Um ein optimales Surferlebnis zu gewährleisten, aktivieren Sie bitte JavaScript in Ihrem Webbrowser. Ohne JavaScript sind viele Website-Funktionen nicht verfügbar.


Internet Security Center
Gesamtzahl der Tests:
Diese Woche:
Heute:

Was Sie über
E-Commerce-Sicherheit wissen müssen

Lesezeit:7 Min.

Wie können moderne E-Commerce- und Online-Unternehmen durch die Implementierung einer gut durchdachten Cybersicherheit, Datenschutz und Privatsphäre kostspielige Datenverletzungen effizient verhindern und harte rechtliche Sanktionen vermeiden? Lassen Sie uns neue digitale Risiken und Anti-Hacking-Strategien untersuchen.

E-Commerce-Sicherheit und Datenpannen

Heutzutage sind praktisch alle Branchen mit einem rasant wachsenden Internet-Auftritt vertreten und bieten ihren Kunden und Partnern einen sofortigen Service rund um die Uhr, agilen Arbeitsablauf und einfache Online-Zahlungen. Die wachsende Zahl von Unternehmen, die in den aufstrebenden Bereich des E-Commerce einsteigen, reicht von traditionellen und konservativen Unternehmen bis hin zu hochgradig disruptiven Start-ups, die KI und Blockchain meistern.

Cybersicherheit, digitale Transformation, E-Commerce

Zu den beliebtesten Marktsegmenten, die Online-Geschäfte aufbauen und auf E-Commerce umsteigen, gehören:

  • Buchhaltung
  • Einzelhandel und Lebensmittelgeschäfte
  • Online- und mobile Zahlungen
  • Gesundheitsdienstleister und Telemedizin
  • Versicherungs- und Maklerunternehmen
  • restaurants and food delivery
  • Reise- und Hotelbuchungen
  • Taxi und Carsharing
  • Medien und Spiele
  • Rechtsdienstleistungen
  • Öffentlicher Sektor
  • Immobilien

Sie alle sind mit einem breiten Spektrum recht unterschiedlicher Cyberrisiken und digitaler Bedrohungen konfrontiert, haben jedoch eines gemeinsam: Sie sind ein äußerst attraktives Ziel für immer zahlreicher werdende Gruppen raffinierter Cyberkrimineller. Je stärker Organisationen im Internet präsent sind, desto größer ist ihre external attack surface, was zusätzliche Angriffsvektoren und Hacking-Techniken gegen die Organisation ermöglicht.

Möchten Sie ein tiefgreifendes Verständnis aller modernen Aspekte der Cybersicherheit der digitalen Transformation für Online-Geschäfte und E-Commerce erlangen? Lesen Sie diesen Artikel aufmerksam durch und bookmaren Sie es, um später darauf zurückzukommen. Wir aktualisieren diese Seite regelmäßig.

Die meisten Opfer, die im E-Commerce und Online-Geschäft tätig sind, nehmen diese Risiken jedoch nicht wahr oder unterschätzen sie weitgehend, da sie offenbar glauben, dass Größe oder Art ihres Unternehmens sie für erfahrene Hacker unattraktiv macht und ihnen eine digitale Immunität verleiht. Bedauerlicherweise ist diese weit verbreitete Überzeugung tödlich falsch und hat bereits viele vielversprechende Unternehmen aus ihrem Geschäft gedrängt oder im besten Fall jahrelange Rentabilität zunichte gemacht.

Häufig vermeiden gewiefte Cyberkriminelle es, ihre Opfer direkt anzugreifen, sondern richten ihren Angriff stattdessen auf Partner und andere vertrauenswürdige Dritte des gewünschten Opfers, die privilegierten Zugang zu den Dokumenten oder Daten haben, die die Angreifer verfolgen. Je mehr Kunden von bedeutender Größe Sie haben, desto größer ist die Wahrscheinlichkeit, dass professionelle Hacker Sie als Ziel auswählen.

88 % der Unternehmen gaben mehr als 1 Million USD für die Vorbereitung auf die DSGVO aus.

von Unternehmen gaben mehr als 1 Million USD für die Vorbereitung auf die GDPR aus.

CSO
200 % Wachstum der Cybersicherheitsausgaben pro Mitarbeiter in den letzten fünf Jahren

Wachstum der
Cybersicherheitsausgaben pro Mitarbeiter
in den letzten fünf Jahren

Gartner
Im vergangenen Jahr kam es zu einem Anstieg gezielter Angriffe auf Lieferanten um 78 %.

Im letzten Jahr kam es zu einem Anstieg gezielter Angriffe auf Lieferanten.

Symantec

Erfahrene Cyberkriminelle greifen große Organisationen oder Unternehmen fast niemals frontal an, sondern konzentrieren sich stattdessen auf deren Lieferanten und Dienstleister, darunter IT-Anbieter, Wirtschaftsprüfer oder Anwaltskanzleien. Angesichts einer vergleichsweise schwächeren Cyberabwehr und oft unzureichender Sicherheitskontrollen reduziert dieser indirekte Ansatz die Kosten und Komplexität eines Eindringens erheblich, erschwert die Erkennung und Untersuchung von Vorfällen stark und befreit die Angreifer klugerweise davon, von Strafverfolgungsbehörden entdeckt und verfolgt zu werden. Manchmal verfügen kleinere Opfer, selbst wenn ein Einbruch später entdeckt wird, nicht über die finanziellen Mittel, um ihn angemessen zu untersuchen oder sonstwie darauf zu reagieren. Die Angreifer erhalten hingegen genau das, was sie suchen, ohne das primäre Ziel direkt zu hacken. Daher stehen Unternehmen jeder Größe und aus allen Branchen unweigerlich im Fokus skrupelloser Cyberkrimineller.

Darüber hinaus fallen unvorsichtige KMU fast zwangsläufig gut organisierten Cyber-Banden zum Opfer, die sich auf groß angelegte und wenig komplexe Hacking-Kampagnen konzentrieren. Dazu gehört die automatisierte Ausnutzung öffentlich bekannter Schwachstellen in veralteter WordPress- oder Magento-Websoftware. Cyber-Gangster überwachen das Internet kontinuierlich mit Shodan oder speziellen Google-Dorks und suchen nach exponierten und anfälligen Anwendungen, Servern und Websites. Sobald ein anfälliges Ziel entdeckt wird, wird es automatisch gehackt, mit einer Hintertür versehen und sogar gepatcht, um zu verhindern, dass rivalisierende Banden später eindringen können. Sobald die Angreifer einige hundert mit Trojanern infizierte Systeme oder Websites gesammelt haben, verkaufen sie diese als Paket auf Dark Web Marktplätzen für nur 1 bis 10 US-Dollar pro kompromittiertem System. Anschließend werden die Systeme dazu verwendet, Spam zu versenden, Pornografie zu hosten, DDoS-Angriffe durchzuführen oder sogar raffinierte Angriffe auf Regierungssysteme zu starten, wobei die wahre Identität der Angreifer perfide verschleiert wird. Später können ahnungslose KMU von Strafverfolgungsbehörden durchsucht und sogar wegen illegaler Hackerangriffe oder Diebstahls geistigen Eigentums mit einer ganzen Reihe von Strafanzeigen konfrontiert werden.

Demo anfordern

E-Commerce-Compliance und Datenschutzbestimmungen

E-Commerce-Konformität

Unternehmen jeder Größe müssen die geltenden Datenschutzgesetze und Datenschutzbestimmungen im E-Commerce, im Online-Geschäft und im digitalen Raum einhalten. Die EU-GDPR ist vielleicht die bekannteste, da sie bei Nichteinhaltung hohe Geldstrafen vorsieht, die bis zu 4 % des Jahresumsatzes oder 20 Millionen Euro betragen können, je nachdem, welcher Betrag höher ist. Dieses europäische Gesetz, das 2016 verabschiedet wurde und seit 2018 vollständig in Kraft ist, gilt für alle Unternehmen, die Personally Identifiable Information (PII) von europäischen Bürgern verarbeiten oder speichern. Selbst ein geringfügiger Verstoß kann eine Beschwerde bei einer Datenschutzbehörde, eine Untersuchung und eine Strafe nach sich ziehen. Vor kurzem hat der Bundesstaat Kalifornien ein ähnliches Gesetz CCPA verabschiedet, das den Schutz der PII der Kalifornier zum Ziel hat.

Alle Unternehmen, die Kreditkartentransaktionen verarbeiten, unabhängig vom Umfang dieser Transaktionen, sind verpflichtet, die PCI DSS einzuhalten, unter Androhung von Geldstrafen und sofortiger Suspendierung der Genehmigung zur Verarbeitung jeglicher Kreditkartentransaktionen, wie etwa Visa, Mastercard oder American Express.

Dies sind nur einige wenige Gesetze und Vorschriften, die angesichts der zunehmenden Komplexität der heutigen Compliance-Landschaft genannt werden. Darüber hinaus sehen sich weltweit eine beispiellos hohe Zahl von Unternehmen mit einer steigenden Anzahl von Anfragen ihrer Kunden konfrontiert, einen überzeugenden Nachweis über relevante Datenschutzprozesse wie die ISO 27001-Zertifizierung oder den PCI DSS SAQ (Self-Assessment Questionnaire) zu erbringen.

Eine einzige XSS- oder SQL-Injection-Sicherheitslücke auf einer vergessenen Subdomain oder ein versehentlich offengelegter Cloud-Speicher in Amazon’s öffentlicher Cloud kann zu einer katastrophalen Datenverletzung und in der Folge zu Geschäftsverlusten, Geldstrafen durch Aufsichtsbehörden sowie Zivilklagen von Kunden führen, deren Daten kompromittiert wurden. Schlimmer noch: Wenn technische Untersuchungen und Forensik durch Behörden eine schwerwiegende Nichteinhaltung aufgrund von Fahrlässigkeit oder vorsätzlicher Ignoranz (z. B. Versäumnis, regelmäßige Application Penetration Testing für geschäftskritische Systeme durchzuführen) aufdecken, werden europäische und amerikanische Gerichte bei der Verhängung von Geldstrafen und damit einhergehenden zivilrechtlichen Sanktionen vermutlich keine Nachsicht walten lassen.

Demo anfordern

Sicherheitsrisiken im E-Commerce

Sicherheitsrisiken im E-Commerce

Phishing-, Ransomware- und Magecart-Angriffe auf E-Commerce- und Online-Unternehmen sorgen jeden Morgen für gruselige Schlagzeilen. Sie reichen von vergleichsweise unbedeutenden Datenlecks, die einige Tausend Personen betreffen, bis hin zu Hunderten von Millionen gehackter Konten mit sensiblen oder Zahlungsdaten.

Die häufigsten Sicherheits- und Datenschutzprobleme sind in der Regel auf eine unvollständige oder veraltete Sichtbarkeit der IT-Ressourcen und Datenspeicher eines Unternehmens zurückzuführen. Nur wenige Unternehmen führen ein umfassendes Inventar ihrer internetbasierten Ressourcen wie Websites, APIs, Netzwerkdienste oder öffentliche Cloud-Speicher auf Microsoft Azure oder Google Cloud. Infolgedessen bleiben diese Systeme ungewartet, und sobald eine neue Sicherheitslücke bekannt wird, werden sie zu einer weit geöffneten Tür zu den Unternehmenskronjuwelen.

Das zweite häufige Problem ist veraltete Software, die von Cyberkriminellen geschickt ausgenutzt wird, um in lokale Netzwerke, Datenbanken und Dateiserver einzudringen. Selbst ein einziges veraltetes Web-CMS kann ausgenutzt werden, um den Webserver und möglicherweise das gesamte Netzwerk, das Unternehmens-CRM und das ERP zu kompromittieren.

Drittens: Das drittwichtigste Problem gehört ebenfalls zu den am schwierigsten zu behebenden: menschliches Versagen, das durch allgegenwärtige Vergesslichkeit und Nachlässigkeit verschärft wird. Softwareentwickler können versehentlich sensible Quellcodes mit hardkodierten Anmeldedaten und Passwörtern auf GitHub veröffentlichen, ein Netzwerktechniker kann vergessen, die Zugriffsberechtigungen für einen AWS S3-Bucket mit vertraulichen Informationen korrekt zu konfigurieren, oder ein C-Level-Manager kann die Unternehmenspasswortrichtlinie missachten und dasselbe Passwort für seine persönlichen Konten verwenden. Aufmerksame Angreifer übersehen solche unsichtbaren Zeitbomben selten und verwandeln sie systematisch in wertvolle Beute.

Demo anfordern

Sicherheitscheckliste für E-Commerce

E-Commerce-Checkliste

Um Opfer von Cyberkriminellen zu vermeiden, empfehlen wir Ihnen, die folgenden 5 Schritte zu unternehmen:

  1. Überprüfen Sie den Zugriff auf Ihre Daten
    Überprüfen Sie, wer Zugriff auf Ihre Daten hat, einschließlich Ihrer Mitarbeiter und vertrauenswürdiger Dritter. Stellen Sie sicher, dass der Zugriff auf Ihre Daten streng nur denjenigen gewährt wird, die ihn im Rahmen ihrer beruflichen Aufgaben, die durch eine durchsetzbare NDA abgedeckt sind, tatsächlich benötigen, und nur im erforderlichen Umfang für die ordnungsgemäße Erfüllung dieser Aufgaben.
  2. Stellen Sie die Sichtbarkeit Ihrer IT-Assets sicher.
    Stellen Sie sicher, dass Sie über eine ganzheitliche, aktuelle und umfassende Bestandsaufnahme Ihrer Websites, Domainnamen, Cloud-Speicher, APIs und aller anderen Systeme oder Anwendungen verfügen, die über das Internet zugänglich sind. Führen Sie eine umfassende Bestandsaufnahme der dort verwendeten kommerziellen und Open-Source-Software (OSS) durch, um angemessen auf neu gemeldete Schwachstellen reagieren zu können.
  3. Implementieren Sie ein Patch-Management-Programm.
    Stellen Sie sicher, dass Ihre IT-Anbieter und Dienstleister in der Lage sind, schnell auf neu entdeckte Schwachstellen zu reagieren, die Ihr internes Netzwerk, Ihre Heimcomputer, Mobilgeräte und extern exponierte Infrastruktur betreffen. Zögern Sie nicht, nachzufragen, wie häufig sie die Aktualität der Software überwachen, und ob sie eine messbare SLA (Service Level Agreement) bieten, die klar festlegt, wie oft und wie schnell sie auf neu gemeldete Sicherheitslücken reagieren, die Ihr Online-Geschäft betreffen.
  4. Sichern Sie Ihre Web- und Mobilanwendungen
    Anfällige oder ungeschützte Anwendungen sind der häufigste Angriffsvektor im Jahr 2020. Überprüfen Sie, wie zuverlässig und widerstandsfähig Ihre Anwendungen sind, beispielsweise mit unserem kostenlosen Website-Sicherheitstest oder dem kostenlosen Sicherheits-Test für mobile Apps. Eine einzige Web-Sicherheitslücke kann Ihre bisherigen Datenschutzbemühungen zunichte machen und Angreifern Zugang zu Ihrem Netzwerk verschaffen.
  5. Behalten Sie Phishing und Squatting im Auge.
    Skrupellose Konkurrenten können noch mehr Probleme verursachen als Cyberkriminelle, wenn sie Ihre Kunden über cybersquattede und typosquattede Domainnamen abwerben. Noch mehr Schaden entsteht durch gefälschte Konten in sozialen Netzwerken, die versuchen, Ihre Kundschaft zu betrügen. Bei ImmuniWeb bieten wir einen kostenlosen Online-Test zur Erkennung von Phishing und Squatting im Internet an.

Weitere Ressourcen

  • Erfahren Sie mehr über KI-gestütztes Angriffsflächenmanagement mit ImmuniWeb® Discovery.
  • Erfahren Sie mehr über KI-gestützte Penetrationstests für Anwendungen mit ImmuniWeb.
  • Erfahren Sie mehr über die Möglichkeiten des ImmuniWeb Partner Programms.
  • Folgen Sie uns auf LinkedIn, X, Telegram und WhatsApp
Free Demo Auf Twitter teilen Auf LinkedIn teilen

Schützen Sie Ihr Unternehmen
vor Cyberkriminellen

Bitte füllen Sie die unten rot markierten Felder aus.

Holen Sie sich Ihre kostenlose Demo
von ImmuniWeb® AI Platform

  • Erhalten Sie Ihre kostenlose Cyber-Risikobewertung
  • Starten Sie eine kostenlose Testversion der ImmuniWeb-Produkte
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
  • Keine Verpflichtungen
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.

Diese Website verwendet Cookies, um Ihnen ein besseres Surferlebnis zu bieten. Weitere Informationen finden Sie in unserer Datenschutzerklärung. Durch die weitere Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu.

Sprechen Sie mit einem Experten