Selbstverteidigung gegen Hacker – das müssen Online-Händler tun

Hacker können bei Online-Händlern enormen Schaden anrichten. Dieses absolute Worst-Case-Szenario wünscht man selbst seinen ärgsten Feinden nicht, und ist es nicht einmal weit hergeholt. Zudem folgt möglicherweise auf den durch einen Cyberangriff entstandenden Schlamassel sogar noch eine Abmahnung oder ein Bußgeld.

In der polizeilichen Kriminalstatistik aus dem Jahr 2019 wurden insgesamt 9.040 Fälle des Ausspähens von Daten nach § 202a StGB erfasst, so Polizeidirektor Joachim Schneider, Geschäftsführer der Polizeilichen Kriminalprävention der Länder und des Bundes auf unsere Nachfrage. Allerdings, so der Polizeidirektor weiter, würden in dieser Kriminalstatistik nur die Fälle erfasst, die der Polizei bekannt sind. Die tatsächliche Zahl von Hackerangriffen sei vermutlich höher, da viele Opfer einen solchen Angriff nicht bei der Polizei anzeigen. Viele Fehler werden fahrlässig verursacht und können leicht vermieden werden. Daher zeigen wir in diesem Beitrag auf, was Händler zur Prävention tun können. Für den Fall, dass das Kind jedoch schon in den Brunnen gefallen ist, haben wir zudem Ratschläge und Tipps gesammelt. Nun heißt es: Ärmel hochkrempeln.

Prävention

Better safe than sorry

Über Schreckensmeldungen zu Hackerattacken haben wir auf unserem Informationsportal schon zu Hauf berichtet. Dabei sind manchmal nur wenige oder gar ein Einzelner betroffen. Es kommt jedoch auch vor, dass die komplette Händlerschaft oder eine Plattform Zielscheibe eines Cyberangriffs war. „Mich wird es schon nicht treffen!“ Das denken sich offenbar viele Unternehmen in Deutschland, wenn es um Computerkriminalität geht. Dabei sehen die Zahlen, wie eingangs erwähnt, ganz anders aus.

Auch eine Umfrage aus dem Jahr 2019 zeigt, dass 39 Prozent der Unternehmen schon einmal Opfer von Hackerangriffen und Ähnlichem geworden sind. Nur 28 Prozent der betroffenen Unternehmen geben an, dass sie Angriffe erfolgreich abwehren konnten. Dieser Wert könnte höher liegen, wenn die Unternehmen mehr in die Prävention investieren würden. Passenderweise geben 90 Prozent der Befragten an, dass sie Unachtsamkeit als einen Faktor betrachten, der die Internetkriminalität besonders begünstigt. Aber auch eine mangelnde Sicherheitskultur und unzureichend geschultes Personal sind wichtige Faktoren.

Wir haben daher die gefragt, die es wissen müssen: Die Polizeilichen Kriminalprävention der Länder und des Bundes. Diese technischen Empfehlungen und Verhaltenstipps werden gegeben, um sich vor Hacking und Schadsoftware zu schützen:

1. Grundsätzlich auf die Sicherheit bei allen Anwendungen im Internet achten, z. B. stets die aktuellste Version des Betriebssystems und aller installierten Programme verwenden sowie immer zeitnah alle verfügbaren Updates installieren. Eine Firewall und ein Virenschutz-Programm sind für einen PC unerlässlich, wenn Sie damit im Internet surfen.

2. Sichere Passwörter wählen: Ein sicheres Passwort ist mindestens zwölf Zeichen lang. Es sollte aus Groß- und Kleinbuchstaben in Kombination mit Zahlen und Sonderzeichen bestehen und auf den ersten Blick sinnlos zusammengesetzt sein. Ausnahme: Bei WPA2, dem empfohlenen Verschlüsselungsverfahren für WLAN, sollte das Passwort mindestens 20 Zeichen lang sein. Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten usw. 

3. Nie dasselbe Passwort für mehrere Anwendungen verwenden – das gilt insbesondere auch für Dienste im Internet – und ändern Sie das Passwort in regelmäßigen Abständen. 

