Beiträge

Gastblog: „E-Commerce-Mafia“, Erpressung – Datendiebstahl – Vandalismus: Was nun?

Es klingt wie ein reißerischer Hollywood-Film: „Keiner ist sicher vor der E-Commerce-Mafia“. Wer jedoch dachte, Erpressung, Datendiebstahl und Vandalismus durch Cyberattacken gäbe es nur in der Fiktion oder in Einzelfällen, der irrt gewaltig.

Eine im Mai 2014 veröffentlichte Studie der Universität Regensburg über die „Informationssicherheit im E-Commerce 2014“, die im Auftrag von ibi research erstellt wurde, enthüllt erschreckende Daten über den deutschsprachigen E-Commerce-Markt. Demnach wurde etwa jedes fünfte der befragten Unternehmen bereits erpresst, und ebenfalls jedes fünfte Unternehmen um sensible Daten bestohlen. Rund 20 Prozent der Online-Shops wurden gehackt und sogar jedes dritte Unternehmen hatte bereits Kontakt mit Erpressung, Datendiebstahl oder Hackern. Es betrifft nicht nur die „Großen“. Die Zahlen zeigen, es betrifft alle E-Commerce-Unternehmen.

Noch alarmierender zeigt sich die Situation, wenn man einmal genauer nachfragt: Fast 12 Prozent der Online-Shops geben an, dass sie zunächst mittels DDoS-Attacken angegriffen und anschließend mit Lösegeld-Forderungen erpresst wurden. Und schlimmer noch: einige Unternehmen werden sogar regelmäßig Opfer solcher Erpressungen. Eine neue Form der Mafia ist dabei sich zu organisieren: die E-Commerce-Mafia. Und das ist leider kein Hollywood-Film, sondern Realität.

Wie die Angriffe erfolgen? Es handelt sich häufig um Angriffe durch für Standardsysteme unbezwingbare Datenmengen – sogenannte DDoS-Angriffe! Bei diesen Distributed-Denial-of-Service (DDoS) Angriffen wird die Dienstverweigerung eines Systems ganz einfach durch die Überflutung mit großen Datenmengen erzielt. Dabei gibt es verschiedene Möglichkeiten, ein System zu überlasten: Sei es durch große Mengen an unvollständigen TCP-Systemverbindungen, durch große IP-Pakete oder durch automatisch generierte Anfragen zu Webseiten, welche die Zielsysteme – in diesem Fall Onlineshops – nicht mehr verarbeiten können.

Im Unterschied zu einer DoS-Attacke, bei der Angriffe von nur einem Rechner ausgehen, liegt den DDoS-Attacken ein verteilter Aufbau zugrunde. Ein Script zur Ausführung eines Angriffs wird einfach auf viele Hosts verteilt. Diese dazwischen geschalteten Wirte werden in Hacker-Kreisen auch als „Zombies“ oder „Bots“ bezeichnet. So entstehen ferngesteuerte Netze aus miteinander kommunizierenden Bots – die sogenannten Botnetze.

Auch wenn jeder einzelne Host nur über eine vergleichbar schwache Netzwerkleitung verfügt, kann der Angreifer durch eine strukturierte Vorgehensweise von mehreren Stellen aus angreifen. Dabei wird die Netzwerklast so groß, dass auch Server mit einer hohen Bandbreite sozusagen „in die Knie“ gehen.

Was also können Onlineshops dagegen tun? Es gibt schlicht nur drei Möglichkeiten: Den Täter finden und zur Rechenschaft ziehen oder sich wirksam vorher schützen – oder beides. Vorbeugen ist immer besser als Reparieren!

Nur wie können Shops sich wirksam gegen DoS- oder DDoS-Angriffe schützen? In einigen Systemen ist es möglich, die Anzahl der Versuche, ein ACK-Paket (Acknowledgement) vom Server aus zu versenden, zu verringern. Eine andere Variante wäre, die maximal zulässige Anzahl an halboffenen TCP-Verbindungen zu beschränken. Mit beiden Ansätzen werden die vom Server bereitgestellten Ressourcen zur Herstellung von Verbindungen geschont. Der Nachteil ist, dass diese Maßnahmen auch negative Auswirkungen auf normale Benutzer haben, die aufgrund einer langsamen Internetverbindung mehr Zeit für die Durchführung des Three-Way-Handshakes benötigen.

