5 Tipps für den Schutz des Kundenkontos beim Online-Shopping

Private Kundenkonten sind beliebte Angriffsziele von Cyberkriminellen. Hier erfahren Sie, wie Sie Ihre persönlichen Accounts beim Online-Shopping vor fremden Zugriffen schützen.

Online-Shopping_460x323

Neben dem Bestellbetrug, also dem Nicht-Bezahlen oder Nicht-Erhalten von Bestellungen, gehören gehackte Accounts wie auch die missbräuchliche Verwendung von Kreditkartendaten durch Phishing Attacken zu den häufigsten Cybercrime-Fällen in Österreich. Das geht aus dem Cybercrime Report 2020 hervor. Aus diesem Grund sollten Userinnen und User beim Online-Shopping in besonderem Maß auf den Schutz ihrer privaten Kundenkonten achten. Denn diese sind ein lohnendes Ziel für Cyberkriminelle, die nach erfolgtem Zugriff die Kontodaten und Kreditkarteninformationen abgreifen können. Unautorisierte beziehungsweise kriminelle Zugriffe erfolgen häufig aufgrund unzureichend geschützter Konten oder gefälschter Webseiten (auch Fake-Shops), bei denen die Userinnen und User ihre Daten eingeben, oder durch Phishing via E-Mail beziehungsweise Phishing via SMS.

Um sich vor finanziellen Schäden zu schützen, sollten Sie folgende Tipps berücksichtigen, um das private Kundenkonto zu schützen und sicher im Internet zu shoppen:

Tipp 1: Sicheres Passwort wählen

Als Faustregel gilt: Je länger ein Passwort ist und je mehr Zeichenarten sowie Sonderzeichen verwendet werden, desto sicherer ist es. Anstatt herkömmlicher Passwörter können Nutzerinnen und Nutzer auch auf Passwortphrasen zurückgreifen, um ihr Konto zu schützen. Eine Passwortphrase ist ein langes Passwort bestehend aus einem Satz. Nähere Infos dazu, wie Sie ein möglichst sicheres Passwort erstellen, erfahren Sie in unserem Beitrag „Kennwortsicherheit: Der richtige Umgang mit Passwörtern“.

Hinweis

Im Security Guide (2021), den das Zentrum für sichere Informationstechnologie – Austria (A-SIT) gemeinsam mit 27 Partnerorganisationen veröffentlichte, finden Sie eine detaillierte Checkliste zur Passwortsicherheit.

Ob Ihr Konto bereits gehackt wurde, können Sie über verschiedene Online-Dienste überprüfen. Denn gestohlene Daten tauchen in der Regel in Online-Datenbanken wieder auf, wo sie Cyberkriminellen als Grundlage für neue Angriffe zur Verfügung gestellt werden. Auf der Website Pwned Passwords können Userinnen und User ihre E-Mail-Adressen eingeben, um zu erfahren, ob diese im Rahmen eines Sicherheitslecks gehackt wurden. Einen vergleichbaren Service bietet auch HPI Identity Leak Checker. Ein negativer Bescheid dieser Anbieter ist jedoch keine vollumfängliche Garantie, dass keine persönlichen Informationen gestohlen wurden.

Tipp 2: Sicherer Umgang mit Passwörtern

Der sichere Umgang mit Passwörtern ist eine der wichtigsten Maßnahmen zur Vorbeugung gegen Identitätsdiebstahl. Userinnen und User sollten unterschiedliche Passwörter für Online-Dienste und Anwendungen verwenden. Ein Passwort, das für mehrere verschiedene Anwendungen eingesetzt wird, stellt nämlich ein hohes Sicherheitsrisiko dar. Sobald dieses einmal gehackt wird, finden Cyberkriminelle schnell heraus, für welche Anwendungen das Passwort sonst noch verwendet wird.

Eine praktische Möglichkeit, um unterschiedliche Passwörter zu verwalten beziehungsweise sicher zu speichern, sind sogenannte Passwort-Manager. Der Zugriff auf die persönliche Datenbank, in der alle Kennwörter wie in einem Safe gespeichert sind, erfolgt über ein Master-Passwort und, je nach Einstellung, über einen zweiten Faktor zur Authentifizierung (auch: 2-Faktor-Authentifizierung). Mit einem Passwort-Manager können Userinnen und User auch komplizierte und lange Passwörter verwenden, da diese gespeichert und daher nicht vergessen werden können.

Hinweis

Tipp 3: E-Mail-Account schützen

Da Nutzerinnen und Nutzer ihre E-Mail-Adresse für verschiedene Anbieter nutzen, sollten sie besonderes Augenmerk auf den Schutz ihrer E-Mail-Accounts richten. Ist der E-Mail-Account gehackt, können Cyberkriminelle über die Funktion „Passwort wiederherstellen“ (auch: Recovery-Funktion) sämtliche Kundenkonten infiltrieren. Aus diesem Grund sollten Userinnen und User für das E-Mail-Konto ein besonders sicheres Passwort verwenden. Außerdem sollten sie auch die vom jeweiligen E-Mail-Anbieter zur Verfügung gestellten weiteren Schutzmaßnahmen wie die 2-Faktor-Authentifizierung nutzen.

