E-Commerce-Sicherheit für die Festtage

Vorbereitung auf neue Cyberbedrohungen

Es ist bekannt, dass die Weihnachtszeit vermehrt Gelegenheit für Cyberangriffe bietet, wobei primär die E-Commerce-Branche ins Visier genommen wird. Besondere Ereignisse führen zu einem Anstieg des Traffics im Internet – einige davon werden durch Cyberbedrohungen verursacht. Und Führungskräfte für E-Commerce- und IT-Sicherheit sind in dieser Zeit oft überlastet, insbesondere wenn sie mehrere, spezialisierte Einzellösungen verwalten müssen.

Angesichts dieses Trends stellt sich nicht die Frage, ob man sich auf einen Angriff vorbereiten sollte, sondern welche Arten von Angriffen das größte Risiko für Ihr Unternehmen darstellen.

Um den E-Commerce-Betrieb für die Weihnachtstage zu rüsten, bedarf es einer gewissen Priorisierung. Neben dem Aufbau eines soliden Basisschutzes gegen gängige Bedrohungen von Webanwendungen wie DDoS-Angriffe und Zero Day-Schwachstellen müssen sich Online-Händler für die speziellen Angriffsarten rüsten und wappnen, die ihr Geschäft und ihre Einnahmen während der Feiertage wahrscheinlich beeinträchtigen werden.

Die Beantwortung der folgenden vier Fragen kann den Prozess der Priorisierung in Gang bringen. Dadurch sind E-Commerce-Unternehmen besser in der Lage, in dieser Weihnachtszeit erfolgreich zu sein – die fast 20 % ihres Gesamtumsatzes ausmachen kann.

1. Wie preisempfindlich sind Ihre Produkte?

2. Wie anfällig ist Ihr Unternehmen für Bestandsengpässe?

3. Sind Sie auf APIs angewiesen, um Ihren Webauftritt zu verbessern?

Frage 1: Wie preisempfindlich sind Ihre Produkte?

Bei einigen Produkten und Dienstleistungen – z. B. solchen, die preisgünstig, in hohem Maße standardisiert oder weit verbreitet sind – können geringe Preisunterschiede zwischen konkurrierenden Unternehmen die Kaufentscheidungen erheblich beeinflussen. Wenn ein Unternehmen während einer Weihnachtsaktion von einem Konkurrenten auch nur geringfügig unterboten wird, könnte dies zu einem erheblichen Umsatzrückgang führen.

Aus diesem Grund sollten Unternehmen mit preissensiblen Produkten in der Urlaubssaison besonders vorsichtig mit Scraping-Bots sein, die eine Website nach Preisinformationen durchsuchen und diese Informationen an einen Konkurrenten weiterleiten. Web-Scraping ist zwar nicht neu, aber mit den Fortschritten der KI sind Bots viel effizienter beim Scraping von Preisdaten, Inhalten und mehr geworden. Mit diesen Informationen kann der Wettbewerber sicherstellen, dass seine Produkte geringfügig günstiger sind – ein erheblicher Vorteil.

Price-Scraper sind schwieriger zu identifizieren als andere Arten von Bots, da sie keine offensichtlichen Folgen wie eine Zunahme von fehlgeschlagenen Authentifizierungen, ungewöhnlichen Käufen oder Spitzen bei neuen Nutzerkonten verursachen. Zu den Signalen, die helfen, Price-Scraper zu erkennen, gehören:

• Traffic-Spitzen, die nicht mit dem erwarteten Verbraucherverhalten übereinstimmen – da Bots für Preisabfragen Ihre Website ständig scannen

• Verschlechterte Performance der Website – aus demselben Grund

• Erhöhtes Traffic-Volumen von KI-Crawlern auf Ihre Websites/Apps

• Traffic-IP-Ursprünge, die auf Websites von Wettbewerbern zurückführen

Wenn Sie Price-Scraper auf Ihrer Website entdecken – oder vermuten, dass sie es während der Ferienaktionen auf Sie abgesehen haben – können Taktiken wie Durchsatzbegrenzung dazu beitragen, dass sie die Performance der Website nicht beeinträchtigen. Wahrscheinlich wird es aber trotzdem notwendig sein, in einen fortschrittlicheren Bot-Management-Dienst zu investieren, der Echtzeit-Bedrohungsdaten mit der Fähigkeit kombiniert, Schadbots (einschließlich KI-Scraper) automatisch zu identifizieren und herauszufiltern.

Frage 2: Wie anfällig ist Ihr Unternehmen für Bestandsengpässe?

Produktknappheit kann auf geplante Marketingtaktiken, überlastete Lieferketten oder übermäßige Nachfrage zurückzuführen sein. Beispiele für Ersteres sind hochpreisige Unterhaltungselektronik, Konzertkarten und Mode in limitierter Auflage.

Unternehmen, die diese Produkte verkaufen, sollten während der Weihnachtszeit besonders wachsam gegenüber Inventory Hoarding-Bots (auch bekannt als „Grinch-Bots“) sein. Diese Bots kaufen automatisch Produkte oder Dienstleistungen schneller ein, als Menschen dazu in der Lage sind, um sie in der Regel mit einem Aufschlag auf einem Gebrauchtmarkt zu verkaufen. Turnschuhe in limitierter Auflage waren beispielsweise das Ziel einer speziellen Bot-Kategorie geworden: „Sneaker-Bots“. Ein erfolgreicher Künstler versuchte sogar, Sneaker-Bots zu bekämpfen, indem er einen 100-fachen Preisaufschlag verlangte, wenn die Käufer nicht über seinen Fanclub-Code verfügten.

Die Auswirkungen von Inventory-Hoarding-Bots – also Produkten, die innerhalb von Minuten vergriffen sind – sind nicht schwer zu erkennen. Das Problem ist nur, dass der Schaden zu diesem Zeitpunkt bereits angerichtet ist. Um diese Bots früher zu blockieren, sollten Sie Taktiken wie diese in Betracht ziehen:

• Verwaltete Challenges: Die Verwendung von verwalteten Challenges stellt sicher, dass nur echte Nutzer einen Kauf tätigen können. Der Industriestandard für Challenges – CAPTCHA kann jedoch zu Reibungsverlusten führen und ist kann jedes Mal von KI-Modellen überlistet werden. CAPTCHA-Alternativen sind jetzt als verwaltete Herausforderungen verfügbar, die die Echtheit eines Nutzers bestätigen, ohne die Nachteile von CAPTCHAs.

• Rate Limiting: Begrenzen Sie, wie oft jemand (oder etwas) eine Aktion innerhalb eines bestimmten Zeitraums wiederholen kann. Dies trägt dazu bei, die Häufigkeit zu begrenzen, mit der Bots und gefälschte Benutzer Artikel in ihren Warenkorb legen, nur um sie dann wieder zu verwerfen.

• Einrichtung eines „Honeypots“: Ein Honeypot ist ein vorgetäuschtes Ziel für „Bad Actors“, die den schlechten Akteur beim Zugriff als böswillig entlarven. Bei einem Bot kann ein Honeypot eine Seite auf der Website sein, die von der robots.txt-Datei für Bots als verboten vermerkt ist. Vertrauenswürdige Bots lesen die robots.txt-Datei und vermeiden dann diese Webseite; einige schädliche Bots interagieren mit der Website. Durch Nachverfolgung der IP-Adresse der Bots, die auf den Honeypot zugreifen, können schädliche Bots identifiziert und blockiert werden.

Leider können einige dieser Taktiken das Nutzererlebnis beeinträchtigen und möglicherweise nicht einmal die fortschrittlichsten Bots stoppen. Für diejenigen, bei denen ein erhöhtes Risiko für das Horten von Beständen besteht, sollten Sie in ein spezielles Bot-Management investieren, das Machine Learning und fortschrittliche Verhaltensanalysen nutzt.

Frage 3: Wie sehr verlassen Sie sich auf APIs, um Ihren Webauftritt zu verbessern?

Abgesehen von den immer wiederkehrenden Bedrohungen wie Website-Ausfällen und Zahlungsbetrug sind Einzelhändler einem erhöhten Risiko ausgesetzt, weil sich die Angriffsflächen erweitern. So verlassen sich beispielsweise viele E-Commerce-Unternehmen bei der Verwaltung ihres CMS, ihres Produktbestands, ihrer Chatbots, ihrer Zahlungssysteme und vielem mehr auf APIs. Die zunehmende Verbreitung von Headless Commerce zur Ermöglichung hochgradig personalisierter Erlebnisse erhöht die Abhängigkeit von APIs noch zusätzlich.

Jede neue API bietet eine neue potenzielle Angriffsfläche. Aber Sie können nicht schützen, was Sie nicht sehen können – und ungefähr ein Drittel der Unternehmen verfügen über keine genauen API-Verzeichnisse. Unbekannte Schatten-APIs machen Unternehmen anfällig für Datenlecks, laterale Bewegung und andere Cyberrisiken.

