Während Online-Käufer klicken, sind es Diebe, die kassieren

Von Danny Bradbury • 10. Mai 2023

Der E-Commerce boomt und damit auch die Cyberangriffe, die Einzelhändler und Kunden plagen. Da digitale E-Commerce-Transaktionen zunehmen, ist der Wettlauf um Fintech-Lösungen eröffnet, die dazu beitragen können, den Fluss von Kundendaten – und Bargeld – an Online-Angreifer einzudämmen.

Der E-Commerce explodierte während der Pandemie, als alle gezwungen waren, von zu Hause aus einzukaufen. Auch jetzt, wo der Ausnahmezustand abgeklungen ist, steigen die Online-Verkäufe weiter. Emarketer prognostiziert Ein Wachstum des weltweiten Online-Umsatzes von 4.2 Billionen US-Dollar im Jahr 2020 auf 7.4 Billionen US-Dollar im Jahr 2025. Der Anteil des E-Commerce-Umsatzes am gesamten Einzelhandelsumsatz werde ebenfalls von 17.9 % im Jahr 2020 auf 23.6 % im Jahr 2025 steigen, heißt es weiter.

Eine steigende Flut an Sicherheitsbedrohungen

Mit dem Wachstum des E-Commerce wachsen auch die Cybersicherheitsrisiken, denen er ausgesetzt ist. Impervas Sicherheitsstand im E-Commerce 2022 Umfrage hat verschiedene Online-Bedrohungen gefunden, die auf E-Commerce-Anbieter abzielen.

Eine der häufigsten Angriffsarten auf E-Commerce-Websites ist die Kontoentführung. Die Umfrage von Imperva ergab, dass Versuche, Kundenkonten zu übernehmen, 22.6 % aller Anmeldungen auf Einzelhandelsseiten ausmachten – fast doppelt so viel wie in allen Branchen. Immer mehr Online-Händler bieten BNPL-Dienste (Jetzt kaufen, später bezahlen) an, was eine weitere Betrugsmöglichkeit für Kontodiebe darstellt.

Kriminelle automatisieren ihre Angriffe auf E-Commerce-Websites häufig. Sie können Credential-Stuffing-Angriffe zur Kontoübernahme durchführen, aber auch Käufe automatisieren, um begehrte Bestände aufzusaugen, die Scalper später mit großem Gewinn verkaufen können. Dem Imperva-Bericht zufolge machen bösartige Bots knapp ein Viertel des Datenverkehrs auf E-Commerce-Websites des Einzelhandels aus.

Laut Imperva gehörten clientseitige Angriffe zu den größten Risiken für E-Commerce-Anbieter. Diese Angriffe, die durch Gruppen wie Magecart charakterisiert werden, fügen bösartiges JavaScript in kompromittierte Webseiten ein. Einzelhändler integrieren am dritthäufigsten JavaScript in ihre Websites, wobei es sich bei den meisten davon um Skripte von Drittanbietern handelt. Diese Skripte erfassen Kreditkartendaten, wenn Kunden eine Bestellung aufgeben.

Anstatt Daten zu stehlen, erschweren einige Cyberangriffe einfach den Betrieb von E-Commerce-Websites. Laut Imperva waren etwa jeder zwanzigste aller DDoS-Angriffe (Distributed Denial of Service) auf E-Commerce-Einzelhändler zurückzuführen, was im Vergleich zu 20 % im Finanzdienstleistungsbereich eine relativ geringe Zahl ist. Dennoch bereitet es den E-Commerce-Händlern immer noch Sorgen, da sie mit jeder Minute Ausfallzeit Geld verlieren.

Rechtliches

Zu diesen digitalen Risiken können wir ein weiteres Geschäftsrisiko hinzufügen: die Regulierung. Die Durchsetzung wesentlicher Cybersicherheits- und Datenschutzpraktiken im E-Commerce unterliegt einem Flickenteppich von Bundesgesetzen, die einige Cybersicherheitsschutzmaßnahmen umfassen. Auch wenn der US-Kongress noch keine eindeutige Haltung zu gezielten Gesetzen zur Durchsetzung der E-Commerce-Sicherheit eingenommen hat, gibt es Regeln, die gebrochen werden müssen.

E-Commerce-Unternehmen fallen unter den Federal Trade Commission Act (FTCA), mit dem Staatsanwälte Unternehmen bestrafen können, die ihre Cybersicherheit nicht ordnungsgemäß verwalten. E-Commerce-Unternehmen, die ihre Cybersicherheit falsch handhaben, verstoßen möglicherweise auch gegen das Children's Online Privacy Protection Act.

Es gibt auch staatliche Gesetze, die für Fintechs und in einigen Fällen auch für die Einzelhändler gelten, die ihre Dienste nutzen. Beispielsweise regeln der California Consumer Protection Act (CCPA) und sein Nachfolger, der California Privacy Rights Act, Unternehmen ab einer bestimmten Größe, die Verbraucherdaten erheben und nutzen, darunter auch E-Commerce-Anbieter. Auch Virginia und Colorado haben ihre eigenen Verbraucherdatenschutzgesetze eingeführt, da es kein entsprechendes Bundesgesetz gibt.

