An einem Wochenende Anfang Oktober liefen beim Schweizer Online-Marktplatz Digitec Galaxus plötzlich die Server heiß: Mehrere 100.000 Login-Anfragen auf Kundenkonten trafen gleichzeitig ein, der überwiegende Anteil nutzte dabei fehlerhafte Nutzername-Passwort-Kombinationen. Wie der Online-Händler nach ­einer Überprüfung feststellte, erfolgten die massiven Login-Versuche auf die Kundenkonten ausnahmslos von Computern von ungewöhnlichen IP-Adressen, größtenteils aus Russland oder Brasilien. 

Die Erklärung des Vorfalls lieferte Unternehmenssprecher Tobias Billeter einige Tage später: Offenbar hatten Hacker im Darknet Listen mit Kombinationen von Benutzernamen und Passwörtern gekauft und diese im Online Shop von Digitec Galaxus automatisiert alle ausprobiert. Und auch wenn die meisten Login-Daten nicht zu dem Schweizer Shop passten: Bei immerhin 40 Konten wählten sich die Angreifer erfolgreich ein und kauften mit dem Guthaben der nichts ahnenden Kunden Software-Lizenzen im Wert von insgesamt 3.200 Franken. Auch wenn die Kundendaten nicht durch eine Security-Lücke bei Digitec Galaxus, sondern ­anderswo im Netz entwendet worden ­waren, zeigte sich der Händler kulant und übernahm den Umsatz der Betrüger für seine Kunden.

Cybercrime gehört zum E-Commerce-Alltag

Für Digitec Galaxus war der Vorfall keineswegs der erste Zusammenstoß mit ­Cyber-Kriminellen. Bereits 2017 warnte der Marktplatz 21.000 Kunden per E-Mail, dass sich Unbefugte Zugang zu ihrem Shop-Konto verschafft hatten; auch ­damals wurde das Unternehmen durch massenhaft gescheiterte Login-Versuche auf das Problem aufmerksam. Und 2016 gehörte Digitec Galaxus zu den prominentesten Opfern einer groß angelegten DDoS-Attacke auf Schweizer E-Commerce-­Unternehmen.

Das Beispiel des Schweizer Online-Marktplatzes zeigt: Cyber-Kriminalität ­gehört längst zum E-Commerce-Alltag - und jeder kann betroffen sein. Aktuelle Studien von Cybersecurity-Spezialisten wie McAfee, Kaspersky, Akamai, IBM und vielen anderen malen ein erschreckendes Bild: Cyber-Kriminalität ist weltweit auf dem Vormarsch.

Und: Nachdem jahrelang vor allem international aktive Großkonzerne von Cyber-­Angriffen betroffen waren - wie beispielsweise die Reederei Maersk, die während der großen Wannacry-Ransomware-Welle Mitte 2017 einen Schaden von 200 bis 300 Millionen Euro verbuchen musste -, wenden sich die Angreifer mittlerweile ­zunehmend leichterer Beute zu, zum Beispiel dem deutschen Mittelstand oder kleinen KMU-Betrieben.

Einzelhandel als lukratives Ziel für Ransomware

Ende Juni 2019 musste das die Hamburger Juwelierkette Wempe schmerzlich erleben. Hacker waren in die Server des Unternehmens eingebrochen und hatten wichtige Bereiche der IT verschlüsselt. Mitarbeiter konnten keine Rechnungen mehr drucken, E-Mails verschicken oder Dateien öffnen. "Das war eine Geisel­nahme unserer Daten auf unseren eigenen Servern", so die Sprecherin der Juwelier-Kette Nadja Weismüller. Und wie bei einer echten Geiselnahme ließ die Lösegeldforderung nicht lange auf sich warten: Die Hacker forderten eine "hohe Summe" in Bitcoins für das Passwort, das die Server wieder freischalten würde, in der Presse wurde über mehr als eine Million Euro ­Lösegeld spekuliert. 

Die Juwelierkette ­bezahlte - eine fragwürdige Reaktion, von der Cybersecurity-Experten bei der Kriminalpolizei, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der TÜV einhellig abraten. "Das Bezahlen der Lösegeldforderung ist eigentlich ­immer der schlechteste Weg", meint auch Ralf Stadler, Director Security Solution Practice & Mobility beim Münchner Security-Experten Tech Data. "Schließlich weiß man ja nicht, ob man für das Geld tatsächlich den Key zur Freischaltung des Servers bekommt oder ob man sich damit nur wieder eine weitere Malware auf den Rechner holt." Zudem seien Ransomware-Attacken "mit zusätzlichen, externen Backups und einem guten Monitoring der Server gut in den Griff zu bekommen".

