Der Gebrauch von Cookies erlaubt uns Ihre Erfahrung auf dieser Website zu optimieren. Wir verwenden Cookies zu Statistikzwecken und zur Qualitätssicherung. Durch Fortfahren auf unserer Website stimmen Sie dieser Verwendung zu.

Erfahren Sie mehr

12.04.2020 Online Shopping - Bedrohungen und technische Gegenmaßnahmen

Insbesondere beim Online-Shopping treffen Anwenderinnen und Anwender auf eine Reihe von Bedrohungen. Dieser Artikel beschreibt ausgewählte technische Sicherheitsmechanismen für den Schutz.

Online-Shopping boomt nicht erst seit Corona. Viele Menschen greifen vorwiegend aus Bequemlichkeitsgründen, aber auch wegen einer komfortablen Lieferung bis zur Haustür sowie aufgrund der zeitlich uneingeschränkten Öffnungszeiten in Verbindung mit umfangreichen Sortimenten zu Online-Shopping. Service und Seriosität sind dabei ganz besonders wichtig, da eine Vielzahl an Bedrohungen beim Online-Shopping warten. Aber Anwenderinnen und Anwender sind dem nicht schutzlos ausgeliefert. Eine Reihe technischer Möglichkeiten erlauben neben der Erkennung zuverlässiger Online-Shops bzw. Plattformen, den Schutz beim Online-Shopping eigenverantwortlich zu verbessern.

Das Bewusstsein über vorliegende Bedrohungen trägt als Awarenessmaßnahme sehr stark dazu bei, mit den Bedrohungen in geeigneter Form umzugehen.

Die Top 10 Bedrohungen beim Online Shopping

  1. Trügerisches Vertrauen in https-Verbindungen und Zertifikate (gefälschte Webseiten setzen auch gefälschte Zertifikate ein - das suggeriert "falsches" Vertrauen) 
  2. Datenpannen bzw. Datendiebstahl
  3. Eingeschränkte Zahlungsmethoden und Zahlungsrisiko (z.B.: nur Vorauskassa, Money-Transfer-Dienste)
  4. Fakes (Apps, Artikel, Dienstleistungen, Online Shops, Reviews, Waren)
  5. Identitätsdiebstahl
  6. Phishing scams (z.B.: eine gefälschte Webseite die dem Original täuschend ähnlich sieht)
  7. Schadsoftware, Adware (z.B.: um Ransomware attacks zu vermeiden)
  8. Unverschlüsselte Datenübertragung zur App oder zur Webseite
  9. Ungeschütztes WLAN (stehlen von Kreditkartendaten, Email-Adressen, Zugangsdaten für Logins, persönliche Daten) 
  10. Unverschlüsselter Datenaustausch 

Mit den folgenden Sicherheitstipps ist die Einrichtung eines guten Sicherheitsniveaus für die Nutzung von Online-Shopping-Plattformen möglich:  

Online-Shopping-Sicherheitstipps:

