theNet von CLOUDFLARE

Sicherheit für die Feiertage

E-Commerce auf bevorstehende Bedrohungen vorbereiten

Es ist bekannt, dass die Vorweihnachtszeit vermehrt Gelegenheit für Cyberangriffe bietet, wobei primär die E-Commerce-Branche ins Visier genommen wird. Unabhängig davon, was ein Unternehmen online verkauft – sei es Kleidung, Elektronik, Reiseerlebnisse oder Ähnliches – sind Werbeaktionen zu den Feiertagen leider ein beliebtes Ziel für Angreifer, da die Sicherheits- und IT-Abteilungen in dieser Zeit oft überlastet sind und eher unvorbereitet getroffen werden.

Angesichts dieses Trends stellt sich nicht die Frage, ob man sich auf einen Angriff vorbereiten sollte, sondern welche Arten von Angriffen das größte Risiko für Ihr Unternehmen darstellen.

Effektive Sicherheit erfordert ein gewisses Maß an Priorisierung, zusätzlich zum Aufbau eines soliden Basisschutzes gegen gängige Bedrohungen von Webanwendungen – wie DDoS-Angriffe und Zero-Day-Schwachstellen – sowie zur Vorhersage, welche spezielleren Angriffsarten das Unternehmen während der Feiertage wahrscheinlich treffen werden, und zur entsprechenden Vorbereitung auf diese.

Die Beantwortung der folgenden vier Fragen kann den Prozess der Priorisierung in Gang bringen. Dadurch sind E-Commerce-Unternehmen besser positioniert, um in der Weihnachtszeit erfolgreich zu sein, die bis zu 30 % ihres Jahresumsatzes ausmachen kann.

  1. Wie preisempfindlich sind Ihre Produkte?

  2. Sind Ihre Produkte in begrenzten Mengen erhältlich?

  3. Verwenden Sie ein Zahlungssystem eines Drittanbieters?

  4. Akzeptieren Sie Zahlungen in Kryptowährungen?


Frage 1: Wie preisempfindlich sind Ihre Produkte?

Bei einigen Produkten und Dienstleistungen – z. B. solchen, die preisgünstig, in hohem Maße standardisiert oder weit verbreitet sind – können geringe Preisunterschiede zwischen konkurrierenden Unternehmen die Kaufentscheidungen der Kunden erheblich beeinflussen. Wenn ein Unternehmen während einer Weihnachtsaktion von einem Konkurrenten auch nur geringfügig unterboten wird, könnte dies zu einem erheblichen Umsatzrückgang führen.

Aus diesem Grund sollten Unternehmen mit preisempfindlichen Produkten in der Weihnachtszeit besonders vorsichtig sein, wenn es um Price-Scraping-Bots geht, die eine Website nach Preisinformationen durchsuchen und diese Informationen an einen Wettbewerber weiterleiten. Mit diesen Informationen kann der Wettbewerber sicherstellen, dass seine Produkte geringfügig günstiger sind – ein erheblicher Vorteil.

Price-Scraper sind schwieriger zu identifizieren als andere Arten von Bots, da sie keine offensichtlichen Folgen wie eine Zunahme von fehlgeschlagenen Authentifizierungen, ungewöhnlichen Käufen oder Spitzen bei neuen Nutzerkonten verursachen. Zu den Signalen, die helfen, Price-Scraper zu erkennen, gehören:

  • Traffic-Spitzen, die nicht mit dem erwarteten Verbraucherverhalten übereinstimmen – da Bots für Preisabfragen Ihre Website ständig scannen

  • Verschlechterte Performance der Website – aus demselben Grund

  • Traffic-IP-Ursprünge, die auf Websites von Wettbewerbern zurückführen

Wenn Sie Price-Scraper auf Ihrer Website entdecken – oder vermuten, dass sie es während der Ferienaktionen auf Sie abgesehen haben – können Taktiken wie Durchsatzbegrenzung dazu beitragen, dass sie die Performance der Website nicht beeinträchtigen. Es wird jedoch wahrscheinlich immer noch notwendig sein, in einen fortschrittlicheren Dienst für das Bot-Management zu investieren, der maschinelles Lernen und detaillierte Bedrohungsdaten nutzt, um automatisierten Traffic herauszufiltern.


Frage 2: Sind Ihre Produkte in begrenzten Mengen erhältlich?

