GlobalSign Blog

08 Nov 2017

Wenn die Adventszeit vor der Tür steht: Auf die Plätz(e)(chen), fertig, Gefahr!

Die Blätter fangen an braun zu werden, das Laub liegt auf den Gehwegen. Die ersten Schneeflocken sind in Teilen Deutschlands schon gefallen, während Kürbisse und Äpfel auf Bauernmärkten und in Supermärkten verkauft werden. Warum also in aller Welt stören wir diese idyllischen Szenen und reden über die Weihnachtszeit und Bedrohungen der Internetsicherheit für den Einzelhandel? Weil die Herbstsaison signalisiert "Der Winter steht vor der Tür", die Weihnachtstage kommen immer näher, und wenn Sie Geschäfte machen, dann sollten Sie Ihre Internetsicherheit jetzt besser auf den aktuellen Stand bringen, und hoffen, dass es nicht zu spät ist.

Ab November steigen die Einkäufe im Einzelhandel und dauern bis zum 24. Dezember an. Für Händler ist dies oft die Zeit, in der die Gewinne hoch sind und ihre Konten schwarze Zahlen aufweisen. Die steigende Anzahl an Transaktionen haben die zunehmende Bedrohung und Ängste vor den Gefahren der Internetsicherheit mitgezogen, sowohl für Verbraucher als auch Einzelhändler.

In einem Bericht von Iovation, einem Anbieter von Geräte-Intelligenz für Authentifizierung und Betrugsprävention, zeigen die Daten, dass der Kreditkartenbetrug im Online-Handel, auch "Card-Not-Present" Betrug genannt, am letzten November Wochenende 2016, im Vergleich zum gleichen Zeitraum der vergangenen Jahre, deutlich zugenommen hat. Wie deutlich? Die Untersuchung zeigt eine 20%-ige Zunahme des Kreditkartenbetrugs im Online-Handel während des Shoppingwochenendes vor den Feiertagen 2016 im Vergleich zum gleichen Zeitraum 2015 und eine 34%-ige Zunahme des Online-Kreditkartenbetrugs 2014 bis 2016.

Die Untersuchung fand auch heraus, dass 55% aller Transaktionen im Online-Handel am letzten Novemberwochenende von einem mobilen Gerät aus getätigt wurden. Warum dieser Anstieg des Online-Kreditkartenbetrugs? Sie verweisen auf die jüngste Entwicklung, dass Verbraucher statt herkömmlicher Kredit- und Debitkarten mit Magnetstreifen nun EMV (Europay, MasterCard und Visa) Karten mit Chips benutzen. Während die neuen Chipkarten bewiesen haben, dass sie tolle Arbeit dabei leisten, 'Card present'-Betrug zu stoppen, wird es jetzt deutlich, dass sich Betrüger dem Internet zuwenden.

Die Entwicklung vom Card-present-Kartenbetrug zum Card-not-present-Betrug zeigt, dass Internetkriminelle den Schwerpunkt ihrer Betrügereien schnell verschieben können",”

sagte Scott Waddell, CTO bei Iovation.

Ähnlich wie EMV eine Hauptwaffe für In-Person-Händler wurden, sind neue Authentifizierungsansätze das Gegenmittel, um diesen neuen Trend einzudämmen."

Tipps zur Internetsicherheit für Verbraucher und Einzelhändler zur Vorbereitung auf die Weihnachtszeit

Wie können sich Verbraucher, Einzelhändler und eCommerce-Websites dieses Jahr schützen? Beginnen Sie frühzeitig und bleiben Sie wachsam. Einzelhändler sollten dafür sorgen, Mitarbeiter ständig zu schulen und zu erinnern, wie man Online-Bedrohungen erkennt und meldet. Darüber hinaus sollten Online-Händler auch die Investitionen in Firewalls für ihre Websites und Anwendungen erhöhen, da diese die Hacker stoppen, bevor sie in das Netzwerk eindringen und Zugang zu sensiblen Kundendaten erhalten. Wie der vorherige Blog besagt, gilt insbesondere für Händler, dass HTTPS mit richtig konfiguriertem SSL/TLS ein Muss ist, um die Verbindung zu Händler-Websites zu verschlüsseln und alle Kunden-Transaktionen zu sichern.

Tipps für Verbraucher

Wir stellen jedes Jahr um diese Zeit herum die gleichen fünf Kern-Tipps vor, um Verbraucher beim Start Ihrer Weihnachtseinkäufe und Bestellorgien zu unterstützen:

1. Suchen Sie nach Indikatoren einer sicheren Seite:

Seit Jahren ist eine der Kernempfehlungen für sicheres Online-Shopping, nach dem Vorhängeschloss und HTTPS in Browser-Adressleisten zu suchen, da dies anzeigt, dass eine Website SSL/TLS einsetzt - eine Verschlüsselungstechnologie, die sicherstellt, dass die an den Händler gesendeten Daten verschlüsselt werden und sicher sind. Diese Mentalität wurde durch die jüngsten UI-Änderungen in Chrome weiter verstärkt, alle SSL-gesicherten Seiten als "sicher" zu markieren.