  1. Nur gesicherte Verbindungen zu Online-Shops über aktuelle TLS-Versionen aufbauen. Derzeit sind die Versionen TLS 1.3 bzw. 1.2 aktuell. Gekennzeichnet sind solche Verbindungen für das Internet in der Browserleiste als https-Verbindungen. Aber Achtung, auch gefälschte Seiten wie beispielsweise Phishing-Seiten die den Originalen täuschend ähneln setzen digitale Zertifikate ein, um Vertrauen zu suggerieren. Dieses Sicherheitsgefühl ist sehr oft trügerisch. Viele Internet-Browser zeigen demzufolge auch potentiell gefährliche Seiten als „sicher“ an. Das bedeutet, eine kritische Prüfung der ausgestellten digitalen Zertifikate mit einem anschließenden Vergleich der Daten der Webseite bzw. des Unternehmens mit den Daten im ausgestellten Zertifikat ist unerlässlich. Folglich gilt: Achten Sie in jedem Fall auf den tatsächlichen Namen der Domäne (d.h.: die Adresse die Sie im Internet-Browser aufrufen) und den Inhalt im ausgestellten, digitalen Zertifikat. Beispielsweise könnte eine gefälschte Adresse, die auf einem kleinen Smartphone-Bildschirm jedoch authentisch wie das Original aussieht, wie folgt aufgebaut sein: https://onlinesicherheit.gv.at.09723872875530.com/08238723 (Anmerkung: Es handelt sich um ein beliebiges Beispiel zur Veranschaulichung)
  2. Selbst eintippen der Internet-Adresse. Das eigenständige eintippen der Internet-Adresse wird als Sicherheitsfunktion oft unterschätzt. Statt nur auf einen Link zu clicken ist es sicherer, die Internet-Adresse des Online-Shops eigenhändig einzutippen.
  3. VPN einstellen und nützen. Mit einem Virtual Private Network ist es möglich, eine gesicherte Verbindung zu einem vertrauenswürdigen Netzwerk (z.B.: dem Netzwerk Ihres Unternehmens) aufzubauen. Diese gesicherte Verbindung ist verschlüsselt und erlaubt den Schutz Ihrer eingegebenen Daten auf dem Transportweg. Insbesondere, bei der erstmaligen Nutzung einer Webseite für Online-Shopping ist ein VPN empfehlenswert. Darüber hinaus ist die Verwendung auf Reisen und infolgedessen bei der Nutzung eines öffentlich zugänglichen bzw. unsicheren WLANs (z.B.: auf Bahnhöfen oder Flughäfen bzw. in Coffee-Shops)  ganz besonders geeignet. Denn das VPN verschlüsselt Ihre Daten vor der Datenübertragung über das Netzwerk. Achtung: ein VPN ersetzt die oben beschriebene TLS-Verbindung nicht. Im Idealfall ist beides kombiniert im Einsatz.
  4. Gesichertes WLAN verwenden. Ein WLAN zu schützen ist heutzutage recht einfach möglich. Vordergründig ist die Verwendung eines technisch abgesicherten WLANs ganz besonders wichtig. Auch sollte ein Online-Kauf niemals über ein WLAN, das ohne Zugangsdaten gesichert ist erfolgen. Auch wenn nur sehr wenige Teilnehmerinnen bzw. Teilnehmer mit diesem WLAN verbunden sind ist in so einem Fall der Verzicht auf einen Online-Kauf besser. Tipp: Lieber bei einem WLAN davon ausgehen, dass es unsicher ist, wenn nicht vollständige Details über die installierten Absicherungen vorliegen.
  5. Zweifaktorauthentifizierung einstellen. Die Authentifizierung mittels 2 unabhängiger Faktoren (2 aus 3: Besitz, Wissen, Inhärenz/Biometrie) erhöht das technische Sicherheitsniveau erheblich. Einsetzbar ist Zweifaktorauthentifizierung beispielsweise für den Zugriff auf ein Benutzerkonto eines Onlineshops. Beispielsweise ist ein solcher Zugang dann mittels Benutzername (z.B.: E-Mail-Adresse) und Passwort abgesichert und in einem zweiten Schritt stellt das dazu berechtigte Smartphone einen einmalig nutzbaren Code auf dem Bildschirm dar, der auf dem Computer einzugeben ist. Erst danach ist der Zugang zum Benutzerkonto möglich.