Bei einigen Produkten ist Verknappung eine wertvolle Marketingtaktik. Beispiele sind hochpreisige Unterhaltungselektronik, Konzertkarten, Mode in limitierter Auflage und sogar NFTs.

Unternehmen, die diese Produkte verkaufen, sollten während der Weihnachtszeit besonders vorsichtig vor Inventory-Hoarding Bots (auch bekannt als „Grinch-Bots“) sein. Diese Bots kaufen automatisch Produkte oder Dienstleistungen schneller ein, als Menschen dazu in der Lage sind, um sie in der Regel mit einem Aufschlag auf einem Gebrauchtmarkt zu verkaufen. Turnschuhe in limitierter Auflage sind zum Beispiel das Ziel einer speziellen Bot-Kategorie geworden: „Sneaker-Bots“.

Die Auswirkungen von „Inventory Hoarding Bots“ – Produkte, die innerhalb von Minuten vergriffen sind – sind nicht schwer zu erkennen. Das Problem ist nur, dass der Schaden bereits angerichtet ist, wenn man sie erst einmal bemerkt hat, und dass Ihre echten Kunden bereits frustriert sind. Um diese Bots daran zu hindern, ihre Arbeit jemals zu Ende zu bringen, sollten Sie Taktiken wie diese in Betracht ziehen:

  • Challenges: Die Verwendung von Managed Challenges stellt sicher, dass nur echte Nutzer einen Kauf tätigen können. CAPTCHA-Alternativen sind jetzt als Managed Challenges verfügbar, die die Echtheit eines Nutzers bestätigen, ohne die schlechte Benutzererfahrung von CAPTCHAs.

  • Durchsatzbegrenzung: Um die Häufigkeit zu begrenzen, mit der ein Bot Bestände kaufen kann.

  • Einrichtung eines „Honeypots“: Ein Honeypot ist ein vorgetäuschtes Ziel für „Bad Actors“, die den schlechten Akteur beim Zugriff als böswillig entlarven. Bei einem Bot kann ein Honeypot eine Seite auf der Website sein, die von der robots.txt-Datei für Bots als verboten vermerkt ist. Vertrauenswürdige Bots lesen die robots.txt-Datei und vermeiden dann diese Webseite; einige Schadbots interagieren mit der Website. Durch Nachverfolgung der IP-Adresse der Bots, die auf den Honeypot zugreifen, können solche Schadbots identifiziert und blockiert werden.

Leider können einige dieser Taktiken das Nutzererlebnis beeinträchtigen und möglicherweise nicht einmal die fortschrittlichsten Bots stoppen. Daher müssen Unternehmen, die durch das Horten von Beständen (Inventory-Hoarding) gefährdet sind, unter Umständen auch in eine spezielle Bot-Management-Lösung investieren, welche Machine Learning und fortschrittliche Verhaltensanalyse nutzt.


Frage 3: Verwenden Sie ein Zahlungssystem eines Drittanbieters?

Jedes E-Commerce-Unternehmen muss sein Zahlungssystem während der Weihnachtszeit vor einer Vielzahl von Bedrohungen schützen. Beispielsweise bombardieren Angriffe mit dem Credential Stuffing für Kreditkartendaten ein Zahlungssystem mit gestohlenen Kreditkartennummern, und agecart-Angriffe fangen die Kreditkartennummern von Kunden ab.

Unternehmen, die Zahlungsdienste von Drittanbietern nutzen, müssen sich jedoch noch um etwas anderes kümmern – die Sicherung der Zahlungs-API. Wenn die API eine unbekannte Sicherheitslücke aufweist oder für die zehn wichtigsten API-Sicherheitsrisiken anfällig ist, können Angreifer möglicherweise Kreditkarteninformationen abfangen. Die gleiche Folge könnte bei einem Authentifizierungsangriff auftreten, bei dem der Angreifer einen relevanten API-Schlüssel stiehlt oder ein Authentifizierungs-Token abfängt und verwendet.

Der erste Schritt zur Verhinderung dieser Angriffe besteht häufig darin, die APIs überhaupt erst zu identifizieren. Unter den Branchen verzeichnet der Einzelhandel das zweitschnellste Wachstum des API-Traffics, weshalb es für E-Commerce-Unternehmen wichtig ist, im Vorfeld der Weihnachtssaison einen Dienst zur Erkennung von API-Endpunkten zu nutzen. Sobald sie alle gefährdeten Endpunkte identifiziert haben, können sie die folgenden Taktiken anwenden:

  • Schemavalidierung: Konkret geht es darum, API-Aufrufe zu blockieren, die nicht dem „Schema“ der API entsprechen, d. h. dem Muster der Anfragen, die sie empfangen soll.

