Von Thomas Hafen

"Letzte Mahnung", "Ihre Bestellung über 3.000 Euro", "Ihr Konto wurde ­gesperrt" - solch erschreckende E-Mail-Betreffzeilen sollen Online-Shopper in die Falle von Cyber-Kriminellen locken. Ihr Ziel ist immer dasselbe: Der Adressat der Mail soll auf einen in der Nachricht enthaltenen Link klicken, der ihn auf eine mehr oder weniger gut als ­Online-Shop oder Banking-Portal getarnte betrügerische Webseite leitet. Dort soll er dann seine Login-Daten eingeben, Transaktionen bestätigen oder seine Kreditkarteninformationen verraten.

Oft verstecken sich Trojaner oder andere Schadsoftware auch in den getarnten Anhängen. Diese Schadprogramme senden dann beispielsweise regelmäßig Screenshots des Bildschirms an die Verbrecher, schneiden Tastatureingaben mit oder machen den Computer zum Teil eines Botnetzes, das seinerseits für den Spam-Versand oder das Knacken von Passwörtern verwendet wird.

Der Trend zu diesen als Phishing bezeichneten Attacken ist ungebrochen. "Seit Jahren erreichen uns täglich neue Meldungen von Verbrauchern zu Phishing-Versuchen", sagt Tatjana Halm, Referatsleiterin Markt und Recht bei der Verbraucherzentrale Bayern. Waren noch bis vor wenigen Jahren exotische Zeichensätze, krude Übersetzungen und Rechtschreibfehler typische Kennzeichen solcher Betrugsversuche, muss man mittlerweile genauer hinschauen. "Phishing-Mails sind sehr viel professioneller geworden, häufig übernehmen die Kriminellen sogar direkt das Originaldesign des betroffenen Anbieters", beobachtet Christian Funk, Leiter des deutschen Forschungs- und Analyseteams beim Sicherheitsexperten Kaspersky Lab.Selbst die namentliche Ansprache ist keine Seltenheit mehr: "Oft sind Phishing-Mails heute mit vollem ­Namen adressiert, zum Teil sogar mit der richtigen Postanschrift. Das sieht natürlich gleich viel legitimer aus", sagt Funk.

Die meisten Phishing-Attacken richten sich gegen die Kunden von Banken und Zahlungsdienstleistern. Auf Platz drei der am meisten betroffenen Branchen finden sich Online-Shops. Ihr Anteil an den ­Unternehmen in Deutschland, in deren Namen Phishing-Mails verschickt wurden, betrug im ersten Halbjahr 2017 über 12 %, wie eine Erhebung von Kaspersky Lab ergab.

Aber nicht nur die Kunden von Web­shops geraten zunehmend ins Visier, auch die Shops selbst sind immer häufiger Leidtragende. "Wir hatten in diesem Jahr bereits vier solcher Vorfälle", sagt Björn Blatt, Geschäftsführer beim Hosting-Anbieter Readypartner, der rund 1.300 Online-Shops zu seinen Kunden zählt.

Um an Log­in-Daten zu gelangen, drohen Phisher zum Beispiel Marketplace-Händlern mit  der Sperrung ihre Shops, bieten Sonderkonditionen für neue Shop-Features und verbilligte Versandkontingente beim ­Logistikpartner an oder locken mit kostenfreien Verkaufsseminaren. Haben die Angreifer den Shop-Mitarbeiter so auf ­eine gefälschte Seite gelockt und sich die Zugangsdaten zum Shop verschafft, können sie Finanzdaten der Shop-Kunden ­ergaunern oder die Kundendatenbank für weitere Angriffe plündern. Im schlimmsten Fall übernehmen sie den ganzen Shop, indem sie die Zugangsdaten ändern und so den Shop-Betreiber aus seinem eigenen Shop aussperren.

Es gibt eine ganze Reihe von technischen und organisatorischen Maßnahmen, mit denen Shops sich vor solchen Angriffen schützen können. Wichtig ist beispiels­weise, Mitarbeitern nur so viele Rechte wie nötig und so wenige wie möglich einzuräumen. Ein Kundenberater benötigt beispielsweise keinen Zugang zu den Finanzdaten, ebenso wenig wie ein Controller die Kundendatenbank einsehen können muss. So lässt sich der Schaden leichter eindämmen, wenn ein Mitarbeiterzugang kompromittiert wird.