Eine weitere Möglichkeit ist es, die Anzahl der Sockets – also der bidirektionalen Software-Schnittstellen zur Netzwerk-Kommunikation – zu erhöhen. Multiple Sockets ermöglichen es, mehrere Verbindungen gleichzeitig herzustellen. Die Wahrscheinlichkeit, dass ein Angreifer so viele SYN (Synchronize)-Pakete schickt, dass dabei alle Sockets belegt werden, wird dadurch minimiert. Diese Maßnahmen mindern zumindest die Risiken, aber sie sind bei Weitem nicht ausreichend und auch nicht für alle Unternehmen umsetzbar.

Die bessere Alternative: Auslagern an vertrauenswürdige Managed Services Provider. Aber Achtung: Gehen Sie dabei sicher, dass diese Provider unter anderem über die entsprechende Infrastruktur und die einzige international anerkannte Norm für Informationssicherheit ISO/IEC 27001 verfügen. Dass Shops sich durch Auslagerung wirkungsvoll schützen können, zeigen auch die Zahlen der ibi-Studie: Trotz der hohen Angriffsrate auf alle Onlineshops waren nur 7,7 Prozent der ausgelagerten Miet-Shops betroffen.

Doch über welche Schutzmechanismen sollten Managed Service Provider verfügen? Spezialisierte Anbieter arbeiten zum Beispiel mit sogenannten Core-Caching-Diensten. Diese ermöglichen es, statische Objekte der Onlineshops zwischen zu speichern und mittels einer Vielzahl von Systemen beschleunigt an den Endkunden zu verteilen. Bei einem Ausfall von einem oder mehreren Front-Servern des einzelnen E-Commerce-Anbieters bleiben die im Cache enthaltenen Objekte im Ernstfall über mehrere Stunden verfügbar. Angriffe auf Webseiten werden bereits über den Caching Layer abgewehrt. Hierbei kommt das sogenannte Scrubbing zur Anwendung. Beim Scrubbing wird der Datenverkehr durch spezielle Geräte und Mechanismen im Provider Backbone um maliziöse Daten „gesäubert“ bevor er an die jeweilige Zielwebsite weitergeleitet wird. Dadurch sind die Systeme vor direkten Angriffen geschützt und auch bei einer großen DDoS-Attacke erreichbar.

Entscheidend für die Wahl eines Service Providers sind auch dessen technische Ausstattung und die Anbindung seines Backbones. Der Backbone des Managed Service Providers Claranet beispielsweise ist mehrfach mit zehn Gigabit an den weltgrößten Internetaustauschknoten DE-CIX in Frankfurt und zusätzlich an weitere europäische Peering-Punkte wie LINX, AMSIX und PARIX, sowie an verschiedene Upstream-Provider, angebunden. Die Claranet Managed Services Plattform auf Basis von Nutanix ist ebenfalls redundant mit vier Mal zehn Gigabit mit dem Backbone verbunden und mit einem speziell von Claranet entwickelten Framework (Web Acceleration & DoS Protection) gesichert. WADP, das als Kernkomponente den Caching-Layer der Claranet sowie mehrere DDoS-Protection Appliances von Arbor Networks verwendet, schützt die Plattformen und den Backbone zuverlässig gegen DDoS-Angriffe. Ein umfassendes Monitoring signalisiert eventuelle Angriffe, um definierte Vorgehensweisen unverzüglich ausführen zu können. Die hinter der DDoS-Protection geschalteten transparenten Firewalls verfügen zusätzlich über einen speziell entwickelten ASIC-Prozessor (Application Specific Integrated Circuit), der den Schutz vor ungewolltem Traffic zusätzlich erhöht.

Solche Sicherheitsmaßnahmen sind auch für größere Unternehmen oft nur schwer zu realisieren und mit hohen Kosten verbunden. Deshalb lautet mein Fazit: Prävention durch Auslagerung!

Foto_Fabian Kaiser_swAutor
Fabian Kaiser ist Head of Security & Compliance bei Claranet und verantwortet die Bereiche IT-Sicherheit, Datenschutz, Legal und Compliance. Zusätzlich ist er seit zwei Jahren als Chief Information Security Officer (CISO) tätig. Kaiser ist Mitglied bei der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD).

Mit integrierten Hosting- und Netzwerk-Services unterstützt Claranet Unternehmen, sich auf ihr Kerngeschäft statt auf den Betrieb von IT-Infrastrukturen zu konzentrieren. Gartner positionierte Claranet im „Magic Quadrant 2014“ als ein führendes Unternehmen für Cloud-Enabled Managed Hosting in Europa. Der Managed Service Provider unterhält 32 Rechenzentren in Europa und betreibt große Hosting-Umgebungen, beispielsweise in den Bereichen Big Data, Portale und eCommerce für Kunden wie Leica, Aktion Mensch, N24, Flaconi und Outletcity Metzingen. Claranet ist gemäß der internationalen Norm für Informationssicherheit ISO/IEC 27001 zertifiziert. Weitere Informationen über Claranet gibt es unter www.claranet.de.

Scrum-Event – OXID eSales und Uni Freiburg

Im Rahmen unseres Praktikums hatten wir die Möglichkeit, an einem Workshop zum Thema Scrum teilzunehmen. Der Workshop wurde von zwei OXID Mitarbeitern geleitet und in Kooperation mit der Uni-Freiburg durchgeführt. Insgesamt nahmen 15 Studenten der Uni Freiburg teil.

Da einige Studenten noch nie von dem Prozess Scrum gehört hatten, gab es dazu eine kurze und knackige Einführung. Zusammengefasst ist Scrum ein agiles Rahmenwerk, mit dessen Hilfe komplexe adaptive Aufgabenstellungen umgesetzt, sowie Produkte mit höchstmöglichem Wert ausgeliefert werden können. (vgl. scrum.org)

Für den Workshop wurden wir in 2 gleich große Teams mit je einem Product Owner eingeteilt. Wir Studenten verkörperten das Development-Team. Unsere Hauptaufgabe war es, einen Onlineshop zu erstellen. Diese wurde in viele kleine Teilaufgaben aufgeteilt, welche auch User Stories genannt werden.
Jedes Team versammelte sich vor einem Scrum-Board, um die User Stories zu priorisieren.
Anschließend wählte jeder Student eine Teilaufgabe aus, die er innerhalb eines bestimmten Zeitrahmens bearbeiten musste. Die wichtigste Aufgabe im ersten Durchlauf war es, den Shop zu installieren und funktionsfähig zu machen. Um diese kümmerten sich 2 der Studenten. Die restlichen Studenten hatten Aufgaben, wie zum Beispiel das Impressum anzulegen, Informationen des Händlers zu sammeln oder die Artikel zu beschreiben und sie für den Onlineshop zu fotografieren.
Während des ersten Sprints, versammelten sich die Teams regelmäßig zu einem Daily Scrum, um sich zu synchronisieren.IMG_8866
Dabei bearbeitete jedes Teammitglied folgende 3 Fragen:

  • Was habe ich gerade gemacht?
  • Was ist mein Tagesziel? Was möchte ich schaffen?
  • Sind bei der Umsetzung meiner Aufgabe Probleme aufgetreten?

Falls ein Task nicht vollständig oder nicht korrekt umgesetzt werden konnte, wurde dieser Task mit in die nächste Runde genommen und dann umgesetzt. Der zweite Sprint verlief anschließend fehlerfrei, da wir aus den Fehlern, die im ersten Sprint unterlaufen sind, gelernt hatten. Nach dem zweiten Sprint war der Onlineshop funktionsfähig konfiguriert, alle ausgewählten Artikel wurden hochgeladen und alle rechtlich notwendigen Informationen wurden eingefügt. Von jedem Team wurde noch ein Gruppenfoto als Titelbild platziert. Zum Schluss gab es zu jedem Shop eine kleine Präsentation, bei der nochmals die einzelnen Aufgaben, sowie das Endergebnis vorgestellt wurden.

 Zusammenfassend kann man sagen, dass beide Teams ihre Aufgaben erfolgreich umsetzt haben und somit, am Ende der Veranstaltung, zwei Onlineshops live geschaltet werden konnten. Somit hat jeder die Möglichkeit, sich die Produkte anzuschauen und zu kaufen. Der Erlös, den wir damit erwirtschaften, wird an den Förderverein für Krebskranke Kinder e.V. gespendet.

Scrum-Shop 1
Scrum-Shop 2

Der Workshop war für alle Beteiligten ein großer Erfolg. Jeder hatte Spaß, sowohl die Studenten als auch die Leiter des Workshops. Auch für die Zukunft haben wir einiges mitgenommen.
Den Prozess Scrum kann man nur weiterempfehlen, da komplexe Projekte übersichtlicher werden und Fehler sowie Probleme schneller bemerkt und behoben werden können. Durch die Priorisierung der Aufgaben und die Abschätzung des Aufwandes kann besser geplant werden. Die Kommunikation aller Beteiligten am Projekt wird durch tägliche Meetings und Reviewtreffen gewährleistet. Dadurch können auch Missverständnisse vermieden und konkrete Wünsche schnell angepasst und umgesetzt werden. Die Methode strukturiert den Ablauf des Projekts besser und Fortschritte sind einfacher erkennbar. Durch einzeln gefertigte Produktinkremente gibt es auch immer ein zu präsentierendes Ergebnis.IMG_8882

