Das Weihnachtsgeschäft steht vor der Tür. Viele Online-Händler erzielen in dieser Zeit einen erheblichen Anteil ihres Jahresumsatzes. Solche umsatzstarken Zeiten locken aber auch Kriminelle an: Sie legen mit massenhaften Aufrufen die Server von Online-Shops lahm, so dass diese nicht mehr für Kunden erreichbar sind. Derartige Angriffe werden DDoS-Attacken genannt. Häufiges Ziel solcher Attacken ist die Erpressung von Geld für das Unterlassen der Angriffe. Viele Online-Händler müssen sich nun wieder darauf einstellen Opfer von kriminellen Verbrecherbanden zu werden. Dies belegt die Studie „Informationssicherheit im E-Commerce 2014“ von ibi research.

Bereits 18,8 Prozent der Online-Händler wurden Opfer von Erpressungsversuchen. Darüber hinaus wurden 19,7 Prozent der Online-Shops bereits gehackt und damit in vielen Fällen zum Verteiler von Viren und Trojanern an die Kunden der Online-Shops. 19,0 Prozent der Online-Händler wurden bereits sensible Daten entwendet. Im August wurde bekannt, dass es russischen Hackern gelungen war, 1,2 Milliarden Profildaten aus unterschiedlichsten Quellen zusammenzutragen. Angesichts dieser riesigen Zahl muss von einer enormen Dunkelziffer im Bereich Datendiebstahl ausgegangen werden. Ein solcher Diebstahl ist durchaus schwer festzustellen. eBay brauchte Monate, bis auffiel, dass sämtliche Profildaten des Marktplatzes gestohlen wurden. In diesem Zusammenhang ließe sich überspitzt formuliert auch die Aussage treffen, dass immerhin 19,0 Prozent der Händler in der Lage waren, festzustellen, dass sie bestohlen wurden. Laut der Studie von ibi research wurden erschreckenderweise insgesamt fast ein Drittel aller Online-Händler Opfer von Erpressung, Hackern oder Datendiebstahl.

Solche Delikte sind aber nicht nur schädlich für die Online-Händler: Tatsächlich müssen insbesondere die Kunden der Online-Shops die Folgen tragen. Es sind deren Daten, die gestohlen wurden und deren Identitäten, die für kriminelle Machenschaften genutzt werden. Informationssicherheit und Datenschutz dienen nicht primär den Online-Händlern, sondern deren Kunden.

Dennoch handeln viele Online Händler grob fahrlässig: In nur 51,3 Prozent der von ibi research befragten Unternehmen existieren Anweisungen für die Mitarbeiter zu den Themen Informationssicherheit und Datenschutz. Nur 44 Prozent der Online-Händler schulen ihre Mitarbeiter. Zwar ist es für sich genommen unproblematisch, dass 68 Prozent der Unternehmen Cloud-Speicher-Dienste, Collaboration-Lösungen oder verschlüsselte Datenräume verwenden. Jedoch verwenden 80,4 Prozent der Unternehmen, die Cloud-Speicher-Dienste einsetzten, trotz der anhaltenden Enthüllungen um PRISM und TEMPORA, US-Anbieter. 26 Prozent der Mitarbeiter von Online-Händlern, die Cloud-Speicher-Dienste einsetzen, trennen nicht zwischen privaten und geschäftlichen Nutzerkonten.

46 Prozent der Händler speichern Zahlungsdaten selbst. Angesichts der Ausmaße, die insbesondere das Delikt Datendiebstahl angenommen hat, ist dies ein erschreckend hoher Anteil. Zahlungsdaten sind die sensibelsten Daten der Kunden. Sie gehören nur in die Hände von Händlern, die wirklich wissen, wie sie diese Daten schützen können. Dabei ist kein Händler darauf angewiesen Zahlungsdaten selbst zu speichern. Sogenannte Payment-Service-Provider können die gesamte Zahlungsabwicklung für die Händler übernehmen.

Über die Studie

Die Studie „Informationssicherheit im E-Commerce 2014“ wurde von ibi research mit Unterstützung von Brainloop erstellt. Hierfür wurden Online-Händler und deren Mitarbeiter zu den fünf Themenbereichen „Sicherheitsvorfälle“, „Stellenwert von Informationssicherheit und Datenschutz“, „Datenaustausch und Datensynchronisation“, „Gütesiegel“ und „Auswirkungen von PRISM und Tempora“ mittels einer online-gestützten Umfrage befragt. Im Ergebnis fanden nach qualitätssichernden Maßnahmen 119 beantwortete Fragebögen Eingang in die Studie. Die Studie ist kostenfrei unter http://www.ibi.de/isiec_2014 abrufbar.