Ein wesentlicher Schritt, den Zugang zu einem Mitarbeiterkonto zu erschweren, ist die Nutzung der Zwei-Faktoren-Authentifizierung. Der Mitarbeiter benötigt dafür neben seinem Passwort einen temporär erzeugten Code, um sich anmelden zu können. Dieser wird über eine App wie beispielsweise den "Google Authenticator" auf seinem Smartphone angezeigt. "Richtig umgesetzt, erhöht die Zwei-Faktoren-Authentifizierung die Sicherheit deutlich", sagt Security-Experte Funk. Zusätzlich lässt sich ein unautorisiertes Eindringen erschweren, indem man nur ­bestimmte IP-Adressen oder Rechner für den Zugang freischaltet.

Daneben kann eine räumliche Trennung von Online-Systemen und Datenbanken zur Schadensbegrenzung beitragen. "Sensible Daten werden bei uns sofort verschlüsselt auf einem gesonderten, nicht mit dem Internet verbundenen Rechner gespeichert. Selbst unseren Kundenservice-Mitarbeiterinnen und -Mitarbeitern ist es zum Beispiel nicht möglich, Zahlungsdaten zu ändern oder einzusehen", erklärt Ralf Kleber, Countrymanager bei Amazon Deutschland.

Zum Kunden hin ist der Webshop über eine sichere SSL-basierte HTTPS-Verbindung abzusichern. Die gesamte Kommunikation - und damit auch sensible Daten wie Passwörter oder Kreditkartennummern – wird dann verschlüsselt übertragen. Das dafür notwendige Zertifikat muss von einer offiziellen, vertrauenswürdigen Zertifizierungsstelle ausgestellt sein. Deutsche Zertifizierer sind beispielsweise ­D-Trust, eine Tochter der Bundesdruckerei, oder der Telekom-Ableger Telesec. Erkennt ein Browser das verwendete Zertifikat als gültig an, wird vor der Webadresse ein grünes Symbol angezeigt. Der Nutzer kann sich damit sicher sein, dass er sich nicht auf der Seite eines Phishers befindet.

Zudem sollten die Betreiber Updates auf ihren Systemen immer zeitnah einspielen, rät Peter Meyer, Leiter Cyber Security Services beim Branchenverband Eco, "vor ­allem wenn weitverbreitete Standard-Shop-Systeme wie Magento oder andere Content-Management-Systeme im Einsatz sind".

Bei der E-Mail-Kommunikation mit dem Kunden sollten Shop-Betreiber ­immer darauf achten, sich so gut wie eben möglich als der legitime Adressat der Nachricht auszuweisen. "Eine persönliche Anrede mit Vor- und Nachname sowie die Nennung der Kundennummer sind wünschenswert", so Meyer. Je mehr eindeutige Daten etwa aus der konkreten Bestellung enthalten sind, desto sicherer kann sich der Kunde sein, nicht auf eine Phishing-Mail hereinzufallen.

Daneben helfen technische Möglichkeiten, die E-Mail-Kommunikation sicherer zu machen und seine Domain vor Missbrauch zu schützen, allen voran die Spezifikation DMARC (Domain-based Message Authentication, Reporting and Conformance). Sie kombiniert zwei Sicherheitsmechanismen (siehe Kasten), um den ­Absender einer E-Mail zuverlässig identifizieren zu können. "Shop-Betreiber sollten unbedingt auf diese Technologien setzen, denn die genannten Systeme helfen, ­Betrug, Missbrauch und Online-Kriminalität zu verhindern", sagt Meyer.

Der Einsatz von DMARC nützt allerdings wenig, solange die E-Mail-Provider keine entsprechenden Überprüfungen durchführen. Während beispielsweise Google Mail dies tut und so einen Gutteil der Phishing-E-Mails abfangen kann, bevor sie überhaupt das Postfach des Kunden erreichen, haben die großen deutschen Anbieter wie Web.de und GMX den Standard bisher nicht umgesetzt. "Aktuell gibt es noch zu viele unklare Details, was ­beispielsweise die Prüfung bei weitergeleiteten E-Mails und Datenschutz angeht", lautet die Begründung von Tino Anic, Leiter für E-Mail-Anwendungen bei GMX und Web.de.