  6. Aktuelle Anti-Schadsoftware einsetzen. Sogenannte “Virenscanner” (auch: „Anti-Virus“) oder „Anti-Malware-Programme“ prüfen den Computer auf dem diese installiert sind permanent. Erkennt ein solches Programm verdächtige Programme oder Prozesse meldet das Programm dies. Verfügbar sind solche Programme für Linux, Windows oder auf mobilen Plattformen für Android. Für iOS (bzw. später für iPadOS) hat Apple vor Jahren Virenscanner aus dem App Store entfernt, da selbst Virenscanner unter iOS weder das Betriebssystem noch Apps sowie die in diesen anderen Apps gespeicherten Daten auf Schadsoftware überprüfen kann. Dafür sorgt die Isolierung mittels „Sandboxing“. Allerdings sind Geräte mit iOS bzw. iPadOS – wie auch Android-Geräte – nicht mehr so gut geschützt, wenn das Gerät gejailbreaked (auch „rooten“ d.h.: das Betriebssystem modifizieren) ist.
  7. Firewall aktivieren. Neben einem aktuellen Anti-Virus helfen Firewalls dabei, die eingehenden sowie die ausgehenden Netzwerkverbindungen zu prüfen und zu kontrollieren. Firewalls blockieren auf der Grundlage der gespeicherten Firewall-Regeln (diese sind normalerweise individuell einstellbar) nicht-erlaubte Netzwerkverbindungen. Firewalls sind für viele Betriebssysteme erhältlich (Windows: Microsoft Defender, Linux: ufw, Mac: „Firewall“).
  8. Anti-Spyware verwenden. Bei Spyware handelt es sich um Programme, die ohne das Wissen des Benutzers Daten an ein fremdes Netzwerk oder zu einem fremden Computer übertragen. Anti-Spyware gibt es für viele Betriebssysteme (ausgewählte Beispiele sind: Ad-Aware, CCleaner, Windows Defender).
  9. Aktualisierung der Software zeitgerecht durchführen. Sicherheitslücken treten sehr oft auf. Daher ist es sehr wichtig, die eingesetzten Programme (Anti-Virus, Firewall, Internet-Browser, verwendete Apps – wie etwa die des jeweiligen Online-Shops) sowie das Betriebssystem entweder händisch in regelmäßigen Abständen oder automatisch zu aktualisieren. Zu bedenken ist aber, dass auch automatische Software-Aktualisierungen nicht sofort zu einer Installation der neuen Software führen.
  10. Script-Blocker installieren und aktivieren. Mit Script-Blockern ist die Angriffsfläche des verwendeten Internet-Browsers reduzierbar, indem diese als „AddOns“ für die Internet-Browser aktive Inhalte blockieren. Darüber hinaus enthalten manche Script-Blocker sogenannte „Whitelisten“ damit ausgewählte Seiten nicht blockiert werden.
  11. Daten für Online-Shopping-Accounts sicher auswählen. Konten & Passwörter sind von entscheidender Bedeutung für das Online-Shopping. Eine zufällige Auswahl von Zugangsdaten für Konten im Online-Shopping-Bereich erschwert den Betrug, da die Zugangsdaten schwer zu erraten sind. Insbesondere die geeignete Passwort-Auswahl ist neben der Verwendung von Passwort-Managern von großer Bedeutung.
  12. Sicherheitsvorkehrungen bei Zahlungsmethoden aktivieren. Viele Online-Shops bieten weitreichende Möglichkeiten für die Abwicklung von Zahlungen. Gerade Online-Shops, die nur Vorabüberweisungen anbieten sind besonders kritisch zu prüfen. Die Aktivierung von Sicherheitsfunktionen bei Bezahlmöglichkeiten wie beispielsweise Mehrfaktor-Authentifizierung bei Debit- bzw. Kreditkarten (z.B.: American Express, Diners Club, Mastercard, Visa) verbessert das Sicherheitsniveau erheblich. Darüber hinaus bieten einige Banken auch Benachrichtigungen mittels Kurznachricht oder als Push-Nachricht nach einer Transaktion.  

Auch als Anwenderin oder Anwender sind technische Schutzvorkehrungen möglich, damit das Risiko während des Online-Shoppings geringer ist. 

Weitere Details

Datum der Veröffentlichung: 14.04.2020

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria