Aktuelle News

Fake-Shops auf Amazon: Was Händler tun können

VN:F [1.9.22_1171]
Bewertung: 5.0 (2 Bewertungen )

Gefälschte und gehackte Marketplace-Shops auf Amazon verderben die Preise, verärgern die Kundschaft und diskreditieren seit Monaten die ehrlichen Händler. Für die gilt angesichts dieser Bedrohung: Ruhe bewahren, alle erkannten Fake-Shops an Amazon melden – und das Passwort zum eigenen Seller-Account mit allen Mitteln schützen.

Das Problem besteht seit Monaten: Auf Amazon locken gefälschte Marketplace-Shops mit absoluten Mondpreisen arglose Kunden an. Immer heißt es irgendwo im Angebot „Kontaktieren Sie mich vor dem Kauf“, angegeben ist eine dubiose E-Mail-Adresse, an die sich interessierte Kunden wenden sollen, um die Details des Verkaufs zu besprechen. Dass sie damit den relativ sicheren Hafen von Amazon und dessen geschützten Zahlungstransaktionen verlassen, ist vielen gar nicht bewusst. Arglos überweisen sie den geforderten, ach so günstigen Preis, auf ein meist ausländisches Konto und hoffen dabei auf ein unglaubliches Schnäppchen. Tatsächlich sehen sie weder Geld noch Ware je wieder.

Die Leidtragenden solcher Fake-Shops sind nicht nur die betrogenen Kunden, sondern auch die ehrlichen Händler: Denn ganz abgesehen von der beachtlichen Rufschädigung durch die schwarzen Schafe verderben die Mondpreise der betrügerischen Anbieter das allgemeine Preisniveau und heizen den ohnehin mörderischen Preiskampf auf Amazon weiter an. Das veranschaulicht treffend – und durchaus schockierend – eine aktuelle Analyse von Spottster. (Weiterlesen…)

 

Lastspitzen beherrschen – mit Cloud-Ressourcen nach Bedarf – [Sponsored Post]

VN:F [1.9.22_1171]
Bewertung: 0.0 (0 Bewertungen )

Wer über eine Website Dienste und Produkte anbietet, muss auf saisonale Schwankungen und temporäre Lastspitzen vorbereitet sein. Eine Cloud-Lösung, aus der sich bedarfsgerecht IT-Ressourcen beziehen und stundengenau abrechnen lassen, kann für Abhilfe sorgen.  

Ob es sich um einen Webshop zur Weihnachtszeit handelt, die Buchungsseite eines Hotels kurz vor einer Messe oder die Online-Präsenz eines Reisebüros zur Urlaubs-Saison: Auch kleinere Unternehmen müssen zu bestimmten Zeiten mit Lastspitzen rechnen. Wer seinen Online-Shop gerade eröffnet hat – oder ihn erst eröffnen will – kann meist nicht einschätzen, wie groß der Besucherandrang sein wird und wie viele Aufrufe auf die Webseite zukommen. Starke saisonale Schwankungen und Verkaufsförderungsaktionen tun ein Übriges, um Server heiß laufen zu lassen. (Weiterlesen…)

 

Mehr Sicherheit im Netz: IT-SiG betrifft auch den Online-Handel

VN:F [1.9.22_1171]
Bewertung: 0.0 (0 Bewertungen )

protectedshops-logoGastartikel: Immer öfter gibt es Nachrichten über Hacker-Angriffe, durch die zahlreiche Kundendaten, mitunter sogar Zahlungsdaten, abgegriffen wurden. Der Gesetzgeber hat reagiert und mit dem IT-Sicherheitsgesetz (IT-SiG) neue Pflichten u.a. für Online-Händler eingeführt.

Seit dem 25. Juli 2015 müssen Betreiber geschäftsmäßiger Telemedien, wie beispielsweise Webshop-Betreiber, Vorkehrungen treffen, um einen unerlaubten Zugriff auf ihre Webseite oder eine Störung, von innen wie von außen, zu verhindern. Zudem müssen die Kundendaten geschützt werden.

Was Online-Händler zu tun haben – zunächst unklar!

Wie so oft im eCommerce macht der Gesetzgeber keine genaueren Ausführungen dahingehend, wie genau diese Pflicht erfüllt werden soll. Gegen welche „Angriffe“ muss also geschützt und welche Schutzmaßnahmen ergriffen werden? Beispielhaft genannt wird lediglich die Anwendung „anerkannter Verschlüsselungssysteme“. Konkrete Programme werden hingegen nicht vorgeschlagen. Diesbezüglich scheint der Betreiber – zunächst – frei wählen zu können, für welche Schutzmaßnahme er sich entscheidet. Sie muss jedoch dem „Stand der Technik“ entsprechen.