Wenn eine API beispielsweise eine unbekannte Sicherheitslücke aufweist oder für die zehn größten API-Sicherheitsrisiken anfällig ist, können Angreifer möglicherweise Kreditkarteninformationen abfangen. Die gleiche Folge könnte bei einem Authentifizierungsangriff auftreten, bei dem der Angreifer einen relevanten API-Schlüssel stiehlt oder ein Authentifizierungs-Token abfängt und verwendet.

Der erste Schritt zur Verhinderung dieser Angriffe besteht häufig darin, die APIs überhaupt erst zu identifizieren. Ein Erkennungsdienst für API-Endpunkte hilft im Vorfeld der Weihnachtszeit dabei, gefährdete Endpunkte zu identifizieren und dann die folgenden Taktiken anzuwenden:

• Schemavalidierung: Konkret geht es darum, API-Aufrufe zu blockieren, die nicht dem „Schema“ der API entsprechen, d. h. dem Muster der Anfragen, die sie empfangen soll.

• API-spezifische Missbrauchserkennung: Verstehen Sie missbräuchlichen Traffic und nutzen Sie API-zentrierte Durchsatzbegrenzung, um übermäßigen, missbräuchlichen API-Traffic zu blockieren, basierend auf einem minutengenauen Verständnis des Traffics jedes API-Endpunkts.

Der digitale Fußabdruck von Einzelhändlern wächst mit dem Aufkommen von generativer KI, Livestream-Verkauf und anderen Technologien, die APIs nutzen. Langfristig kann die Umstellung auf einen DevSecOps-Ansatz sicherstellen, dass die Sicherheit in jeder Phase des Entwicklungszyklus von Apps und APIs berücksichtigt wird.

Fortführung des Priorisierungsprozesses

Die Beantwortung dieser Fragen ist ein wichtiger Schritt im Prozess der Priorisierung von Risiken, aber sie sind nur ein Anfang. Im Idealfall ist ein Unternehmen in der Lage, Angriffsdaten aus früheren Weihnachtszeiten zu analysieren, um zukünftige Bedrohungen vorherzusagen. Sie können auch folgende Faktoren berücksichtigen:

• Welche Arten von Angriffen die größten finanziellen Auswirkungen haben könnten, sei es durch Umsatzverluste oder Abwehrkosten

• Welche Angriffsarten das größte Risiko eines Datenverlusts oder einer Kompromittierung mit sich bringen

• Bei welchen Angriffen die Wahrscheinlichkeit am größten ist, dass sie zu einem Ausfall der Website führen

• Ob sich die Anwendungs-/API-Sicherheit der Firma in eine Lösung zum Schutz interner Nutzer (Mitarbeitende, Auftragnehmer, Entwickler) integrieren lässt

Ein besserer E-Commerce-Betrieb dank Connectivity Cloud

Damit Sie E-Commerce-Angriffen und -Trends das ganze Jahr über einen Schritt voraus bleiben können, benötigen Sie eine Cloud-native, sichere und zuverlässige Sicherheitsplattform mit geringer Latenz.

Um Kosten zu senken, die Agilität zu verbessern, sensible Daten zu schützen und sich gegen neue Bedrohungen zu wehren, bietet die Connectivity Cloud von Cloudflare sowohl Sicherheit als auch Performance-Verbesserungen. Eine Connectivity Cloud ist eine einheitliche, intelligente Plattform mit programmierbaren Cloud-nativen Diensten, die Organisationen mehr Transparenz und Kontrolle über ihre IT-Umgebungen gibt.

Cloudflare vereint die Sicherheit von Webanwendungen, APIs, Tools von Drittanbietern, Zero-Trust-Services und vieles mehr auf einer einzigen Steuerungsebene, wobei alle Services auf einer beispiellosen Bedrohungsdaten basieren.

Gemeinsam können Sie mit Cloudflare erstklassige Sicherheit und Performance für Ihr gesamtes digitales Kundenerlebnis erreichen und gleichzeitig die Kontrolle zurückgewinnen und die Agilität überall im IT-Stack verbessern.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Wichtigste Eckpunkte

• Strategien für die Cybersicherheit im Einzelhandel, die in der Weihnachtszeit Priorität haben sollten

• E-Commerce-Sicherheitstipps zum Schutz vor Schadbots, die die Nutzererfahrung beeinträchtigen und Ihre Einnahmen gefährden

• Für die Weihnachtszeit geeignete Strategien zum Schutz vor API-Missbrauch

Verwandte Ressourcen

• Wie es um Anwendungs-sicherheit steht

• The Forrester Wave: Bot-Management-Software

• Der API-Imperativ: Die digitalen Lebensadern schützen

• Wie Sie mit KI das Kundenerlebnis neu erfinden