Angesichts der Einschränkungen des Lockdowns und dem damit einhergehenden Ausbleiben von Kundschaft, war es für viele Einzelhändler in den vergangenen Monaten eine Mammutaufgabe die eigene Existenz zu sichern. Der Einzelhandel war folglich gezwungen, nach neuen Wegen zu suchen, um trotz staatlicher Unterstützung, neue Einnahmen zu generieren.
Laut Angaben des Handelsverband Deutschland (HDE) kam es aufgrund der Corona-Krise 2020 zu einem sprunghaften Anstieg beim Onlineshopping, der in einem Umsatzplus der Internet-Händler von 13,6 Milliarden Euro bzw. einem Anstieg um 23 Prozent im Vergleich zum Vorjahr mündete. Zu diesem Umsatzwachstum dürften zu einem guten Teil neben den Branchengrößen auch die vielen neu entstandenen Online-Shops der vormals nur im stationären Handel aktiven Einzelhändler beigetragen haben.
Umsatz vs. Sicherheit
Doch die aus der Not geborenen Online-Shops waren häufig unausgereift und wiesen vielerlei Fehler auf. Bei der Fehlersuche lag – und liegt – jedoch das Hauptaugenmerk auf der reinen Funktion der Webseite. Datenschutz und Cybersicherheit waren in diesen wirtschaftlich schwierigen Zeiten zunächst von nachrangiger Priorität für die Anbieter. Ein unter Umständen verheerender Ansatz, der im schlimmsten Fall die Reputation des Einzelhändlers in eine tiefe Krise stürzt, sollte es beispielsweise zu einem Verlust von Kundendaten kommen.
Vergrößerte Angriffsflächen
Mit der Einführung neuer E-Commerce-Plattformen – oder der Erweiterung einer bestehenden – ergeben sich für Cyberkriminelle neue Angriffsflächen. E-Commerce-Plattformen hosten und verarbeiten zuweilen einige der persönlichsten und sensibelsten Daten. Angefangen mit Kreditkartendaten bis hin zu Namen und Wohnorten – eine potenzielle Fundgrube für kriminelle Angreifer.
Entsprechend muss das Thema Cybersicherheit in alle Erwägungen beim E-Commerce miteinbezogen werden. Denn es gilt grundsätzlich alle persönlichen Kundendaten und sensiblen Informationen des Unternehmens zu schützen. Wenn es um die Sicherheit von Daten geht, müssen Einzelhändler in der Lage sein, Schwachstellen oder Fehlkonfigurationen so schnell wie möglich zu finden, damit sie handeln und das Problem schnell beheben können, noch bevor Kriminelle dieses ausnutzen können.
Stärkung der IT-Sicherheit durch ethische Hacker
Eine Vielzahl von Organisationen verlässt sich nach wie vor auf traditionelle Cybersicherheits-Lösungen. Allerdings gilt es, sich im Zuge einer sich rasch verändernden Bedrohungslandschaft und immer ausgeklügelteren Angriffen von klassischen Denkweisen zu verabschieden. Eine nachhaltige Sicherheit kann nur dann gewährleistet werden, wenn die eigene Plattform regelmäßig von verschiedenen Experten untersucht wird, die jeweils unabhängig voneinander agieren.
Obgleich es in Sachen Cybersecurity kein Patentrezept oder gar schnelle Lösungen gibt, kann durch einen nachhaltigen Ansatz das Risiko erheblich reduziert werden. Dieser sollte auch die Community ethischer Hacker, der sogenannten White-Hat-Hacker, miteinbeziehen. Mit einem solchen Ansatz verfügen Einzelhändler über eine Vielzahl von IT-Sicherheitsexperten, die die Systeme des Unternehmens kontinuierlich auf Sicherheitslücken und Schwachstellen prüfen, um diese zu identifizieren und zu patchen, noch bevor sie ausgenutzt werden können.
Da Unternehmen jedoch nur in den wenigsten Fällen mit Hackern direkt zusammenarbeiten, stellt sich für Organisationen zumeist die Frage, wie sie mit der Community von White-Hat-Hackern in Kontakt kommen können – auch weil viele Hacker Wert auf Anonymität legen. Genau hier setzen Plattformen wie HackerOne an. Sie agieren als Vermittler zwischen den Unternehmen und den ethischen Hackern. Da es sich bei den Versuchen der Hacker, Schwachstellen zu finden und die Sicherheitsmaßnahmen zu überwinden, per gesetzlicher Definition um einen Cybereinbruch handelt – selbst wenn es hier um ein Pentesting geht – muss hierfür zunächst ein legaler Rahmen geschaffen werden. Dies geschieht in Form von Verträgen, auf Basis derer beide Parteien abgesichert sind und in denen die Details der Zusammenarbeit definiert werden.
Autor: Laurie Mercer, Security Engineer bei HackerOne.
Das Modell der Bug-Bounty-Plattformen gibt vor, dass sich die ethischen Hacker dazu verpflichten, der Organisation gegenüber alle gefundenen Schwachstellen offenzulegen. Die Regeln dazu finden sich in VDPs (Vulnerability Disclosure Program), die ebenfalls Bestandteil des Vertrages zwischen Hacker und Unternehmen sind. Im Rahmen dieser Vereinbarung erhalten sie Prämien – sogenannte Bug Bounties – für gefundene und gemäß der Verträge gemeldete und dokumentierte Schwachstellen. Im Falle einfacher Schwachstellen meist weniger, für sehr kritische Lücken sind diese Prämien jedoch manchmal auch im fünfstelligen Bereich angesiedelt. Doch das ist immer noch billiger, als im Nachhinein Strafen wegen mangelnder Sicherheit und Verstößen gegen die DSGVO zahlen zu müssen. Haben sich Hacker und Unternehmen hier geeinigt, steht einer vertrauensvollen Zusammenarbeit für mehr Sicherheit im Online-Handel nichts mehr im Wege.