Doch selbst wenn die IT-Abteilung auf der Hut ist und die nötigen Vorkehrungen getroffen wurden, können Ransomware-Attacken ein Unternehmen empfindlich treffen: Im Mai 2019 wurde die Buchhandelskette Osiander gehackt. Die IT-Abteilung bemerkte den Angriff zwar rechtzeitig und trennte den attackierten Server vom Netz, bevor die Hacker relevante ­Daten verschlüsseln konnten. Doch auch ohne Lösegeldforderung waren die Folgen verheerend: Der Webshop war mehrere Tage offline, 60 Filialen waren weder telefonisch noch per E-Mail zu erreichen, Buchbestellungen konnten nicht aufgegeben werden. "Die Umsatzausfälle sind das eine", so Osiander-Geschäftsführer Christian Riethmüller. "Zum anderen haben wir uns Unterstützung von Sicherheits­experten geholt, jeden Rechner, jedes Programm auf Viren untersucht. Unter dem Strich wird uns das in diesem Jahr einen gehörigen sechs­stelligen Betrag kosten."

DDoS-Attacken gibt es für ein paar Hundert Euro

Während Ransomware-Angriffe meist von professionellen Hackerteams in großem Stil aufgefahren werden und darauf abzielen, Lösegeld zu erpressen, entwickelt sich eine andere Angriffsmethode  gerade zum Mittel der Wahl, um unliebsame Konkurrenten eine Zeit lang aus dem Geschäft zu nehmen und dabei auch noch nervlich zu zerrütten: die DDoS-Attacke. Bei einem "Distributed Denial of Service"-Angriff wird eine Website so lange mit ­einer übermäßigen Vielzahl von Anfragen bombardiert, bis der Server unter der Last zusammenbricht - und die Seite nicht mehr erreichbar ist. 

Eines der in der deutschen E-Com­merce-Branche prominentesten Beispiele für so eine Attacke traf Mitte des Jahres das Branchen-Blog Wortfilter. "Die DDoS-­Attacke lief 14 Tage lang in mehreren ­Angriffswellen, insgesamt war die Seite ­sicherlich sieben volle Tage lang nicht ­erreichbar", erzählt Wortfilter-Betreiber Mark Steier. "Die Angreifer hatten zudem, wie wir später feststellten, aufgrund eines ­Programmierfehlers Zugriff auf die IP-Adresse meines Servers, was dafür sorgte, dass viele Gegenmaßnahmen nicht ­ordentlich greifen konnten."

Kaum Unterstützung bei der Bekämpfung der Attacke

Von seinem großen Massen-Hoster bekam Steier kaum Unterstützung bei der Bekämpfung der Attacke, erst ein Umzug auf einen kleineren Hoster, der auch Cluster-Lösungen im Angebot hat, sowie die Installation ­eines Content Delivery Network und einer DDoS-Schutz-Software lösten das Pro­blem. "Nach der Attacke habe ich mir mal interessehalber 20 kleinere Online Shops genauer angeschaut, um zu sehen, wie die wohl mit DDoS-Attacken umgehen würden - und die waren alle komplett schutzlos", so Steier. "Daran sieht man: Den meisten kleineren Unternehmern, egal ob Online-Händler oder Blogger, ist das Problem nicht voll bewusst. Die denken sich: Das betrifft mich nicht, das ist ein Problem der Großen - bis sie dann doch mittendrin stecken."

Eine Einschätzung, die Security-Experte Stadler teilt. "DDoS-Attacken werden immer häufiger, auch weil es immer einfacher ist, solche Attacken in Auftrag zu geben", so der Tech-Data-Mann. "Einen DDoS-Server kann man ab 100 Euro aufwärts mieten, und wer sich geschickt anstellt, kann den Auftraggeber so verschleiern, dass der Weg kaum zu ihm zurückverfolgt werden kann." Dadurch eignet sich eine solche Attacke bestens, um unliebsame Konkurrenten eine Zeit lang aus dem Weg zu räumen - oder ­eine ungeliebte Website eine Weile lang zum Schweigen zu bringen. "Gerade Online Shops, die stark vom Umsatz der eigenen Plattform abhängig sind, sind hier sehr verletzlich", warnt Steier. 