  • API-spezifische Missbrauchserkennung: Verstehen Sie missbräuchlichen Traffic und nutzen Sie API-zentrierte Durchsatzbegrenzung, um übermäßigen, missbräuchlichen API-Traffic zu blockieren, basierend auf einem minutengenauen Verständnis des Traffics jedes API-Endpunkts.

API-Sicherheitstaktiken sind auch für andere Dienste von Drittanbietern wichtig – z. B. Inventar-Tracker, standortbezogene Dienste und dynamische Preisgestaltungstools – aber Zahlungssysteme sind aufgrund ihrer Verwendung von Finanzdaten möglicherweise das attraktivste Ziel und verdienen daher besondere Aufmerksamkeit bei der Weihnachtswerbung.


Frage 4: Akzeptieren Sie Zahlungen in Kryptowährungen?

Alle Transaktionen mit Kryptowährungen werden in einer entsprechenden Blockchain aufgezeichnet – einer langen Liste von Aufzeichnungen, die in einem dezentralen Netzwerk aus vielen Computern leben. Um Online-Shops mit diesen dezentralen Netzwerken zu verbinden, verwenden die meisten Unternehmen eine spezialisierte API oder einen Gateway-Dienst.

Theoretisch können Blockchain-Transaktionen nicht gefälscht oder verändert werden – dies gilt jedoch nicht für die entsprechende API. Diese Konnektoren sind häufige Ziele für den Diebstahl von Kryptowährungen. Und da es sich bei Kryptowährungen um einen schnelllebigen und unregulierten Markt handelt, werden die entsprechenden APIs und Gateways möglicherweise nicht so genau auf ihre Sicherheit hin geprüft wie andere Zahlungsmittel.

Um zu verhindern, dass diese Bedrohungen Zahlungen in Kryptowährungen während der Vorweihnachtszeit stören, sollten E-Commerce-Unternehmen die oben erwähnten API-Sicherheitstaktiken prüfen: Schemavalidierung und WAF-Regeln.


Fortführung des Priorisierungsprozesses

Die Beantwortung dieser Fragen ist ein wichtiger Schritt im Prozess der Priorisierung von Risiken, aber sie sind nur ein Anfang. Im Idealfall ist ein Unternehmen in der Lage, Angriffsdaten aus früheren Weihnachtszeiten zu analysieren, um zukünftige Bedrohungen vorherzusagen. Sie können auch folgende Faktoren berücksichtigen:

  • Welche Arten von Angriffen die größten finanziellen Auswirkungen haben könnten, sei es durch Umsatzverluste oder Abwehrkosten

  • Welche Angriffsarten das größte Risiko eines Datenverlusts oder einer Kompromittierung mit sich bringen

  • Bei welchen Angriffen die Wahrscheinlichkeit am größten ist, dass sie zu einem Ausfall der Website führen

Cloudflare kann bei der Priorisierung helfen. Das Cloudflare Security Center ist in jedem Tarif enthalten und hilft Unternehmen, ihre IT-Ressourcen zu inventarisieren, potenzielle Sicherheitsrisiken aufzulisten und mögliche Bedrohungen leichter zu untersuchen.

Darüber hinaus können die Dienste für Anwendungssicherheit von Cloudflare dabei helfen, alle in diesem Artikel beschriebenen Bedrohungen sowie DDoS-Angriffe, Bot-Angriffe aller Art, Zero-Day-Schwachstellen und vieles mehr abzuwehren.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.


Wichtigste Eckpunkte
  • Welche speziellen Bedrohungen für Webanwendungen ein größeres Risiko für Ihr Unternehmen darstellen

  • Wann Sie der API-Sicherheit, dem Bot-Management und anderen Sicherheitsaspekten besondere Aufmerksamkeit schenken sollten

  • Warum es wichtig ist, Ihre Sicherheitsvorkehrungen während der Feiertage zu verstärken


Verwandte Ressourcen


Vertiefung des Themas:

Erfahren Sie mehr über wichtige Überlegungen zur Sicherheit von Webanwendungen. Holen Sie sich den Gartner MQ for Web Application and API Protection.

Erhalten Sie eine monatliche Zusammenfassung der beliebtesten Internet-Insights!