Auch in der Zahlungsverkehrsbranche gibt es einige eigene Vorschriften. Einer ist der PCI-Datensicherheitsstandard (PCI DSS) vom PCI Security Standards Council. Diese Spezifikation geht ausführlich auf die notwendigen Sicherheitsmaßnahmen zum Schutz der Daten von Kreditkarteninhabern ein. Die Nichteinhaltung kann zu Strafen zwischen 5,000 und 100,000 US-Dollar für jeden Monat der Nichteinhaltung führen, abhängig von der Größe des Unternehmens und dem Ausmaß des Verstoßes.

Der Rat veröffentlicht die neueste Version des Standards, 4.0, im März 2022. Sie umfasst mehr Kontrollen zum Schutz von Online-Kreditkartendaten, einschließlich der Verpflichtung zur Multi-Faction-Authentifizierung (MFA) für den Zugriff auf Karteninhaberdaten und der Verwendung gezielter Risikoanalysen, um Cybersicherheitsmaßnahmen für bestimmte Unternehmen anzupassen. Außerdem wurde die Magecart-Bedrohung mit Anleitungen zur Verwaltung von Zahlungsskripten angegangen, die Websites laden und im Browser des Verbrauchers ausführen.

Ein verstärkter Fokus auf Cybersicherheits-Fintech

Fintech ist ein Dreh- und Angelpunkt für den Sicherheitsschutz im E-Commerce-Bereich. Fintech entstand, um Finanzabläufe wie Kreditanträge und Zahlungen schneller und effizienter zu gestalten. E-Commerce-Unternehmen nutzen Fintech-Dienste, um ihre eigenen Effizienz- und Cybersicherheitsprobleme zu lösen. Fintech-Unternehmen können die Reibung bei der Beantragung eines Kredits bei einem E-Commerce-Anbieter verringern. Sie können Zahlungen rationalisieren und beschleunigen und Datenanalysen und die Suche nach Datensätzen nutzen, um Betrug zu erkennen und zu verhindern.

Der Wettlauf um die Suche nach Fintech-Lösungen, die dazu beitragen können, die Sicherheit von E-Commerce-Unternehmen und anderen Partnern zu erhöhen, ist eröffnet. KPMGs Pulse of Fintech berichten war im zweiten Halbjahr 2022 mit Fintech-Investitionen beschäftigt, die Cybersicherheit und die Einhaltung gesetzlicher Vorschriften abdeckten.

Da der E-Commerce einen zunehmenden Anteil am Einzelhandelsumsatz einnehmen wird, werden Einzelhändler an ihrer Fähigkeit gemessen, online mit Kunden zu interagieren und ihre Daten angemessen zu schützen. Kein Wunder, dass sich der Fokus auf Fintech richtet, das bei der Betrugsbekämpfung helfen und sicherstellen kann, dass nur legitime Transaktionen durchkommen.

Danny Bradbury

Danny Bradbury ist seit 1989 Printjournalist mit Schwerpunkt Technologie und seit 1994 freiberuflicher Autor. Er hat für nationale Publikationen auf beiden Seiten des Atlantiks geschrieben und Auszeichnungen für seine investigative journalistische Arbeit im Bereich Cybersicherheit gewonnen.

Lesen Sie mehr von Danny Bradbury

Internet-Sicherheit 18 December 2025

Wie man sich im Labyrinth der US-KI-Compliance zurechtfindet (Banner)

Wie man sich im US-amerikanischen KI-Regulierungsdschungel zurechtfindet

Im Bereich der Regulierung ist der Begriff „Vereinigte Staaten“ ein Widerspruch in sich. Die Gesetze der einzelnen Bundesstaaten sind alles andere als einheitlich, jede Gerichtsbarkeit hat ihre eigenen Traditionen…

Danny Bradbury

Internet-Sicherheit 20 November 2025

Was uns die Salesforce-Sicherheitslücken über gemeinsame Verantwortlichkeit lehren

Was uns die Salesforce-Sicherheitsvorfälle über gemeinsame Verantwortlichkeit lehren

2025 war kein gutes Jahr für Salesforce-Kunden. Eine dubiose kriminelle Gruppe verübte eine Reihe von Angriffen auf deren Kunden, die letztendlich …

Danny Bradbury

Internet-Sicherheit 13 November 2025

Bewertung des Kurswechsels der Trump-Regierung in der US-Cybersicherheitspolitik (Banner)

Eine Bewertung der Kursänderung der Trump-Administration in der US-Cybersicherheitspolitik

Jüngste Exekutivmaßnahmen und Umstrukturierungen von Behörden markieren einen bedeutenden Wandel in der Cybersicherheitsstrategie des Bundes und werfen Fragen zur nationalen Sicherheit auf...

Danny Bradbury