4. Bewahren Sie Ihre Passwörter sicher und getrennt von Ihrem PC auf und geben Sie Ihre Passwörter nicht an Dritte weiter.

5. Achten Sie bei der Eingabe persönlicher Daten im Internet grundsätzlich darauf, dass Sie diese bei verschlüsselten, sicheren Verbindungen (erkennbar an dem Kürzel „https" in der Browserleiste) tätigen.

6. Öffnen Sie niemals ungeprüft Dateianhänge und überlegen Sie genau, welchem Link Sie in einer Meldung Ihres sozialen Netzwerks folgen.  

7. Schränken Sie die Rechte von PC-Mitbenutzern ein. Richten Sie für jeden Nutzer eines Rechners ein eigenes Benutzerkonto ein und surfen Sie nicht mit Administrator-Rechten im Internet. Dann können nur Sie Veränderungen an den Sicherheitseinstellungen des Betriebssystems vornehmen oder Software installieren. Weitere Tipps gibt es auch im Sicherheitskompass der Polizeilichen Kriminalprävention der Länder und des Bundes. 

Besondere Präventionsmaßnahmen für Online-Händler

Vor allem Ransomware, also Schadprogramme wie WannaCry und NotPetya, mit denen Angreifer die Daten von Unternehmen verschlüsseln und die Daten erst gegen Lösegeld wieder freigeben, seien ein wachsendes Problem. Für Online-Händler steht ab diesem Zeitpunkt der Laden still, denn ohne den Zugriff auf Accounts und Shopsoftware geht nichts mehr. Speziell für Online-Shop-Betreiber empfiehlt die Polizeiliche Kriminalprävention der Länder und des Bundes auf unsere Nachfrage hin folgende Punkte für einen sichern Shop und zufriedene Kunden:

1. Ergänzen Sie Ihr Waren- und Dienstleistungsangebot um Sicherheitstipps für Ihre Kunden und Geschäftspartner.
2. Software-Hersteller sollten ihre Programme vor Marktauslieferung ausgiebig auf Sicherheitslücken testen und mit optimalen Sicherheitsvoreinstellungen versehen. Außerdem empfiehlt es sich, den Sicherheitsaspekt in der Bedienungsanleitung besonders hervorzuheben und Einstellungen verständlich und benutzerfreundlich zu dokumentieren.
3. Achten Sie auf technische Sicherheit. Ermöglichen Sie eine sichere Datenübertragung.
4. Treten Sie einer Gütesiegel-Gemeinschaft bei (geprüfter Online-Shop mit „Geld zurück“-Garantie).
5. Lassen Sie das Zahlungsverhalten eines Neukunden durch Einsatz von Scoringsysteme (z. B. SCHUFA) beurteilen.
6. Achten Sie auf Bestellungen, die nicht in den normalen Bestellablauf passen (bspw. „30 Satellitenschüsseln nach Weissrussland“).
7. Beliefern Sie Kunden bei einer Erstbestellung nur per Nachnahme – bieten Sie erst bei weiteren Bestellungen andere Zahlungsarten an.
8. Erfassen Sie elektronisch die genaue Bezeichnung inkl. Seriennummern der gelieferten Ware sowie das genaue Gewicht des Pakets und die Identität des Packers.
9. Überprüfen Sie regelmäßig unternehmensintern den Bestellvorgang auf der Basis festgestellter Betrugsfälle.

Einen weiteren ausführlichen Beitrag zur Sicherheit speziell für Online-Händler haben wir bereits veröffentlicht: How to: IT-Sicherheit für Betreiber von Online-Shops

Ebay: Hinweise werden „nicht immer berücksichtigt“

Ein Online-Marktplatz wie Ebay ist natürlich noch einmal mehr Angriffsfläche für Attacken jeglicher Art. Den letzten großen Super-Gau mit monatelangen Turbulenzen erlebte Ebay zwar schon vor vielen Jahren (2014). Insgesamt kämen Betrugsfälle auf Ebay – gemessen an der Gesamtzahl der NutzerInnen und der Vielzahl der Transaktionen – sehr selten vor, teilte uns Ebay mit. Konkrete Zahlen liegen in diesem Zusammenhang aber nicht vor, da dies letztendlich die Zuständigkeit der Ermittlungsbehörden sei, so Ebay weiter.

