeln sind noch nicht final gemacht.
(Symbolbild: pict-rider / AdobeStock)
E-Mails werden per Postkutsche verschickt, schnell, unkompliziert – aber eben auch ungeschützt. News aus aller Welt – wahr oder Hörensagen – werden durch Reisende von Ort zu Ort getragen. Shopping macht man nicht mehr nur im lokalen Bauernhof, sondern auch beim Fliegenden Händler. Alle sind und alles ist ständig in Bewegung.
Auf den Spuren der Siedler-Trails müssen Fliegende Händler im offenen Gelände der Prärie aber ständig auf der Hut sein. Habgierige Banditen lauern schliesslich überall: gut getarnt hinter struppigen Tumbleweeds, an unübersichtlichen Flussbiegungen oder in schmalen Felsschluchten. Den Angriffen sind die Händler fast schutzlos ausgeliefert, ihre Waren und ihr Geld in den Planwagen leichte Beute.
Im Wilden Westen des Internets wird aber nicht mehr der Revolver gezückt, sondern die Kreditkarte oder gar das Crypto Wallet.
Pistoleros aus dem Darkweb
Man stelle sich vor: ein anonymer Hacker-Pistolero schickt eine ganze Kavallerie von automatisierten Anfragen auf das Ziel los, den Webserver des Opfers. Der kommt mit der Verarbeitung nicht nach, schwenkt die weisse Fahne und gibt auf. Die Site ist für Stunden unerreichbar. Das ist die blanke Katastrophe – vor allem am Black Friday oder am Cyber Monday.
Der US-amerikanische E-Commerce investiert etwa ein Viertel seines gesamten Marketingbudgets in die Bewerbung dieser beiden absatzstarken Tage. Eine DDoS-Attacke kostet im Darknet hingegen nur etwa 1000 Dollar. Die Gefahr, in einen Hinterhalt zu geraten, ist also immens. Und die Pistoleros sind zumeist aber nur Strohmänner für Angreifer, die von solchen Attacken profitieren: Konkurrenten, Ideologen, Kämpfer für eine andere Welt.
Hier werden nicht nur die Daten-Sheriffs gebraucht. Auch ein Wachhund Rantanplan, der den Ansturm echter Käufer von dem eines kriminellen Algorithmus unterscheiden und mit lautem Gebell vertreibt, ist für Shop-Besitzer unabdingbar.
Attack Surface
Im E-Commerce muss man sich zwei Fragen stellen:
- Wie sieht meine Attack Surface aus?
- Wo liegen dort die Attack Vectors?
Die Surface umfasst zunächst alle Schnittstellen eines Unternehmens zum Internet. Angefangen bei der Art des Hostings und des CMS-Systems über sämtliche PlugIns, LogIn-Funktionen und Authentifizierungs- und Zahlungssysteme bis hin zur Datenablage. Weniger offensichtlich, aber ebenso wichtig im Surface, sind Drittanbieter-Fragmente wie Lagersoftware, Anbindungen von Versanddienstleistern oder IIOT-Steuerungen.
Zudem fliegen im gestreckten Galopp des legendären Pony-Express zwischen Webshops, Zulieferern, Dienstleistern und Kunden unzählige E-Mails hin und her. Jede einzelne Unterhaltung ist eine offene Flanke für den Angriff auf den E-Commerce-Planwagen eines Unternehmens und dessen Tross.
Die Beschreibung eines Attack Surface hilft Unternehmen, ihr Risiko einzuschätzen und mit bewusstem Handeln einzudämmen. Angesichts der schnell wachsenden Zahl der Bedrohungen aus dem Internet, ist eine saubere Risiko-Abwägung dringend angezeigt.
Hier kommen die Attack Vectors ins Spiel. Sie beschreiben die Einzelteile der abgesteckten Fläche, die eine tatsächliche Gefahr oder eine potenzielle Schwäche darstellen. So können Szenarien für den Angriff, Missbrauch oder die Verbesserung ausgearbeitet und Sicherheitsstrategien entwickelt werden. Einzelne Teams im Unternehmen werden bei Wahl ihrer Sicherungsinstrumente unterstützt, die Mitarbeiter für die Gefahr sensibilisiert.
Prokrastination und Sensibilisierung
Colts, Angriffe und latente Bedrohung. Das Vokabular im Cyber Wild West macht oft vor allem eines: Angst. Und Angst macht bewegungsunfähig; viele Unternehmen kümmern sich dann auch nur am Rande um diese Risikofaktoren. Sie verfallen in Prokrastination, schieben die Betrachtung vor sich her. Das Risiko potenzieller Cyber-Attacken bleibt. In Unternehmen, in denen sich wenige Abteilungen darauf ausrichten, steigt es sogar überproportional an.
Je mehr Menschen sich also damit befassen, desto geringer ist das Risiko. Daher sollte sich das Management nicht nur via IT-Abteilung diesem Thema widmen, sondern breitflächig in allen Business Units für Aufmerksamkeit und Aufklärung sorgen.
Wer zudem sein Risiko nicht statisch betrachtet, sondern agil, versteht, dass einmaliges Handeln nicht ausreicht. Bei Cyber-Risiken ist ein iterativer Prozess unabdingbar. Hervorragende Scouts für Attack Vectors sind kontinuierliches Pentesting und Bug-Bounty-Programme. Der Transparenz-Gewinn zahlt sich auf jeden Fall aus.
Werbung kann nie schaden – oder doch?
Ein weiteres Risiko für Webshops ist deren Abhängigkeit von Werbung. Viele Onlineinserate werden nicht ausreichend authentifiziert. Beinahe jeder Bandit kann im Namen eines fremden Brands eigene Werbung schalten.
Auf der Suche nach fremdem Geld und neuen Datensätzen tun diese Gringos das auch. Sie kopieren erfolgreiche Webshops und veröffentlichen besonders attraktive Angebote. Der Käufer im Kaufrausch gibt seine Daten in einer falschen Maske arglos ein und steht am Ende ohne Ware und mit leeren Taschen da. Mit den frustrierten Käufern müssen sich die Originalshops auseinandersetzen. Der Hacker hat das Geld, das Unternehmen den Schaden.
Die Plünderer sind zahlreich, ihre Motive unterschiedlich, der Missbrauch aber ist einfach – Gelegenheit macht Diebe, auch digital.
Allen Webshop-Betreibern geben wir diese fünf handfesten Ledernacken-Tipps mit auf den Weg:
- Schulen Sie Ihre Mitarbeitenden und das Management
- Prüfen Sie Ihr Webangebot auf mögliche Schwachstellen
- Etablieren Sie Sicherheit als einen iterativen Prozess
- Nutzen Sie Monitoring-Services.
- Sorgen Sie für einen sorgfältigen Backup-Prozess
- Klären Sie Ihre Kundinnen und Kunden auf und schaffen damit auch eine bessere Kundenbeziehung
Die Autorin
Milena Thalmann ist Marketing- und Kommunikationsexpertin für die IT-Branche. 2020 gründete sie zusammen mit ihrem Geschäftspartner die Agentur White Rabbit Communications. Durch diverse Engagements in ihrer Laufbahn, unter anderem für die Swiss Cyber Security Days oder Dreamlab Technologies, verfügt sie über solide Einblicke in die IT Sicherheitsbranche.
www.whiterabbitcom.ch
Magazin kostenlos abonnieren
Abonnieren Sie das topsoft Fachmagazin kostenlos. 4 x im Jahr in Ihrem Briefkasten.