Angesichts steigender Sicherheitsrisiken im Online-Handel entwickelte ein EU-finanziertes Projekt Instrumente, um Verbrauchende genauer über Risiken aufzuklären und den Sektor sicherer und robuster zu gestalten.

Sicherheit

Elektronischer Geschäftsverkehr bzw. E-Commerce ist zum Bestandteil des Alltags geworden. Da der Markt enorm gewachsen ist, gilt er inzwischen als kritische Infrastruktur des europäischen digitalen Binnenmarkts.

Umfassendes Sicherheitskonzept für den Online-Handel

Prosperiende Wirtschaftssysteme sind immer auch ein Ziel für kriminelle und betrügerische Aktivitäten, von denen der Online-Handel nicht ausgenommen ist. „Die dringlichste Frage dabei ist, wie Vertrauen in elektronische Transaktionen gewährleistet werden kann“, erläutert Luís Sousa, Projektmanager von ENSURESEC bei INOV, Portugal, „und zwar zwischen allen am elektronischen Geschäftsverkehr Beteiligten, seien es Softwareanbieter, E-Commerce-Anbieter, Zahlungsdienstleister, Lieferunternehmen oder Kundschaft.“ Sousa und seiner Arbeitsgruppe zufolge fehlt aber bislang ein ganzheitlicher Ansatz zum Schutz des gesamten Sektors, und dies gab den Auftakt für das Projekt ENSURESEC.

Auflistung anfälliger elektronischer und physischer Systeme

Zunächst wurde eine Übersicht der kritischsten Komponenten im E-Commerce erstellt – Server, Lieferwagen, E-Commerce-Websites usw., um dann zu betrachten, wie diese Komponenten ineinandergreifen und wichtige Schwachstellen und Risiken herauszufiltern. „Der Erkenntnisgewinn war beachtlich“, führt Sousa weiter aus. „Wir ermittelten wichtige Schwachstellen, z. B. Softwareprogramme von Drittanbietern, die KMU häufig verwenden.“ Und genau hier setzen viele kriminelle Aktivitäten an. Ein weiterer großer Risikofaktor ist die menschliche Anfälligkeit. So tarnen sich Kriminelle beispielsweise als bekannte Marke, damit die eigenen Links angeklickt werden, oder skrupellose Anbieter manipulieren durch gefälschte Bewertungen.

Verbraucherschulung zu kriminellen Online-Aktivitäten

Um hier gegenzusteuern, entwickelte das Projekt sowohl technische als auch verbraucherorientierte Lösungen. „Wir organisierten eine Schulungs- und Sensibilisierungskampagne zu diesem sogenannten ‚menschlichen Faktor‘“, erklärt Sousa, „damit Verbrauchende nicht nur Phishing-Aktivitäten und andere gängige Praktiken des Datendiebstahls, sondern auch missbräuchliches Verhalten erkennen und vermeiden. Wenn wir Nutzende besser darüber aufklären, Bedrohungen zu erkennen und entsprechend darauf zu reagieren, könnte die gesamte E-Commerce-Landschaft bessere Resilienzmechanismen entwickeln.“ So wurde bereits eine spezifische verbraucherorientierte Website mit Informations- und Aufklärungsvideos sowie Empfehlungen eingerichtet, die kostenlos und bislang in sechs Sprachen zur Verfügung steht.

Umfassendes Instrumentarium für sicheren Online-Handel

Eine technische Neuerung, die das Projekt entwickelt, ist eine integrierte Plattform mit Instrumenten zur Verhinderung, Überwachung, Bewertung und Vermeidung gravierender Schwachstellen und Bedrohungen in den kritischen Infrastrukturen des Online-Handels. Diese Instrumente durchsuchen beispielsweise die Systeme und prüfen sie bereits in der Entwicklungsphase auf Schwachstellen. Andere listen sämtliche elektronischen, physischen und menschlichen Angriffsziele auf und weisen Nutzende über Feedback-Meldungen auf potenzielle Risiken hin. Einige Lösungen prüfen auch den Reifegrad der Sicherheitskonzepte von E-Commerce-Unternehmen. Weiterhin wurden 19 Instrumente entwickelt, die Interaktionen zwischen Servern, Computern und physischen Ressourcen überwachen und auf Vorfälle reagieren können, um Nutzenden dann entsprechende Abhilfemaßnahmen zu empfehlen. Die Plattform ist modular angelegt und ermöglicht eine Auswahl von Instrumenten und Konfigurationen, die den Anforderungen am besten entsprechen. ENSURESEC demonstrierte seine Lösung für drei verschiedene Anwendungsszenarien: Cyberangriffe auf die Online-Plattform eines großen Einzelhändlers, physische Angriffe auf die Lieferkette einer Online-Apotheke und cyber-physische Angriffe auf eine Bank für Online-Zahlungsdienste. Das Projektteam lieferte auch Empfehlungen für gesetzliche Vorgaben, die Datensicherheit als Kern gesetzlicher Regelungen im Online-Handel postulieren. Künftig will die Arbeitsgruppe um Sousa mehrere dieser Instrumente noch optimieren, um die Kommerzialisierung der Plattform vorzubereiten und sicherzustellen, dass KMU uneingeschränkten Zugang zu dieser Ressource erhalten.

Schlüsselbegriffe

ENSURESEC, E-Commerce, elektronischer Geschäftsverkehr, Verbraucher, Cyber, Sicherheit, Cyberangriff, Online, Phishing