Die Möglichkeiten der Angriffsvarianten sind dabei nichtsdestotrotz vielfältig. Auch die Ursachen können an der Plattform oder an einem fahrlässigen Verhalten der Händler selbst liegen. „Zu einer unberechtigten Übernahme von eBay-Mitgliedskonten kann es zum Beispiel kommen, wenn Mitglieder sehr einfache oder kurze Passwörter wählen. Besonders an einem fremden Computer, wie zum Beispiel in einem Internet-Café ist es notwendig, die Funktion „ausloggen“ zu nutzen, um einen unberechtigten Zugriff durch Dritte zu vermeiden“, rät Ebay. „Wir weisen unsere Mitglieder außerdem darauf hin, sogenannte Spoof- bzw. Phishing Mails zu ignorieren.“

Aus diesem Grund liege die Einleitung von Sicherheitsmaßnahmen nur bedingt in der Hand der Plattform. Jeder Ebay-Händler sei für die Sicherheit seines Kontos verantwortlich. „Sollten VerkäuferInnen oder KäuferInnen – mit Sicherheit ungewollt – ihr Passwort Dritten zugänglich machen und Betrüger dann mit Hilfe des eBay-Nutzernamens und des richtigen Passwortes Artikel einstellen, erhalten wir nur sehr verzögert davon Kenntnis.“

Accountinhaber bei Ebay erhalten automatisch eine Mitteilung bei der Änderung wichtiger Kontoinformationen, z. B. bei der Änderung von Passwörtern, E-Mail-Adressen und der Bankdaten für den Zahlungsempfang. Diese Mitteilungen werden an die registrierte E-Mail-Adresse gesandt und im „Mein eBay“-Bereich in den Nachrichten bereitgestellt. Jede dieser Benachrichtigungen enthält den Hinweis, sich an Ebay zu wenden, sollten Änderungen nicht selbst vorgenommen worden sein.

Schon jegliche Vermutung eines Missbrauchs auf dem Marktplatz sollte Ebay unverzüglich mitgeteilt werden. Das allein deshalb, da eventuell ein Sicherheitsleck besteht, was den ganzen Marktplatz betreffen könnte. Die Plattform wird auch ein eigenes Interesse an der Meldung haben, da sowohl andere Händler bedroht sein können als auch für das Image der Plattform bzw. des Shopsystems erheblicher Schaden entstehen kann. Auch sind sie verpflichtet, Maßnahmen zu treffen, die den Schutz der IT-Infrastrukturen gewährleisten. 

Das Sicherheitsportal ist bei Ebay die zentrale Anlaufstelle für alle Informationen zum Thema Sicherheit auf dem Marktplatz. Hier erfährt man, wie man seine Daten schützt und sicher bei Ebay verkauft. „Wird uns ein Fall von Identitätsmissbrauch oder eine andere Form des Missbrauchs glaubhaft angezeigt, unterstützen wir die Betroffenen im Rahmen unserer Möglichkeiten als Marktplatzbetreiber so gut wie möglich. Gleichzeitig sollten Betroffene auch Anzeige bei der Polizeibehörde erstatten.“

Amazon setzt auf Zwei-Schritt-Verifizierung

Erst recht ist Amazon nicht gefeit vor Angriffen und Attacken. Auf Nachfrage haben wir bis zum Redaktionsschluss noch kein Statement von Amazon erhalten. Lediglich der Verweis auf die Zwei-Schritt-Verifizierung ist Amazon ein Anliegen. Diese soll das Konto vor unberechtigten Zugriffen schützen und wird vielen aus dem Online-Banking bekannt sein. Wie der Name schon sagt, genügt nicht nur ein Faktor für den Zugang zum Verkäuferkonto, sondern es sind zwei notwendig. Das ist zum einen eine statische Wissensabfrage (z. B. ein Passwort) und zusätzlich eine dynamische Wissensabfrage (z. B. eine Einmal-PIN). 