Nichtstun ist keine Lösung

Welche Vorkehrungen geeignet sind, die gesetzlichen Pflichten zu erfüllen, wird sich erst im Laufe der Zeit zeigen. Nämlich dann, wenn Gerichte mit dieser Frage betraut werden und die verschiedensten Lösungen als zulässig oder eben unzulässig einstufen. Dennoch sollten alle Betroffenen bereits jetzt handeln. Zumindest Sicherheitslücken im verwendeten Shopsystem können durch Installation entsprechender Sicherheitspatches ohne großen Aufwand geschlossen werden. (Weiterlesen…)

 

Neue Welle von DDoS-Erpressungen?

Von: | 18. Mai 2015 | IT-Sicherheit
VN:F [1.9.22_1171]
Bewertung: 0.0 (0 Bewertungen )

Laut Link11, einem DDoS-Schutzanbieter, sind seit etwa zwei Wochen bei diversen deutschen Onlineshops Erpressermails eingegangen, die mit DDoS-Angriffen drohen, wenn nicht binnen knapp sieben Tagen ein Betrag von „5 Bitcoins (ca. 1300 €)“ an eine in der Mail genannte Bitcoin-Adresse gesendet werde.  Das Original-Erpresserschreiben dokumentiert Link11 hier.

Solche Erpressungen mit DDoS-Angriffen sind nicht neu, bereits seit Jahren versuchen Kriminelle, mit dieser Masche an Geld zu kommen. Allerdings hat das Ausmaß von DDoS-Angriffen in letzter Zeit deutlich zugenommen, und zwar sowohl hinsichtlich der Häufigkeit, als auch der Stärke.

Angriffsstärke hat in den letzten Monaten massiv zugenommen

So nutzen die Angreifer seit diesem Jahr vermehrt Verstärkungstechniken (SSPD-Reflection-Angriffe) und können auf eine beachtliche Bandbreite zurückgreifen. So berichtet der Sicherheitsdienstleister Arbor Networks:

„Der von der ATLAS-Infrastruktur im ersten Quartal dieses Jahres registrierte größte Angriff galt einem Netzbetreiber in Asien und hatte ein Volumen von 334 Gbps (Gigabit pro Sekunde).“

Doch auch Angriffe mit über 100 Gbps wurden in den ersten drei Monaten dieses Jahres bereits 25 mal detektiert. Und erst vor zwei Tagen wurde der Bundestag Ziel einer sehr starken DoS-Attacke.

Über 1.000 Shops in Deutschland Ziel der Erpresser?

Der aktuell in Deutschland aktive Erpresser ist fleißig: Seit dem Start der Erpressungswelle am 6. Mai sollen allein beim LKA Niedersachsen bereits über 200 der Erpressungsversuche dieser Machart gemeldet worden sein.  Da viele Shopbetreiber es (zunächst) versäumen, bei solchen Erpressungen umgehend Anzeige zu erstatten, dürfte die Dunkelziffer hoch sein. Das Link11 Security Operation Center (LSOC) vermutet nach ausgiebigen Analysen, dass über 1.000 Shops in Deutschland Ziel der aktuellen Erpressungswelle. Damit wäre eine neue Dimension in Deutschland erreicht. (Weiterlesen…)

 

„Lösegeld“-Forderungen als neue Cyber-Crime-Masche

Von: | 4. Februar 2015 | IT-Sicherheit
VN:F [1.9.22_1171]
Bewertung: 0.0 (0 Bewertungen )

ErpresserbriefHeise berichtet über eine neue Masche von Cyber-Kriminellen. Dabei fordern diese von Websitebetreibern „Lösegeld“. Der Erpressung zugrunde liegt allerdings glücklicherweise  keine Entführung von Menschen. Bei diesem, „RansomWeb-Attacke“ getauften, Angriff werden stattdessen „Daten entführt“:

Zunächst verschaffen sich die Angreifer Zugang zu den Servern einer geschäftskritischen Web-Applikation. Hier manipulieren sie dann diverse Skripte dahingehend, dass alle Datensätze nur noch verschlüsselt abgespeichert werden. Zusätzlich werden auch die vorhandenen Datensätze verschlüsselt. Der zugehörige Schlüssel liegt dabei auf Servern der Angreifer und wird via HTTPS geladen, so dass er nicht im Klartext übertragen (und im  Traffic mitschneidbar) wird.

