+49 178 206 41 42

E-Commerce Anbieter sollten Ihre Kunden schützen

Die Tage werden kürzer und die Nächte damit länger. Für Einbrecher also die ideale Jahreszeit, um unbemerkt in ein Gebäude einzudringen. Experten warnen: nicht nur in der physischen Welt passieren in dieser Zeit viele Verbrechen, denn durch die aktuelle Hochkonjunktur des Weihnachts-Shoppings sind viele Kriminelle auch im Netz unterwegs und verüben „Einbrüche“ in die Konten der Einkaufslustigen.

Um den Konsum zu steigern, locken die Händler mit Aktionen wie Black Friday, Cyber Week oder dem altbekannten Winterschlussverkauf. Die Verbraucher springen in Massen auf diese Angebote an, denn schließlich sollen die Familie und Freunde mit einem hübschen Geschenk unter dem Baum überrascht werden und sich selbst beschenkt man, bei diesen phänomenalen Rabatten doch auch mal gerne.

Was dabei in den letzten Jahren zu beobachten ist, ist, dass mittlerweile ein Großteil der Einkäufe online erledigt wird. Studien zufolge kaufen zwischen 48% und 71% der deutschen Verbraucher Ihre Waren in der virtuellen Welt, statt gemütlich durch die Innenstadt zu bummeln.[1] Eines gilt aber immer noch: Das Geld sitzt zu dieser Jahreszeit besonders locker in der Tasche. Das wissen auch Verbrecher und nutzen diesen Anlass, um Schnäppchenjägern eine Falle zu stellen. Laut einer Untersuchung des Deutschen Instituts für Wirtschaftsforschung (DIW) wurde vergangenes Jahr jeder fünfte Deutsche Opfer eines virtuellen Verbrechens.[2]

Eine weit verbreitete Form des Internet-Betrugs ist der Identitätsdiebstahl, bei dem die persönlichen Daten von Konsumenten abgegriffen werden. Diese Daten werden dann unter anderem dazu benutzt, um in deren Namen einzukaufen oder um sich mit den Daten des Opfers auszuweisen. Ein Identitätsdiebstahl kann nicht nur zur Verschuldung des Bestohlenen führen, sondern im schlimmsten Fall auch zu Einträgen im Strafregister oder zum Erlassen von Haftbefehlen führen.

Es gibt zahlreiche Fallen im Onlineshopping, in die Kunden tappen können. Dabei wäre es gerade für E-Commerce Anbieter so einfach Ihre Nutzer und deren digitale Identität zu schützen. Ein Customer Identity & Access Management System bietet hierbei eine Hilfestellung – mit Echtzeit-Betrugsanalysen basierend auf verhaltensspezifischen Merkmalen des Shoppers kann im Verdachtsfall die Authentizität über einen zweiten Faktor bestätigt und ein betrügerischer Zugriffsversuch verhindert werden.

Wie können Onlineshops Ihre Kunden schützen?

Durchschnittlich hat ein Verbraucher zehn digitale Identitäten

Der Onlinehandel boomt. Allein in Deutschland wollen rund 120.000 Onlineshops die Konsumenten für sich gewinnen und zum Einkaufen verleiten. Neben den reinen Shoppingkanälen gibt es darüber hinaus noch diverse Social Media Plattformen, E-Mail-Accounts, Kundenportale usw.. Die Liste an Onlinekanäle, für die ein Login benötigt wird, ist schier unendlich. So verwundert es nicht, dass mittlerweile jeder Mensch oftmals mehr als 10 digitale Identitäten besitzt. [3]

Sichere und moderne Login Verfahren sind ein Muss

Der Login diente in der „Vergangenheit“ als Sicherheitsschloss, damit nur der eine autorisierte Kunde Zugang zu seinen Bestellungen erhielt oder eine Bezahlung auslösen konnte. Heutzutage bietet ein modernes Login dem Kunden Convenience und Individualität im Kundenerlebnis. Der Finger wird gescannt und das Kundenkonto öffnet sich, der Kunde hat im Nu Einsicht auf hinterlegte Informationen zu persönlichen Daten, kann Änderungen von Einwilligungen vornehmen und persönlich zugeschnittene Alerts einrichten, um keine Rabattaktion des Lieblingsproduktes zu verpassen. Damit wird, durch das Login, das Tor zu einer einmaligen User Journey geöffnet.

Es gibt jedoch auch heute noch einige Herausforderungen, denen sich Händler stellen müssen, ob erfundenen Benutzerkonten, nicht korrekt ausgefüllten Kundeninfos oder unvollständige Profildaten. Darüber hinaus besitzen ein Großteil der Kunden bei ein und demselben Unternehmen mehrere Benutzerzugängen oder führen wiederholt das unbeliebten “Passwort-Vergessen”-Ritual durch. Die Anzahl der Accounts über verschiedene Portale, Plattformen und Online-Shops hinweg steigt und jeder neue Account bringt weitere Zugangsdaten mit sich, die im Gedächtnisspeicher abgelegt werden müssen. In der Realität nutzen allerdings viele User ein und dasselbe Passwort über mehrere, wenn nicht gar alle Accounts. Dies ist auch nicht verwunderlich, denn wer kann sich schon zig unterschiedliche und vor allem sichere Passwortkombinationen merken in Form von: 20 Zeichen inklusive Klein-, Großbuchstaben und Sonderzeichen? Und dabei sollte man stets beachten, dass das Passwort nirgends notiert wird. Seien wir mal ehrlich, das kennen wir alle, dann ist das Passwort schwups die wups wieder aus dem Gedächtnis verschwunden, trotz der super klugen und nachvollziehbaren Eselsbrücke. So ist der Gang über den „Passwort-Vergessen“ Button unumgänglich. Zu Frustration führt dies nicht nur bei den E-Shops, sondern auch bei den Nutzern, denn kein Nutzer will alle 2 Wochen dasselbe Ritual immer und immer wieder durchspielen. Hinzu kommt, dass die großen Spieler wie Amazon oder Google die Erwartungshaltung, bezogen auf eine einheitliche und komfortable Erkennung über alle Kanäle hinweg, geprägt haben.

Ein moderner Login wird damit zu einem absoluten “Muss”, um in der heutigen Welt der Digital Natives zu bestehen. Traditionelle Logins sind in die Jahre gekommen und werden heute als lästig empfunden.

Botnet Detection und modernes Login als Schutz vor Identitätsdiebstahl

Das größte Risiko, welches bei einer ungenügenden Sicherung von Zugängen besteht, liegt in den teils tiefreichenden Informationen zu persönlichen Daten. Wenn diese nicht ausreichend geschützt werden haben Identitätsdiebe leichtes Spiel. Ist ein Passwort erst einmal kompromittiert, wird es in verschiedenen Portalen getestet. Wer hier auf ein allgemein gültiges Passwort setzt, der hat verloren – denn nun können die Betrüger munter auf Kosten des Betrogenen bestellen und dies übergreifend in verschiedenen Shops. Jedoch sind wissensbezogene Zugangsdaten nicht per se immer unsicher. Das wohl größte Problem liegt darin, dass Zugangsdaten schnell und einfach an andere Personen weitergegeben werden können, ob im In- oder Ausland. Problematisch ist, umso häufiger der “Passwort vergessen”-Prozess durchlaufen werden muss, desto mehr neigen Nutzer dazu ein leichtes oder wiederholt dasselbe Passwort zu vergeben. Online-Shops rücken dadurch ins Visier von Cyberkriminellen. Unter anderem stellen Botnet Angriffe eine Gefahr für Unternehmen und die persönlichen Daten ihrer Kunden dar. Sie setzen nicht nur durch DDoS-Attacken (vielfache Aufrufe einer gezielten Anfrage) Services von Unternehmen lahm, durch gezielte Angriffe auf Logins versuchen sie mit gestohlenen Accountdaten Zugriff auf das System zu bekommen, lösen bspw. Überweisungen aus oder übernehmen ggfs. das komplette Konto (Account-Takeover). Eine zuverlässige Botnet Detection kann durch ein Customer Identity und Access Management System abgebildet werden. Eines sollte stets im Hinterkopf bleiben, ein Angriff auf Kundenkonten verursacht nicht nur ein finanzieller Schaden, sondern bedeutet meist auch der Vertrauensverlust von Kunden und deren Wegfall.

Neben der Botnet Detection bildet der moderne Login die Wunderwaffe gegen Identitätsdiebstahl. Hier bieten Social Login, biometrische Authentifizierungsverfahren oder auch das Single-Sign-On die idealen Möglichkeiten. Dennoch spielt die Biometrie hierbei eine besonders wichtige Rolle. Die meisten Verbraucher kennen es heute schon von vielen mobilen Devices hierbei werden überwiegend Fingerprint, Face ID und Co. zum Entsperren eines Geräts eingesetzt. Die große Akzeptanz bestätigt auch eine weltweit durchgeführte Studie von VISA zu den biometrischen Authentifizierungsverfahren.[4] Dieser zufolge empfinden 90% der deutschen Befragten die Autorisierung per Fingerabdruck als ein sicheres Verfahren.

Hohe Akzeptanz von biometrischen Authentifizierungsverfahren

Der große Vorteil von biometrischen Authentifizierungsverfahren liegt laut dem BSI, im Gegensatz zu PINs und Passwörtern, in der hohen “Erkennungsleistung”.[5] Nicht von ungefähr wird deshalb seit etwa 100 Jahren der Fingerabdruck im Bereich der Strafverfolgung eingesetzt. Fingerabdrücke verändern sich kaum im Laufe des Lebens und sind je Person einzigartig. Geräte können innerhalb weniger Sekunden den Fingerabdruck erkennen, die Person authentifizieren und Zugang gewähren. Mit der Weiterentwicklung der Technologie und der gestiegenen Rechenleistung wird die biometrische Authentifizierung nicht mehr vorrangig zur Identifizierung Krimineller betrachtet, sondern gewann an Beliebtheit zum Entsperren des Smartphones. Aber nicht nur der Fingerabdruck gewinnt an Wichtigkeit. Es ist bemerkenswert, an wie vielen Orten uns Biometrie bereits das Leben vereinfacht, z. B. an Passkontrollen am Flughafen, bei denen der Pass und das Gesicht live gescannt und ausgewertet werden oder an Zugängen zu Firmengebäuden. Experten sind sich einig, die Identifizierung via Fingerabdruck und Co. wächst zu einem Standard- Verfahren heran.

Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA)

Identitätsdiebstahl führt in der Regel zu monetärem Schaden für das Unternehmen. Die eigene Abteilung zur Fraud Prävention ist da keine Ausnahme mehr, nur dass der Angriff nun nicht mehr Ladendiebstahl heißt, sondern Phishing, Credential Stuffing oder Man-In-The Middle. Die Skrupellosigkeit von Cyber-Kriminellen scheint grenzenlos zu sein.

Bei vielen Shopbetreibern stößt der Einsatz eines zweiten Faktors heute jedoch noch auf wenig Gegenliebe – zu groß ist die Angst vor weniger Umsatz durch die als sperrig empfundenen Loginverfahren. Der Einwand ist definitiv berechtigt angesichts der häufig verwendeten traditionellen Authentifizierungsverfahren. Es steht außer Frage, der Einsatz eines zweiten Faktors muss adaptiv erfolgen. Das heißt, der zusätzliche zweite Faktor wird nur dann abgefragt, wenn ein Zugriff ungewöhnlich erscheint (bspw. mit einem unbekannten Device, außerhalb der üblichen Nutzungszeiten oder von einem ungewohnten Ort).

Ein benutzerfreundlicher Loginprozess könnte vom Shopbetreiber so umgesetzt werden:

  1. Der Kunde ruft den Webshop über den Browser auf und gibt im Anmeldeformular seinen Benutzernamen, Mobilfunknummer oder E-Mail Adresse ein.
  2. Über das Endgerät wie z.B. das Smartphone ggfs. auch Laptop angefragt erfolgt dann die Legitimierung (=Besitz des Kunden).
  3. Im Idealfall wird über eine Authentifizierungs-App ein biometrischer Faktor wie bspw. Fingerabdruck abgefragt. Alternativ wäre auch die Zusendung eines One-Time-Passwortes z. B. eines Codes via SMS oder E-Mail denkbar.
  4. Der Zugang zum Webshop ist freigegeben.

Fazit

Heutzutage sind die Nutzer bequeme und einfache Services gewohnt und wollen sicher auf digitale Kanäle und Plattformen zugreifen. Mit einer zentralen Plattform für das Identitätsmanagement, wie das von cidaas, wird bereits beim Registrierungsprozess sichergestellt, dass eine sichere und vor allem komfortable Authentifizierung abgewickelt wird. Moderne Onlineshop-Anbieter, die bereits heute an den Einsatz von biometrischen Authentifizierungsmerkmale denken, sind optimal für eine sichere Zukunft ihrer Kunden vorbereitet. Dank dem Zusammenspiel zwischen sicheren Identifizierungsverfahren und intelligenten Betrugserkennung auf Basis von Big Data und Machine Learning sind alle Anbieter, die cidaas einsetzen, gerüstet. Damit haben auch ausgefuchste Cyberkriminelle keine Chance mehr, die Identitäten von Kunden zu stehlen.

In den kommenden Blogbeiträgen werden wir auf unsere 15 sichere Authentifizierungsmöglichkeiten und dedizierter auf das Thema „Tschüss Passwort – hallo modernes Login“ eingehen.

Quellen

[1] https://www.textilwirtschaft.de/business/news/umfrage-unter-ueber-1000-internetnutzern-online-handel-kommt-dem-stationaerhandel-nah-223114?login=1&crefresh=1; https://www.marketing-boerse.de/news/details/1951-trendmonitor-deutschland-online-shopping-boomt-weiter/162919

[2] https://www.gdv.de/de/themen/news/jeder-fuenfte-deutsche-bereits-opfer-von-cyberkriminalitaet-16298

[3] https://fintechnews.ch/fintech/eine-digitale-identitat-allein-reicht-nicht/26780/

[4] https://mobilbranche.de/2019/12/visa-studie-zu-biometrischen-authentifizierungsmethoden

[5] https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/Biometrie/biometrie_node.html

Translate »