Neben der Zwei-Schritt-Authentifizierung rät Amazon im Seller-Central-Bereich außerdem, die Passwort-Sicherheit zu gewährleisten (s. o.). Wenn Amazon-Händler im Rahmen ihrer Verkaufstätigkeit mit mehreren Benutzern arbeiten, sollte für jeden ein eigenes Konto eingerichtet werden. Dies hat schon oft zu Problemen geführt und sollte daher unbedingt beherzigt werden. Auch das Einloggen von anderen IP-Adressen – beispielsweise aus einem Hotel-WLAN, in das sich der Händler etwa auf einer Geschäftsreise einwählt –, hat übrigens schon zu manch einer plötzlichen Kontensperrung geführt. Zu recht, denn Amazon hat dies aus Sicherheitsgründen als Gefahr eingestuft und macht den Account dicht.

Im Falle eines tatsächlichen Hackerangriffs auf das Amazon-Konto ist folgende Agenda abzuarbeiten:

1. Passwort für Seller Central ändern, ggf. über den Verkäuferservice
2. Dann: Überprüfung der Konto-Informationen, insbesondere E-Mail-Adressen, Zahlungsdaten, Berechtigungen, Amazon-Händlershop insbesondere die Angebote und Preise 
3. Ggf. neue E-Mail-Adresse einrichten bzw. anderes Passwort für das E-Mail-Konto festlegen
4. Hackerangriff dem Verkäuferservice melden; Phishing-Mails können an stop-spoofing@amazon.com gemeldet werden.  

Was taugt eine Cyberversicherung?

Ein weiteres Phänomen, über das man zwangsläufig beim Thema Hackerangriff stolpert, sind Cyberversicherungen. Sobald etwas einen eigenen Wikipediaeintrag hat, scheint es in der Mitte der Gesellschaft angekommen zu sein. Und das ist bei der Cyberversicherung der Fall. Eine ganze Armada an Anzeigen wird dem User bei der Google-Suche ausgespielt. Dabei sind diese nicht nur für den Hausgebrauch abschließbar, sondern auch für Unternehmen. Im Angebot haben diesen Versicherungstyp mittlerweile alle großen und namhaften Versicherungen.  

Die Leistungen der Versicherungen umfassen eher unklassisch für diese Branche oft die Prävention. Aber auch im Ernstfall tritt die Versicherung ein mit den Kosten für die Wiederherstellung der beschädigten IT-Systeme, Betriebsausfallkosten, Rechtsberatung und sogar mit einer Haftung bei Datenschutzverletzungen. Das können mögliche Schadensersatzansprüche sein. Viele Anbieter bieten auch eine Hotline mit IT-Spezialisten an, die im Ernstfall Schadensbegrenzung betreiben. Sogar PR-Profis kann man um Rat fragen, wie ein Imageschaden abgewendet und eingedämmt wird. Gegen das Bußgeld selbst kann man sich aber natürlich nicht absichern. 

Wie so oft geht es nicht ohne einen Anbieter- und Preisvergleich, denn dieser Versicherungsbereich ist noch im Kommen und daher un(ter)reguliert. Für kleinere Online-Händler kann so ein Angebot durchaus sinnvoll sein, wenn man die Expertise selbst nicht im Haus hat. Allerdings wird immer ein gewisses Maß an Eigeninitiative vorausgesetzt. Besonders beim Abschluss des Vertrages wird das Unternehmen auf Herz und Nieren überprüft. 

Man sollte sich deshalb bewusst sein: So wie eine Hausratversicherung meist keinen Diebstahl abdeckt, der durch eine offene Wohnungstür ausgelöst wurde, wird auch ein fahrlässig herbeigeführter Hackerangriff wohl kaum versichert werden.

Die Schadensbegrenzung

Kopf in den Sand stecken? Nicht!

Neben dem drohenden Datenverlust und einem anschließenden Imageschaden muss jedoch das Krönchen gerichtet und der Schaden auf bestmögliche Weise eingestanden und eingedämmt werden. 

Im Fall eines Hackerangriffs sollte nach den Vorschlägen der Polizeilichen Kriminalprävention der Länder und des Bundes zunächst umgehend versucht werden, den Zugriff der Hacker auf das Händlerkonto zu beenden:

1. Sofern noch möglich, sofort das Passwörter ändern, ggf. auch über die „Passwort vergessen“ Funktion und sichere neue Passwörter verwenden
2. Unmittelbar Plattform-Betreiber über den Hackerangriff informieren und das Konto sperren lassen. 
3. Anzeige bei der Polizei erstatten.

Zu den weiteren Maßnahmen zählt auch der Datenschutz mit seinen Informations- und Meldepflichten. Das sind zum einen die Pflichten gegenüber den Behörden und zum anderen eine Pflicht gegenüber den Betroffenen.

Pflichten gegenüber der Aufsichtsbehörde

Die DSGVO schafft eine Pflicht zur „Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde“. Unter einer Verletzung des Schutzes personenbezogener Daten versteht die DSGVO einen Vorfall, der zu einer unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogene Daten geführt hat.

Dabei knüpft die DSGVO vor allem an die Risiken an, die für die Betroffenen entstehen können, beispielsweise immaterielle Schäden (z. B. Rufschädigung) oder finanzielle Verluste. Eine Meldepflicht gilt also dann nicht, wenn keine Risiken für die Betroffenen zu erwarten sind. Anders als das aktuell gültige deutsche Datenschutzrecht gilt die Meldepflicht jedoch nicht nur bei Datenpannen mit besonders sensiblen Daten, sondern grundsätzlich für alle personenbezogenen Daten.

Kommt es tatsächlich zu einem unberechtigten Datentransfer oder einem vergleichbaren Vorfall durch einen Hackerangriff, muss der Verantwortliche dies unverzüglich und möglichst binnen 72 Stunden nach Kenntniserlangung der zuständigen Aufsichtsbehörde melden. Für den nicht-öffentlichen Bereich, zu dem auch der Online-Handel zählt, sind in Deutschland grundsätzlich die jeweiligen Landesbeauftragten für den Datenschutz zuständig.

Keine Pflicht besteht hingegen, wenn der Datenklau voraussichtlich nicht zu einem Risiko für die betroffenen Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht innerhalb von 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Diese Meldung enthält folgende Informationen, die ggf. zeitverzögert zur Verfügung gestellt werden können:

• eine Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorie der betroffenen Daten und der ungefähren Zahl der betroffenen Datensätze,
• den Namen und die Kontaktanschrift des Datenschutzbeauftragten des Unternehmens,
• eine Beschreibung der wahrscheinlichen Folgen,
• eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Datenschutzverstoßes und ggf. Maßnahmen zur Milderung der möglichen Auswirkungen.

Das verantwortliche Unternehmen dokumentiert die Datenpanne außerdem einschließlich aller damit im Zusammenhang stehenden Fakten, deren Auswirkungen und die ergriffenen Maßnahmen. Bei einem Verstoß gegen die Meldepflicht droht ein Bußgeld bis zu 10 Mio. Euro oder bis zu 2 Prozent des weltweit erzielten Jahresumsatzes.

Entsprechende Meldungen an die zuständigen Behörden und umfassende Informationen über die Hackerangriffe sind entscheidend dafür, dass sich die Sicherheitsbehörden ein Bild der Lage machen und aktuelle Gefahren besser einschätzen können. Auch eventuelle Maßnahmen oder Warnungen sind nur möglich, wenn ein Lagebild vorliegt.