Nach einer geraumen Zeit erst – in einem Fall waren es sechs Monate! – löschen die Erpresser den Key von ihrem Server und erpressen den Websitebetreiber nach dem Muster: „Geld für den Key“. Die lange Wartezeit hat es in sich: In der gesamten Zeit wurden alle Datenbankeinträge verschlüsselt gespeichert, während ältere Backups oft bereits überschrieben worden sind. (Weiterlesen…)

 

Innenminister de Maizière macht Online-Shops für Sicherheit ihrer Kunden verantwortlich

Von: | 19. Dezember 2014 | IT-Sicherheit
VN:F [1.9.22_1171]
Bewertung: 5.0 (1 Bewertung )

Kurz vor Jahreswechsel hat Innenminister de Maizière noch etwas Lustiges Trauriges zum Thema E-Commerce und IT-Sicherheit gesagt. So plant die Bundesregierung ein IT-Sicherheitsgesetz, mit dem die kritische Infrastruktur des Internets geschützt werden soll. Innenminister de Maizière erklärte bei der Vorstellung des Gesetzesentwurfs, dass aber auch jeder Online-Shop in Zukunft mit neuen Vorschriften konfrontiert werde.

Schließlich könne laut de Maizière, jeder Online-Shop, also auch der kleinste unter den Kleinen, zu erheblichen, verheerenden Auswirkungen bei anderen führen. Nämlich dann, wenn man sich durch das Ansurfen von unsicheren Diensten Trojaner oder Viren einfängt.

Das neue IT-Sicherheitsgesetz könnte im zweiten Halbjahr 2015 in Kraft treten und damit die neuen Auflagen für Online-Shopbetreiber bringen. Grundlegend gelte es, dass ein Online-Shop auf dem „Stand der Technik“ gehalten werden müsse. So sollen Online-Händler, die einen eigenen Shop betreiben, die Sicherheit ihrer Kunden gewährleisten.

Die im Entwurf verlangten Vorkehrungen zur IT-Sicherheit müssten „den Stand der Technik berücksichtigen“ und „wirtschaftlich zumutbar“ sein. Eine solche Vorkehrung sei „insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens“.

Soweit, so gut und sogar nachvollziehbar. Aber wie soll dies überprüft werden und was ist denn „Stand der Technik“?. Golem hat dies anhand des Beispiels WordPress veranschaulicht. Die noch weit verbreitete Version 3 ist bekanntermaßen sicherheitsgefährdet. Kann also jeder abgemahnt werden, der WordPress nicht auf dem aktuellsten Stand hält? Wer soll das überprüfen und abmahnen?

Dürfen da am Ende Abmahnanwälte ran? – aber ich möchte ja nicht den Teufel an die Wand malen. Zumal dieser Punkt ja eben absolut unklar ist.

Nicht von dem Gesetz betroffen sind übrigens „nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine“, wie es in der Gesetzesbegründung heißt. Die sind ja vor Hackerangriffen geschützt und können daher keine Viren und Trojaner weiterverbreiten, wie wir alle wissen.

Mal ganz ehrlich – mir scheint das ja im Kern nicht falsch zu sein, dass Unternehmen für die Sicherheit Ihrer Webpräsenz verantwortlich sind. Da aber die Umsetzung für mein Verständnis komplett offen ist, klingt es für mich eher nach „Gewäsch“ denn nach Plan.

 

SSL Sicherheitslücke: Im Weihnachtsgeschäft geht vielleicht mit Paypal nichts mehr

Von: | 17. November 2014 | IT-Sicherheit
VN:F [1.9.22_1171]
Bewertung: 0.0 (0 Bewertungen )

Kürzlich wurde eine Sicherheitslücke im alten SSL-3-Protokoll bekannt, weshalb Paypal die Unterstützung für das Protokoll am 03. Dezember 2014 daher vollständig deaktiviert, wie unter anderem t3n vergangene Woche berichtete. Dies bedeutet für Online-Händler die darauf nicht reagieren unter Umständen, dass ab diesem Tag keine Paypal-Zahlungen mehr möglich sind. Und dies in der umsatzstärksten Zeit.

t3n berichtet von bisher drei Shop Softwares, die davon betroffen sein können: OXID eSales, xt:commerce und Prestashop. Gut vorstellbar, dass noch bei weiteren Shopsystemen Handlungsbedarf besteht. t3n möchte dazu weiter berichten. Doch auch wenn Online-Händler eines der genannten drei Shopsysteme einsetzen, sind sie nicht zwangsweise betroffen. Dies hängt nämlich dann wiederum vom genutzten Zahlungsmodul ab.

Dennoch sollte für JEDEN Online-Händler gelten, sich sicherheitshalber mit seinem Shopsystem- oder Modul-Anbieter in Verbindung zu setzen und zu prüfen, ob er betroffen sein könnte.