Ralf Stadler empfiehlt daher vor allem kleineren Unternehmen, sich proaktiv bei ihrem Hoster zu informieren: "Hier hilft ein Blick in den Hosting-Vertrag: Wie sind die Service-Level definiert, speziell im Angriffsfall? Wie oft werden Backups erstellt? Wie sieht die Hilfe für die Wiederherstellung der Systeme nach ­einem Angriff aus?" Ist vom Hoster keine Hilfe zu erwarten, kann die Lücke mit der Installation von Zusatzsoftware geschlossen werden; viele Anbieter haben hier kostengünstige oder sogar kostenlose Einsteigerprodukte im Portfolio. "Und die sind immerhin besser als nichts", so Stadler.

"Credential Stuffing" explodiert

Selbst wenn Online-Händler ihre Website gegen DDoS-Attacken stärken und ihre Server gegen Hacker erfolgreich verteidigen, sind sie nicht vollständig vor Cyber-Kriminellen geschützt - denn ihre Kunden sind es auch nicht. Über 2,2 Milliarden gestohlene Nutzerdaten standen allein im ersten Quartal 2019 im Darknet zum Verkauf. Und im ersten Halbjahr 2018 wurden solche gestohlenen Daten mindestens zehn Milliarden Mal für Login-Versuche auf E-Commerce-Seiten ­genutzt. "Credential Stuffing" werden Angriffe ­genannt, bei denen gestohlene Kunden­daten von Bots zu Hunderttausenden auf einer Seite ausprobiert werden in der Hoffnung, zumindest bei einigen das Kundenkonto zu übernehmen und für exzessive Einkäufe nutzen zu können - so wie bei Digitec Galaxus. 

Und auch wenn die Schweizer immer wieder beteuerten, dass der Fehler nicht auf ihrer Seite lag, sondern vielmehr ihre Kunden zu sorglos mit ihren Login-Daten umgegangen waren - indem sie beispielsweise die gleichen Zugangsdaten für den Digitec-Galaxus-Shop wie für ein soziales Netzwerk oder eine E-Mail-Adresse verwendet hatten -, blieb der Schwarze Peter doch bei dem Marktplatzbetreiber hängen. "Hackerangriff auf Digitec Galaxus" titelten mehrere Schweizer Zeitungen nach Bekanntwerden des Vorfalls, ­besorgte Kunden kontaktierten den Shop. "Der Imageschaden in so einem Fall ist erheblich", warnt Ralf Stadler. "Online Shops müssen damit umgehen, dass die Daten ihrer Kunden auf ihrer eigenen Plattform, und zudem auch an anderer Stelle im ­Internet kompromittiert werden können - und dass ihre Kunden zwischen den ­beiden Szenarios nicht immer unterscheiden können."

Dabei gibt es auch für das Problem Credential Stuffing eine Lösung. Security-Dienstleister, die sich auf die Überprüfung von Credentials spezialisiert haben, können dabei helfen, Kundendaten automatisiert auf ihren Sicherheitsstatus zu überprüfen. Dafür greifen sie auf Datenbanken wie Spycloud.com zurück, die auflisten, welche E-Mail-Adressen von Datenlecks betroffen waren, und dadurch unter Umständen kompromittiert sein könnten. "Kunden, deren Zugangsdaten dann beispielsweise als unsicher eingestuft werden, können automatisch darüber informiert und um einen Passwortwechsel gebeten werden", so Stadler. "Damit schützen Händler ihre Kunden, aber auch ihren ­eigenen Shop vor Umsatzeinbußen."

Solche Tools sind nur einige von vielen Lösungen, die die boomende Security-Branche ihren verunsicherten Kunden anbietet. Noch allerdings gibt es nur ­wenige Dienstleister, die dem relativ ­jungen Trend, nach dem Angreifer sich zunehmend auf kleine und mittelständische Unternehmen konzentrieren, Rechnung tragen.

Zwischen Schlangenöl und Enterprise-Lösung

Tatsächlich tun sich vor allem KMUs mit begrenztem Wissensstand in Sachen IT-Security oft schwer mit der Suche nach der richtigen Sicherheitslösung. "Lösungen für fortgeschrittene IT-Sicherheit richten sich bislang vor allem an Konzerne", kritisierte kürzlich der White-Hat-Hacker ­Linus Neumann, der auch als Sprecher für den Chaos Computer Club (CCC) fungiert. "Für kleine und mittelständische Unternehmen gibt es allerlei windige ­Anbieter und Schlangenöl-Produkte, die letztlich unwirksam sind."