Meldepflichten gegenüber den Betroffenen

Schließlich sieht die DSGVO auch eine „Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person“ vor, wenn die Datenpanne ein voraussichtlich hohes Risiko für die betroffene Person hat. Betroffene können sein: Geschäftspartner, Kunden, Banken, Versicherungen (z. B. Sozialversicherung). Die Benachrichtigung hat die Datenpanne in klarer und einfacher Sprache und in leicht zugänglicher Form zu übermitteln und mindestens die Eckdaten mitzuteilen. Beispielsweise können der Name und die Kontaktanschrift des Datenschutzbeauftragten mitgeteilt oder die wahrscheinlichen Folgen erläutert werden.

Die DSGVO hat jedoch auch Ausnahmen für Unternehmen vorgesehen, die mit riesigen Datensätzen arbeiten. Die Benachrichtigung der Betroffenen ist dann nicht erforderlich, wenn die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand bedeuten würde. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine vergleichbare Maßnahme zu erfolgen, durch die die Betroffenen in ähnlicher Weise informiert werden.

Muster-Schreiben stellt der Händlerbund kostenlos zur Verfügung.

Und dann auch noch abgemahnt… 

Damit nicht genug: Aufgrund des Eingriffs kann es auch sonst zu Rechtsverstößen kommen, etwa weil Rechtstexte komplett gelöscht werden oder andere wesentliche Informationen fehlen, die zu einer Abmahnung führen können. Sich im Falle der Abmahnung von der Verantwortung befreien zu wollen, ist verständlich, aber fast unmöglich. So hatte der Bundesgerichtshof klargestellt, dass Marketplace-Händler, die auf der Internet-Verkaufsplattform Amazon-Marketplace Produkte zum Verkauf anbieten, eine Überwachungs- und Prüfungspflicht auf mögliche Veränderungen der Produktbeschreibungen ihrer Angebote trifft (Urteil vom 3. März 2016, Aktenzeichen: I ZR 140/14). Es ging zwar im Urteil nicht um einen Hackerangriff. Aber ist denkbar, dass die Rechtsprechung auch auf solche Attacken ausgeweitet werden kann. Eine mögliche Abmahnung ist daher genauso ernst zu nehmen, wie jede andere Abmahnung auch.

Rückabwicklung geschlossener Kaufverträge

Den meisten wird bei einem Smart-TV zum Preis von 99,90 Euro schon klar sein: „Hier stimmt etwas nicht.“ Diese Kunden sind aber meist nicht das Problem. Haarig wird es meist mit den Bestellern, die hartnäckig die Lieferung der Ware einfordern, notfalls „klage ich es ein!“. Händler haben also alle Hände voll mit den Schritten oben zu tun und sehen sich dann auch noch mit verärgerten Kunden und negativen Bewertungen konfrontiert. Zunächst heißt es, Ruhe zu bewahren. Ist überhaupt ein Kaufvertrag zustande gekommen? Ein Kunde kann nur eine Lieferung verlangen, wenn er dafür eine Rechtsgrundlage hat, sprich: ein rechtsverbindlicher Kaufvertrag geschlossen wurde. Antworten geben die Shop-AGB, denn dies ist eine gesetzliche Informationspflicht.

Nicht immer lässt sich der Vertragsschluss verhindern. Insbesondere sind Shops mit Sofortzahlungsarten wie PayPal so ausgestattet, dass eine Bestellung einem Vertragsschluss gleichkommt. Ein einmal geschlossener Vertrag muss erfüllt werden, heißt es generell. Es gibt jedoch Mittel und Wege, aus dem Vertrag wieder herauszukommen. Das Zauberwort heißt „Anfechtung“. Ein Mittel, dass auf jeden Fall auszuschöpfen ist. Aus dieser Anfechtungserklärung muss eindeutig hervorgehen, dass sich der Händler vom Vertrag lösen will, und sie muss unverzüglich ausgesprochen werden, nachdem von der falschen Preisauszeichnung Kenntniserlangung erlangt wurde. Als Folge einer wirksamen Anfechtung wird der Kaufvertrag aufgelöst und gilt als von Anfang an nichtig.