Anmerkung: Dieser Artikel wurde am 17.11. aktualisiert, da ursprünglich bei manch Leser der Eindruck entstanden sein könnte, es gäbe bei Paypal eine Sicherheitslücke. Dies war nicht beabsichtigt und ist nicht der Fall

 

Weihnachtsgeschäft = Hochkonjunktur in Sachen Cybercrime?

Von: | 3. Januar 2014 | IT-Sicherheit
VN:F [1.9.22_1171]
Bewertung: 0.0 (0 Bewertungen )

Nach der Zwischenauswertung der aktuell laufenden Studie zu Cybercrime von ibi research  zu urteilen, nimmt für 70 % aller Teilnehmer das Thema „Informationssicherheit“ einen hohen bis sehr hohen Stellenwert ein. Und das ist gut so, denn längst ist Cybercrime nicht mehr Sache einzelner Freaks, sondern in den Status eines „professionelles Geschäftsmodells“ für weltweit operierende und gut organisierte Kriminelle gewechselt.

Es ist also keine Schande, wenn es einen trifft – im Gegenteil: allein Erpressungen mit DDoS treffen laut Studien-Zwischenstand fast 11% aller (zumindest aller Studienteilnehmer). Besonders zur Zeit des Weihnachtsgeschäftes hat  Cyber-Erpressung Hochkonjunktur, wie die letzten Jahre gezeigt haben, man denke nur an das drastische Beispiel von Conrad Elektronic in 2011. Doch Cyber-Crime beinhaltet noch viel mehr, als „nur“ DDoS-Erpressung (Tipp: Unsere Ratgeber zu DDoS finden Sie hier und hier). Spätestens seit Google dafür die Tür geöffnet hat, kann auch über den Hebel Bad-SEO erpresst – oder ganz banal der Wettbewerb zeitweise aus dem Rennen geschossen – werden.

Die Zahlen der Zwischenauswertung ibi researchs vom 19.12.2013 ergeben in Sachen Cyber-Crime folgendes Bild:

Chart zu den Zahlen von ibi research

Wie verlieft Ihr Weihnachtsgeschäft? Lief alles reibungslos oder wurden auch Sie erpresst oder Opfer von Attacken?  Schreiben Sie uns – und nehmen Sie noch Teil an der Umfrage von ibi research unter http://www.ibi.de/isiec_2014

Herzlich aus Hürth
Nicola Straub

 

Wenn die eigene Website auf der Blacklist landet: PSW bietet Hilfe für Betreiber infizierter Seiten

Von: | 31. Mai 2013 | IT-Sicherheit
VN:F [1.9.22_1171]
Bewertung: 5.0 (1 Bewertung )

(Pressemitteilung): Es passiert meist schneller als gedacht: Unbekannte nutzen Schwachstellen von Websites aus, infizieren sie mit ihrem Schadcode und als Folge davon landen die betroffenen Seiten sehr schnell auf den wichtigsten Blacklists. Eine solche pflegt beispielsweise der Suchmaschinenriese Google. Auf dessen Safe-Browsing-Dienst greifen beliebte Browser wie Firefox und Chrome zurück und warnen den Anwender vor Sicherheitsrisiken, wenn er eine der gelisteten Websites besuchen möchte. „Besonders problematisch ist, dass viele Website-Betreiber meist gar nicht merken, dass ihre Seite zur Malware-Schleuder wurde“, erläutert Christian Heutger, Geschäftsführer der PSW GROUP GmbH & Co. KG. Ebenso wenig erfahren sie zeitnah von dem Blacklisting ihrer Website. In der Folge leidet die Reputation betroffener Websites massiv. Der Vertrauensverlust auf Seiten der Besucher ist groß. (Weiterlesen…)

 

SSL-gesicherte Onlineshops auf die neue Browserversion von Firefox vorbereiten

Von: | 17. Mai 2013 | IT-Sicherheit
VN:F [1.9.22_1171]
Bewertung: 5.0 (2 Bewertungen )

(Pressemitteilung): Die neue Version des beliebten Browsers Firefox wirft ihre Schatten voraus. Die 23. Auflage mit dem Code-Namen „Aurora“ soll am 17. Mai offiziell erscheinen. Vor diesem Hintergrund empfehlen die Internet Security-Spezialisten der PSW GROUP allen Website-Betreibern, die auf ihren Seiten das beim SSL-Einsatz erforderliche HTTPS-Protokoll verwenden, schon jetzt Vorbereitungen für die wesentliche Neuerung des Firefox 23 zu treffen: Den „Mixed Content Blocker“. Dieser sorgt dafür, dass SSL-gesicherte Seiten, in denen gemischte aktive Inhalte eingebunden sind, durch den Browser standardmäßig blockiert werden. Zu diesen Inhalten zählen neben Schriften auch JavaScript, CSS und Videoformate wie iFrame. (Weiterlesen…)