Technische Vorkehrungen sind zwar notwendig, reichen alleine aber noch nicht aus. Das mussten auch die Kunden von Readypartner erfahren. "Zwei der vier von einem Sicherheitsvorfall betroffenen Shops haben bereits ein sehr hohes Sicherheitsniveau in ihrer internen IT", betont Geschäftsführer Blatt, "diese Shops sind ganz gezielten Angriffen auf einzelne Mitarbeiter, dem sogenannten Spear Phishing, zum Opfer gefallen." Hierbei spionieren die Angreifer etwa über soziale Medien oder Blogs das Opfer, dessen Vorlieben und Interessen aus und senden ihm gezielt E-Mails mit verseuchten Anhängen oder Links, die von Freunden, Arbeitskollegen oder gar dem Chef zu stammen scheinen.

Regelmäßige Aufklärung und Sensibilisierung aller Mitarbeiter ist deshalb sehr wichtig. Wie wichtig, hat auch Ralf Kleinfeld, Information Security Officer bei Otto, erkannt: "Auch Betrüger kennen die marktüblichen technischen Schutzfunktionen und versuchen, diese zu umgehen. Der sicherheitsbewusste Umgang mit Kommunikationsmitteln ist daher ein wichtiger Baustein der Informationssicherheit."

Diese zehn Tipps helfen, den Shop vor Phishing-Attacken zu schützen:

1. Verschlüsseln
Die Kommunikation mit dem Kunden sollte immer über eine gesicherte HTTPS-Verbindung erfolgen.

2. Authentifizieren
Online-Shops sollten die Spezifikation DMARC (Domain-based Message ­Authentication, Reporting and Conformance) für ihre E-Mail-Kommunika­tion verwenden, die einen Missbrauch von Absenderadressen durch Phishing-Versender erschwert.

3. Zwei-Faktoren-Authentifizierung
Kunden-, aber auch Mitarbeiterkonten lassen sich wesentlich schwerer kapern, wenn für den Zugang nicht nur ein Passwort, sondern zusätzlich ein auf dem Smartphone angezeigter, temporär gültiger Code notwendig ist.

4. "Salzen"
Passwörter sollten nicht nur verschlüsselt (gehasht), sondern zusätzlich um eine beliebige Zeichenfolge verlängert werden. Dieser "Salt" ­genannte Anteil erweitert das eigentliche Passwort und erhöht so den Aufwand der Dechiffrierung deutlich.

5. Sicherheitslücken überwachen
Shop-Betreiber sollten ihren Shop ­regelmäßig auf Sicherheitslücken überprüfen. Neben kommerziellen Monitoring-Systemen kann dabei auch das vom BMWi geförderte Projekt SIWECOS helfen.

6. Updates einspielen
Ältere Versionen von Shop-Systemen wie Magento oder XT-Commerce weisen häufig Sicherheitslücken auf. Sie sollten deshalb immer auf dem neuesten Stand gehalten werden.

7. Rechte einschränken
Zugangsrechte sollten abgestuft vergeben und Mitarbeitern nur der Zugriff auf Ressourcen gewährt werden, die sie für ihre Arbeit auch wirklich benötigen.

8. Mitarbeiter schulen
Über regelmäßige Trainings lassen sich Sicherheitsmaßnahmen in den Köpfen der Belegschaft verankern. Neben Präsenzveranstaltungen eignen sich auch E-Learning-Angebote.

9. Daten trennen
Sensible Daten wie Passwörter und Zahlungsdaten sollten verschlüsselt und separat auf eigenen Systemen gespeichert und nur für Transaktionen in das Live-System geladen werden.

10. Risiken begrenzen
Cyber-Versicherungen können die finanziellen Folgen eines Sicherheitsvorfalls abmildern. Vor dem Abschluss ist zudem meist ein Security Audit nötig, über das sich mögliche Schwachstellen aufdecken lassen.