Vor allem im Freeware- und Open-Source-Bereich präsentiert sich der Markt an Tools unübersichtlich. "Open Source Tools sollte man kennen, um auch die Möglichkeiten richtig zu nutzen", meint Ralf Stadler, der für Tech Data auch als Tools-Scout nach ­neuen und vielversprechenden Security-Anwendungen sucht. "Dabei kann man schnell auf verdeckte Kostenfallen hereinfallen oder eben keine fundierte Information erhalten. Dies nutzt nur Personen, die auch eine Ahnung von Nutzen und Verwendung haben. Mir sind bisher nur ­wenige Tools positiv aufgefallen." Trotzdem ist er überzeugt: "Kein Unternehmen muss sich für eine Security-Strategie überschulden."

Informations- und Ausbildungsstand wächst

Dazu kommt: Mit der Präsenz der Gefahr von Cyber-Kriminalität in der öffentlichen Wahrnehmung steigt auch das Informationsangebot von offizieller Seite. So bietet die "Allianz für Cyber-Sicherheit", 2012 vom Bundesamt für Sicherheit in der Informationstechnik ins Leben gerufen, umfassende Grundlageninformationen zur Gefahrenlage sowie zur Entwicklung von wirksamen Strategien für Cyber-Sicherheit an. Dazu zählen auch Notfallpläne für den Angriffsfall. 2.700 Unternehmen und ­Institutionen gehören der Allianz derzeit an.

Einige Industrie- und Handelskammern haben das Thema mittlerweile ebenfalls für sich entdeckt und organisieren Informationsveranstaltungen oder, in Zusammen­arbeit mit Partnern aus der Security-Industrie, berufsbegleitende Ausbildungen und Trainings für IT-Security-Manager. Auch in Sachen Nachwuchsausbildung tut sich etwas: Inzwischen bieten über 20 deutsche Universitäten und Fachhochschulen Studiengänge für IT-Security an. 

Die Frage bleibt, ob diese Bemühungen ausreichen. Das Problem Cyber-Security explodiert; Jahr für Jahr verdreifacht sich die Zahl der Angriffe und mit ihnen der Schaden durch Umsatzausfälle und Wiederherstellungsmaßnahmen. Dadurch wird der Ruf nach kompetenten Security-Experten immer dringlicher - und der Fachkräftemangel, der bereits jetzt vor ­allem kleine und mittelständische Unternehmen in ihrem Wachstum einschränkt, könnte bedrohliche Züge annehmen. 

Checkliste für den Angriffsfall

Stehen KMUs unter dem Beschuss von Cyber-Angreifern, gilt das Motto: Ruhe bewahren und methodisch vorgehen. Die folgende Checkliste der Allianz für Cyber-Sicherheit hilft bei der Abarbeitung aller notwendigen Schritte.

• Wurden erste Bewertungen des Vorfalls durchgeführt, um festzustellen, ob es sich um einen Cyber-Angriff oder lediglich um einen technischen Defekt handelt? 
• Haben Sie kontinuierlich Ihre Maßnahmen abgestimmt, dokumentiert und an alle relevanten Personen und Verantwortlichen kommuniziert? 
• Wurden Systemprotokolle, Log-­Dateien, Notizen, Fotos von Bildschirminhalten, Datenträger und andere digitale Informationen ­forensisch gesichert? 
• Haben Sie stets die besonders zeitkritischen und damit vorrangig zu schützenden Geschäftsprozesse im Fokus gehabt? Wurden betroffene Systeme vom Netzwerk getrennt? Wurden Internet-Verbindungen zu den betroffenen Systemen getrennt? Wurden alle unautorisierten ­Zugriffe unterbunden? 
• Wurden Backups gestoppt und vor möglichen weiteren Einwirkungen geschützt? Wurden Maßnahmen ­ergriffen, um den gesamten Umfang der Ausbreitung festzustellen? Wurden alle angegriffenen Systeme identifiziert?
• Wurden die beim Cyber-Angriff ausgenutzten Schwachstellen in Systemen oder (Geschäfts-)Prozessen durch relevante Maßnahmen adressiert und behoben? 
• Wurden, nach Abstimmung, die ­Polizei oder relevante Behörden (Datenschutz, Meldepflichten etc.) benachrichtigt? 
• Wurden die Zugangsberechtigungen und Authentisierungsmethoden für betroffene (geschäftliche und ggf. private) Accounts überprüft (z.B. neue Passwörter, 2FA)? 
• Wird das Netzwerk nach dem Vorfall weiter überwacht, um mögliche ­erneute Anomalien festzustellen? 
• Wurden die betroffenen Daten und Systeme wiederhergestellt oder neu aufgebaut?