Fazit Studenten:Wir, die Studenten, würden das Scrum-Event als abwechslungsreich und spannend beurteilen. Es hat uns großen Spaß gemacht, in kleinen Teams zu arbeiten und Teil eines großen Projekts zu sein. Trotz weniger Stunden des Workshops fühlen wir uns bereits vertraut mit dem Scrum-Prozess. Oliver Charles und Oliver Ciupke haben mit Besipielen aus dem Berufsleben die einzelnen Prozesse anschaulicher und besser verständlich gemacht.“

Fazit Dr.-Ing. Oliver Ciupke: „Mir hat die Veranstaltung viel Spaß gemacht und ich war positiv überrascht, wie schnell die Studenten die Aufgaben lösen und umsetzen konnten.“

Fazit Oliver Charles: „Eine rundum gelungene Veranstaltung mit hohem Spaß- und Lernfaktor  –  das tolle Ergebnis der Studenten spricht für sich!“

Autorinnen
Vanessa Schneider und Tatjana Gallazzini sind Studenten an der Hochschule Furtwangen.
Ihr sechs-monatiges Praktikum absolvieren sie bei OXID eSales im Bereich Platform Relations und Marketingkommunikation.

 

Mehr Bilder finden sie: Hier.

Gastblog: Nur beste Online-Shops atmen Zukunftsstrategie

„Die Organisation von Preis- und Sortimentsmanagement erfolgt heute vor allem produktzentriert. Der Einzelhandel ist gefordert, künftig stärker die Kundensicht auf Preise und Sortimente abzubilden.“ So Mercer in einer Studie. Vielen Online-Shops sieht man diese Product Centricity an: Produkt reiht sich an Produkt, Bedarfsbündel fehlen, Konditionen sind nicht auf den Einzelkunden zugeschnitten.

Kunde statt Produkt heißt die oft fehlende Grundsatzstrategie

Die Zukunft: Kunde statt Produkt – Customer statt Product Centricity. Vom Kunden zurück takten lautet der Auftrag. Was will der Kunde? Wie kann er sich seine individualisierten Marktleistungen selbst zusammenstellen? Wie schaffen wir es, dass der Kunde gleich das sieht, was ihn anzieht? Und: Wie halten wir das Lieferversprechen zeitlich genau ein? Nutzen wir Wertschöpfungspartnerschaften? Bei Amazon werden die Antworten durch den Rückwärts-Code bestimmt. Es macht Sinn, lernende Systeme nur den Kunden zuzuschneiden. Doch um dahin zukommen braucht es auch strategische Entscheidungen zum Wettbewerb, z.B. durch eine SWOT:

Den meisten Online-SWOTs fehlen – Zielstrategien

SWOTAus der SWOT muss man vier Strategie-Typen ableiten und auch bei neuen und großen Shops eine präzisieren:

  • Die Voraussetzung für eine differenzierte SWOT ist das Vorliegen einer Unternehmensstrategie auf die sie aufsetzt und die sie in Bezug zum Wettbewerber-Umfeld reflektiert.
  • Die Grundlage zu der Bewertung von SWOT sollten so weit möglich objektivier- und reproduzierbare Daten sein. Hierzu zählen neben technischen und ökonomischen Fakten beispielsweise auch Wertstromanalysen, Ergebnisse von Kundenzufriedenheitsanalysen, Marktstudien, Imageanalysen, Wettbewerbsbeobachtungen, Finanz- und Investanalysen etc. Eine gute SWOT wird also an den Quellen erkannt.

SWOT-Strategien kombinieren jeweils zwei der vier Beurteilungskriterien zu einer Zielstrategie.

  1. S-O Strategien: Sie dienen der Nutzung der Chancen des Unternehmens unter Einsatz von dessen Stärken
  2. S-T Strategien: Sie streben den Ausgleich bzw. die Entschärfung von Marktrisiken durch Besinnung auf eigene Stärken an
  3. W-O Strategien: Sie nutzen Chancen in dem Unternehmensschwächen abgebaut werden
  4. W-T Strategien: Sie bauen Schwächen ab und reduzieren Risiken

Nur wenig kann man nicht in Online-Shops vermarkten. Eigene Strategien gehören dazu….

Autor
Malte W. Wilkes ist Seniorpartner der Management Consultancy Erfolgsketten Management Wilkes Stange GbR in Hamburg, Redner, Moderator, Diskutant und Ehrenpräsident des BDU Bundesverband Deutscher Unternehmensberater. Der zigfacher Buchautor hat sich einen Namen als Pionierexperte in Customer Centricity gemacht.