Obwohl das Vorhängeschloss und HTTPS immer noch wichtige Indikatoren sind, nach denen man Ausschau halten sollte, ist es wichtig, zu wissen, dass diese nicht unbedingt bedeuten, dass eine Website sicher ist. Schöpfer von Phishing-Websites - betrügerische Websites, die dazu gedacht sind, Sie durch einen Trick dazu zu bringen, Ihre Login- oder Finanzdaten weiterzugeben, indem sie legitime Websites fälschen - haben damit begonnen, SSL-Zertifikate mit niedriger Sicherheit auf ihren Websites zu verwenden, um diese vertrauenswürdiger aussehen zu lassen. Infolgedessen haben viele Online-Händler auf SSL-Zertifikate mit höherer Sicherheit umgestellt, die ihren Firmennamen in der Adressleiste anzeigen, um den Besuchern zu versichern, dass ihre Sites legitim sind und die helfen, sie von Phishing-Betrügereien zu unterscheiden.

Example EV SSL

Dies alles soll Ihnen verdeutlichen, dass Sie nicht einfach einer Website automatisch vertrauen sollten, nur weil sie das Vorhängeschloss und HTTPS hat. Suchen Sie nach dem Firmennamen (wie im Screenshot oben zu sehen). Wenn dieser nicht vorhanden ist, nehmen Sie sich einen Moment Zeit, die URL genau zu prüfen und nach Anzeichen für eine Phishing Site zu suchen (z.B. überflüssige Buchstaben, kleine Rechtschreibfehler wie die Zahl 1 statt des Buchstaben l, zusätzliche Zahlen- oder Buchstabenfolgen am Ende). Wenn Sie neugierig sind, können Sie sich auch in die Zertifikatdetails vertiefen. Diese können mehr Informationen über das Unternehmen enthalten, das die Website betreibt. Wir haben hier einige Tipps dazu zusammengestellt.

2. Verwenden Sie, wenn möglich, starke, einzigartige Passwörter und Zwei-Faktor-Authentifizierung:

Versuchen Sie bei Websites, für die ein Benutzername und Passwort als Teil des Kaufvorgangs eingerichtet werden muss, andere Kombinationen zu verwenden als die, die Sie für Banking, Web-Mail und andere Konten verwenden. Wir haben hier einige Tipps für das Erstellen von starken Passwörtern zusammengestellt. Wenn die Website eine Art von Zwei-Faktor-Authentifizierung bietet (eine übliche Form ist das Senden eines Einmal-Passcodes, der per SMS geschickt wurde), sollten Sie die Ausführung in Erwägung ziehen. Dies bedeutet, auch wenn jemand an Ihren Benutzernamen/Ihr Passwort kommt, könnte er trotzdem ohne diesen zweiten Authentifizierungsmechanismus (z. B. den Passcode, der an Ihr Handy gesendet wurde) nicht auf Ihr Konto zugreifen.

Der gesunde Menschenverstand kann auch weit reichen - Wenn dort Details abgefragt werden, die Ihrer Meinung nach irrelevant für den Kauf sind, wie Angaben zu Bankkonto und Geburtsdatum, fragen Sie warum. Diese Angaben werden nicht für einen einfachen Online-Kauf benötigt.

3. Halten Sie Ausschau nach Betrügereien:

Hüten Sie sich vor unglaublichen Angeboten per E-Mail – unabhängig davon, ob Ihnen der Händler bekannt ist, der diese "anbietet". Phisher (Betrüger, die sich als bekannte Unternehmen tarnen) senden täglich Millionen von E-Mails und platzieren Tausende von Online-Anzeigen, die die besten Deals anbieten. Wenn Sie eine E-Mail erhalten oder eine Online-Werbung sehen, achten Sie darauf, die URL in der Adresszeile des Browsers zu überprüfen. Wie bereits kurz erwähnt, seien Sie besonders auf der Hut bei IP-Adressen (wie http://245.123.123.1/special-offer) und E-Mail-Adressen oder Websites mit einem bekannten Markennamen in Verbindung mit anderen Buchstaben oder Zahlen (z.B. www.globalsign-1.com).

4. Nutzen Sie eine sichere Zahlungsmethode:

Die meisten Kreditkarten bieten Käuferschutz. Nutzen Sie diesen, wo immer es möglich ist. Bankkarten und andere Zahlungsmethoden bieten in der Regel einen geringeren Schutz und der Verbraucher muss die Prozesskosten aus eigener Tasche zahlen. Wenn der Händler keine Kreditkarten akzeptiert, oder Sie keine besitzen, suchen Sie nach anderen sicheren Zahlungsmethoden wie PayPal.

5. Holen Sie sich die Details, bewahren Sie Unterlagen auf:

Achten Sie darauf, dass Sie die vollständige Adresse des Händlers kennen, vor allem, wenn sein Sitz außerhalb Ihres eigenen Landes liegt. Überprüfen Sie noch einmal die Versandkosten und Rückerstattungsbedingungen. Diese Informationen helfen Ihnen, wenn irgendwelche Probleme mit der Lieferung der gekauften Artikel auftreten.

Tipps für Online-Verkäufer

Zufälligerweise ist der Oktober in den USA National Cybersecurity Awareness Month, und das Office of Homeland Security gibt einige gute Ratschläge, die wir alle kennen sollten. Es stellt auch Toolkits und Best Practices zur Verfügung, damit wir sicher und gesichert durchkommen. Ihr “Stop.Think.Connect.” Toolkit bietet hilfreiche Ressourcen für Verbraucher und Händler, um online sicher zu bleiben. Zu den Materialien gehören fertige Internetpräsentationen, Tipp-Karten und vieles mehr. Sie finden alle Internetmaterialien im Stop.Think.Connect. Toolkit hier.

Andere Erwägungen für kleinere Händler, egal ob sie online oder herkömmlich Geschäfte machen, werden im Smallbiztrends Report “The 7 Top Retail Risk Factors Your Small Business Faces” vorgeschlagen. Die erste Gefahr ist die Wirtschaft selbst als bedeutendster Risikofaktor, und Sicherheitsverletzungen stehen an zweiter Stelle. "Da große Händler jeden Tag von Sicherheitsverletzungen betroffen sind, haben kleine Händler auch Grund zur Sorge. Sichern Sie Ihr Filialnetz und beschränken Sie den Zugang zu sensiblen Daten nur auf diejenigen Mitarbeiter, die sie benötigen. Wenn Sie kostenloses WLAN in Ihrem Geschäft anbieten (was Sie sollten), richten Sie ein eigenes Gastnetz für Ihre Kunden ein. Diese FTC Website bietet Tipps und Ressourcen für Internetsicherheit." Andere Risikofaktoren, die Händler betreffen, finden Sie im 2017 BDO Retail RiskFactor Report.

BDO Retail Riskfactor Report

(Quelle: BDO)

Wie Sie bereit sind … Nutzen Sie PKI

Was alle Händler, eCommerce-Site-Manager, Etailers und Einzelhandelsdienstleister tun sollten, ist eine Internet-Risikobewertung auf Fundamentebene, nämlich auf dem PKI-Fundament, durchzuführen. Ihr Unternehmen birgt viele verschiedene digitale Risikofaktoren, die alle berücksichtigt werden müssen, wie z.B.:

  • Sicherung von Websites mit SSL/TLS Zertifikaten - Sichern Sie Ihre internen und öffentlichen Netzwerke mit der richtigen Art von SSL-Zertifikaten, die Sie für Ihr Online-Handelsgeschäft benötigen, wie z.B. OV, EV, Wildcard und Multi-Domain, mit der Option, Subject Alternative Names (SANs) hinzuzufügen.
  • Digitale Signaturen für Forderungen/Fakturierung/Versand - Digitale Signaturen ersetzen handgeschriebene Unterschriften und ermöglichen elektronische Workflows mit digitalen Signaturen für PDF- und Microsoft Office-Dokumente.
  • Sichere E-Mail für eingehende/ausgehende Kommunikation mit Lieferanten & Kunden - Verschlüsseln Sie sensible interne und externe Kommunikation und reduzieren Sie Phishing-Bedrohungen mit S/MIME. Das digitale Signieren einer E-Mail weist die Urheberschaft nach und verhindert Manipulationen. Damit wird dem Empfänger der E-Mail versichert, dass die E-Mail von Ihnen und nicht einem Betrüger stammt und dass der Inhalt der E-Mail bei der Übermittlung nicht verändert wurde. Das Verschlüsseln einer E-Mail gewährleistet den Datenschutz der Nachricht und verhindert, dass sensible Daten in die falschen Hände geraten.
  • Interne Benutzerauthentifizierung - Ersetzen Sie Passwörter durch kostengünstige und benutzerfreundliche zertifikatbasierte Authentifizierung.
  • Interne Rechnerauthentifizierung - Sorgen Sie dafür, dass nur zugelassene Rechner und Geräte Zugang zu Ihren Unternehmensnetzwerken und -ressourcen haben.
  • Authentifizierung von Mitarbeiter-Mobilgeräten - Bei Mitarbeitern, die unterwegs tätig sind, können digitale Zertifikate auf mobilen Geräten zur E-Mail-Verschlüsselung und -Signierung und zur Authentifizierung gegenüber E-Mail, VPNs und WLAN eingesetzt werden.

Wenn diese fundamentalen PKI-Sicherungsmaßnahmen fest etabliert sind, sollte jedes Handelsunternehmen, das im Internet Geschäfte macht, auf dem Weg zu einer sicheren Weihnachts-Internetsaison sein. Benötigen Sie Ratschläge, wie Sie Ihr PKI-Fundament überarbeiten? Kontaktieren Sie das GlobalSign-Team – wir freuen uns darauf, Ihr Problem zu besprechen und Ihnen einige Lösungen anzubieten.

von Lea Toms

Artikel teilen

Jetzt Blog abonnieren