Neben der Technik die Menschen im Blick behalten

Zum Kunden hin ist der Webshop über eine sichere SSL-basierte HTTPS-Verbindung abzusichern. Die gesamte Kommunikation - und damit auch sensible Daten wie Passwörter oder Kreditkartennummern – wird dann verschlüsselt übertragen. Das dafür notwendige Zertifikat muss von einer offiziellen, vertrauenswürdigen Zertifizierungsstelle ausgestellt sein. Deutsche Zertifizierer sind beispielsweise ­D-Trust, eine Tochter der Bundesdruckerei, oder der Telekom-Ableger Telesec. Erkennt ein Browser das verwendete Zertifikat als gültig an, wird vor der Webadresse ein grünes Symbol angezeigt. Der Nutzer kann sich damit sicher sein, dass er sich nicht auf der Seite eines Phishers befindet.

Zudem sollten die Betreiber Updates auf ihren Systemen immer zeitnah einspielen, rät Peter Meyer, Leiter Cyber Security Services beim Branchenverband Eco, "vor ­allem wenn weitverbreitete Standard-Shop-Systeme wie Magento oder andere Content-Management-Systeme im Einsatz sind".

Bei der E-Mail-Kommunikation mit dem Kunden sollten Shop-Betreiber ­immer darauf achten, sich so gut wie eben möglich als der legitime Adressat der Nachricht auszuweisen. "Eine persönliche Anrede mit Vor- und Nachname sowie die Nennung der Kundennummer sind wünschenswert", so Meyer. Je mehr eindeutige Daten etwa aus der konkreten Bestellung enthalten sind, desto sicherer kann sich der Kunde sein, nicht auf eine Phishing-Mail hereinzufallen.

Daneben helfen technische Möglichkeiten, die E-Mail-Kommunikation sicherer zu machen und seine Domain vor Missbrauch zu schützen, allen voran die Spezifikation DMARC (Domain-based Message Authentication, Reporting and Conformance). Sie kombiniert zwei Sicherheitsmechanismen (siehe Kasten), um den ­Absender einer E-Mail zuverlässig identifizieren zu können. "Shop-Betreiber sollten unbedingt auf diese Technologien setzen, denn die genannten Systeme helfen, ­Betrug, Missbrauch und Online-Kriminalität zu verhindern", sagt Meyer.

Der Einsatz von DMARC nützt allerdings wenig, solange die E-Mail-Provider keine entsprechenden Überprüfungen durchführen. Während beispielsweise Google Mail dies tut und so einen Gutteil der Phishing-E-Mails abfangen kann, bevor sie überhaupt das Postfach des Kunden erreichen, haben die großen deutschen Anbieter wie Web.de und GMX den Standard bisher nicht umgesetzt. "Aktuell gibt es noch zu viele unklare Details, was ­beispielsweise die Prüfung bei weitergeleiteten E-Mails und Datenschutz angeht", lautet die Begründung von Tino Anic, Leiter für E-Mail-Anwendungen bei GMX und Web.de.

Technische Vorkehrungen sind zwar notwendig, reichen alleine aber noch nicht aus. Das mussten auch die Kunden von Readypartner erfahren. "Zwei der vier von einem Sicherheitsvorfall betroffenen Shops haben bereits ein sehr hohes Sicherheitsniveau in ihrer internen IT", betont Geschäftsführer Blatt, "diese Shops sind ganz gezielten Angriffen auf einzelne Mitarbeiter, dem sogenannten Spear Phishing, zum Opfer gefallen." Hierbei spionieren die Angreifer etwa über soziale Medien oder Blogs das Opfer, dessen Vorlieben und Interessen aus und senden ihm gezielt E-Mails mit verseuchten Anhängen oder Links, die von Freunden, Arbeitskollegen oder gar dem Chef zu stammen scheinen.

Regelmäßige Aufklärung und Sensibilisierung aller Mitarbeiter ist deshalb sehr wichtig. Wie wichtig, hat auch Ralf Kleinfeld, Information Security Officer bei Otto, erkannt: "Auch Betrüger kennen die marktüblichen technischen Schutzfunktionen und versuchen, diese zu umgehen. Der sicherheitsbewusste Umgang mit Kommunikationsmitteln ist daher ein wichtiger Baustein der Informationssicherheit."