Mehr Online-Betrug und Datenverlust im Handel

Unter anderem gefährden automatisierte Bedrohungen wie Kontoübernahmen, Kreditkartenbetrug, Web-Scraping, API-Missbrauch, Grinch-Bots und Distributed-Denial-of-Service-Angriffe (DDoS) Online-Verkäufe und Kundenzufriedenheit. Die anhaltende Flut von Attacken auf die Websites, Anwendungen und Application Programming Interfaces (API) von Einzelhändlern während des gesamten Kalenderjahres ist ein ständiges Geschäftsrisiko für die Einzelhandelsbranche.

Automatisierte Gegner: Bösartige Bots und Online-Betrug

In den zurückliegenden zwölf Monaten stammten fast 40 Prozent des Datenverkehrs auf den Websites von Online-Shops von Bots. Diese Software-Anwendungen führen oft in böser Absicht automatisierte Aufgaben aus . In der Einzelhandelsbranche ist der berüchtigte Grinch-Bot dafür bekannt, dass er während des Weihnachtsgeschäfts die Bestände hortet, sich die begehrtesten Artikel schnappt und es den Verbrauchern schwer macht, Geschenke online zu kaufen.

Fast ein Viertel des gesamten Datenverkehrs auf den Websites von Einzelhändlern geht auf das Konto von „Bad Bots“, also von böswilliger, automatisierter Software, die zu Online-Betrug beiträgt. Der Anteil fortschrittlicher Bots auf Einzelhandelswebsites ist auf 31,1 Prozent gestiegen. Dabei handelt es sich um Skripte, die die neuesten Techniken nutzen, um menschliches Verhalten zu imitieren und nicht entdeckt zu werden. Fortgeschrittene Bots stellen für Unternehmen eine erhebliche Herausforderung dar, wenn sie nicht über die richtigen Abwehrmechanismen verfügen. Deutsche Onlinehändler sind dabei besonders gefährdet, durch Bad Bots Schaden zu erleiden. Ihr Anteil am Gesamttraffic liegt in Deutschland bei 32 Prozent, und somit neun Prozent über dem globalen Durchschnitt. In Bezug auf fortschrittliche Bots zeichnet sich ein ähnliches Bild ab: Mit einem Anteil von 44 Prozent liegt Deutschland hier 13 Prozent über dem weltweiten Durchschnitt.

Kontoübernahmen (Account Takeover, ATO) sind eine Art des Online-Betrugs, bei der Cyberkriminelle versuchen, Online-Konten mit gestohlenen Passwörtern und Benutzernamen zu übernehmen. Im Jahr 2021 ist bei 64,1 Prozent der ATO-Angriffe ein fortgeschrittener Bad Bot verwendet worden. Von allen Anmeldeversuchen auf Einzelhandelswebsites waren 22,6 Prozent bösartig, fast doppelt so viele wie auf Websites in anderen Branchen. Angreifer nutzten in 94,7 Prozent der Fälle durchgesickerte Anmeldedaten bei Credential-Stuffing-Angriffen, die auf Einzelhändler abzielten, verglichen mit 69,6 Prozent in anderen Branchen. Insgesamt stieg die Anzahl der ATO-Angriffe im EMEA-Raum um 159 Prozent im Vergleich zum Vorjahr.

Angriffe auf APIs nehmen zu

Eine Analyse von Imperva Threat Research zeigt, dass 41,6 Prozent des gesamten Datenverkehrs auf Websites und Anwendungen von Online-Händlern über eine API abgewickelt werden. Davon führen zwölf Prozent des Datenverkehrs zu Endpunkten, wie etwa einer Datenbank, in der persönliche Daten wie beispielsweise Anmeldedaten oder Identifikationsnummern gespeichert sind. Noch besorgniserregender ist, dass drei bis fünf Prozent des API-Verkehrs an undokumentierte oder Schatten-APIs gerichtet sind, also zu Endpunkten, von deren Existenz die Sicherheitsteams nichts wissen oder die sie nicht mehr schützen.

Ungeschützte oder angreifbare APIs stellen eine erhebliche Bedrohung für Einzelhändler dar, da Angreifer die API als einen Weg zum Exfiltrieren von Kundendaten und Zahlungsinformationen nutzen können. API-Missbrauch erfolgt häufig durch automatisierte Angriffe, bei denen ein Botnet die API mit unerwünschtem Datenverkehr überflutet und nach anfälligen Anwendungen und ungeschützten Daten sucht. 2021 nahmen die API-Angriffe zwischen September und Oktober um 35 Prozent zu und stiegen dann im November um weitere 22 Prozent an, zusätzlich zu den erhöhten Angriffszahlen der Vormonate. Diese Erkenntnis deutet darauf hin, dass bösartige Akteure ihre Bemühungen rund um die Shopping-Saison zu Feiertagen verstärken, wenn mehr Daten zwischen APIs und Anwendungen ausgetauscht werden, die E-Commerce-Dienste verwenden.