Bei einer Zwei-Faktor- oder Multi-Faktor-Authentifizierung wird zusätzlich zum Passwort ein Fingerabdruck-Scan, ein USB-Token oder sehr häufig auch ein einmaliger Code erstellt, der per SMS oder App mitgeteilt wird. Dieser Code muss zusätzlich zum eigentlichen Kennwort eingegeben werden, um das E-Mail-Konto oder den jeweiligen Dienst nützen zu können. Auch wenn das Passwort geknackt werden sollte, benötigen Hackerinnen und Hacker Zugriff auf Ihr mobiles Endgerät beziehungsweise auf den einmaligen Code, um sich Zutritt zum Benutzerkonto zu verschaffen. Auf diese Weise wird die Sicherheit rund um das eigene E-Mail-Konto um ein Vielfaches erhöht.

Hinweis

Einen Überblick, mit welchen Methoden Sie Ihre digitale Identität schützen können, finden Sie im Beitrag „Übersicht der Authentifizierungsmethoden“.

Tipp 4: Phishing: Betrügerische SMS und E-Mail erkennen

Beim Phishing handelt es sich um die häufigste Methode, mit welcher sich Cyberkriminelle die Zugangsdaten von Userinnen und Usern verschaffen. Häufig werden zu diesem Zweck betrügerische E-Mails im Namen von bekannten Unternehmen und Dienstleistern versendet, in denen dazu aufgefordert wird, auf einer Fake-Website per Weiterleitungs-Link sensible Informationen wie etwa Banking-Zugangsdaten bekanntzugeben. Verdächtige E-Mails beziehungsweise deren Dateianhänge sollten daher niemals geöffnet und darin befindliche Links nicht angeklickt werden, solange die Adressatin oder der Adressat der Benachrichtigung nicht mit Sicherheit identifiziert worden sind. Häufige Betrugsmaschen sind außerdem Phishing-SMS, in denen die Empfängerin oder der Empfänger dazu aufgefordert wird, eine bestimmte Aktion auszuführen.

Hinweis

Wie Sie sich vor Phishing schützen können, erfahren Sie im Beitrag „Präventionsmaßnahmen gegen Phishing“. Im Verdachtsfall finden Sie auch hier nützliche Informationen: Phishing-Mails: Erste-Hilfe-Anleitung nach Betrugsfällen durch Phishing.

Besonders in der Weihnachtszeit kursieren im Netz zahlreiche unseriöse Angebote und Fake-Shops, die darauf abzielen, unachtsames Verhalten zu provozieren und jemandem Geld aus der Tasche zu ziehen. Sobald Geld für ein vermeintliches Produkt per Vorauskasse an einen Fake-Shop überwiesen wurde, ist der Schaden für Betroffene in der Regel nicht mehr rückgängig zu machen. Wurden außerdem persönliche Daten auf einer betrügerischen Website eingegeben, sollten rasch die Zugangsdaten der betroffenen Anwendung (beispielsweise E-Mail-Account) geändert werden. Sind Online-Shops durch Sicherheitszertifikate wie das Österreichische E-Commerce-Gütezeichen oder das Gütesiegel von Trusted Shops gekennzeichnet, können Konsumentinnen und Konsumenten hier vertrauensvoll einkaufen.

Hinweis

Wie Sie betrügerische SMS erkennen und sich vor Phishing schützen, erfahren Sie in unserem Beitrag „Schadsoftware statt Weihnachtspackerl: Vorsicht vor betrügerischen SMS“.

Tipp 5: Betriebssystem und Virenschutz aktualisieren

Betriebssysteme, Browser und lokale Mailprogramme wie zum Beispiel Outlook sollten regelmäßig aktualisiert beziehungsweise gepatcht (Nachbesserung einer Software durch Schließung von Sicherheitslücken) werden. Zu diesem Zweck bietet sich eine automatisierte Update-Funktion an, die in den Einstellungen des jeweiligen Programms vorgenommen werden kann. Zusätzlich sollten sich Nutzerinnen und Nutzer durch Anti-Viren-Programme vor Cyber-Attacken absichern.

Hinweis

Grundlegende Informationen, wie Sie Ihre Geräte absichern, finden Sie in unserem Beitrag „Computer- und Smartphoneschutz“. Wie Sie sicher online shoppen und mögliche Risiken auf ein Minimum reduzieren können, können Sie zudem im Artikel „Online-Shopping: Vorsichtsmaßnahmen“ nachlesen.

Letzte Aktualisierung: 23. Dezember 2021

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria