Kategorien
blog pci

Online Skimming und wie Sie sich als Händler schützen

Was ist Online Skimming / E-Skimming und wie können Sie sich als Händler davor schützen?

Online Skimming (auch E-Skimming genannt) ist eine Form des Online-Kartenbetrugs. Beim Online-Shopping und der damit verbundenen Eingabe von Kartendaten bestand schon immer die Gefahr, Kartendaten an Betrüger aus Versehen preiszugeben. Verschiedene Mechanismen haben dies zwar mittlerweile erschwert, jedoch ist dies eher ein „Hochrüsten“ auf beiden Seiten der Legalität.

Im letzten halben Jahr hat die Zahl der Online-Einkäufe deutlich zugenommen (Corona lässt grüßen). Es kaufen aber nicht nur mehr Menschen vermehrt online ein, auch die Zahl der Online-Shops hat sich im Laufe dieses Jahres merklich erhöht. Gerade viele kleine Händler haben neue Online-Shops zusätzlich zum stationären Handel eröffnet, um Ihre Kunden bedienen zu können. Und dies, so meine Vermutung, gelegentlich im Hauruck-Verfahren.

In diesem Artikel geht es um Online Skimming, was dies eigentlich ist und wie Sie als Händler sich und Ihre Kunden davor schützen können.

Was ist Online Skimming?

Wörtlich übersetzt bedeutet Skimming so viel wie „absahnen“ oder „abschöpfen“. Und genau das passiert beim Skimming.

Bekannt wurde das Skimming vor allem offline – also im echten Leben. In den letzten Jahren gab es immer wieder Schlagzeilen von präparierten Geldautomaten, bei denen die Kartendaten von Kunden „geklaut“ wurden. Dabei werden Daten vom Magnetstreifen bzw. Chip ausgelesen (besser gesagt: mitgelesen). Die PIN wird ebenfalls anhand verschiedener Methoden ausspioniert (Kamera, Tastatur-Mitleser).

Anschließend wird eine Kopie der Karte erstellt, die Automaten nicht vom Original unterscheiden können. Mit der gefälschten Karte können Betrüger Geld abheben, einkaufen, usw.

Beim Online Skimming passiert im Prinzip das Gleiche – nur digital bzw. online.

Einfach formuliert geschieht Folgendes: Zahlungs- und Kreditkartendaten werden bei Online-Shops mittels Schadsoftware und/oder dem Einschmuggeln schadhafter Codes via Script abgefangen. Diese mitgelesenen Daten werden im Hintergrund und unerkannt weitergeleitet. Wie auch beim Offline Skimming haben die Betrüger nun die Kartendetails und können mit ihren Aktivitäten loslegen.

Solche Angriffe sind sehr schwer zu entdecken. Die Kartendaten werden unbemerkt „abgeschöpft“, Kunde und Händler merken davon in aller Regel zunächst gar nichts.

Wo werden die Kartendaten geklaut?

Es sind verschiedene und immer wieder neue Methoden im Umlauf, die letztlich alle das gleiche Ziel verfolgen. Es soll eine Malware implementiert werden, um so die eingegebenen Daten auszulesen. Dabei gibt es meist zwei Angriffspunkte:

  1. direkt auf der Website des Online-Shops
  2. auf der Seite von externen Dienstleistern zur Zahlungsabwicklung.

Die zweite Variante ist besonders gefährlich (bzw. je nach Sichtweise: besonders lukrativ). Wenn ein Dienstleister „gekapert“ wurde, sind prinzipiell alle Online-Shops bzw. Unternehmen, die ihre Zahlungen über den betroffenen Dienstleister abwickeln, potentiell betroffen.

Der schadhafte Code greift meistens dann, wenn Kunden ihre Daten beim Abschluss des Bestellvorgangs eingeben. Dabei können neben den Kreditkartendaten noch viele weitere persönliche Daten wie Adressen, Namen, E-Mail-Adressen, Telefonnummern, Usernamen und Passwörter kompromittiert werden.

Welche Unternehmen sind gefährdet?
Muss ich mich als (kleiner) Händler überhaupt darum kümmern?

Zunächst die schlechten Nachrichten:

  1. alle Online-Zahlungen, bei denen keine ausreichenden Sicherheitsvorkehrungen getroffen werden, sind potentiell gefährdet
  2. kleine Händler sind da keine Ausnahme – im Gegenteil, bei ihnen ist die Gefahr sogar noch größer!

Im Jahr 2019 fielen 43 % der Online Skimming Angriffe auf kleine Händler bzw. Shops. Damit sind sie die größte Zielgruppe von Cyberattacken dieser Art.

Die Gründe dafür sind offensichtlich:

  • fehlendes Wissen um die Problematik Online Skimming
  • unzureichende Datensicherheit
  • keine große IT-Abteilung (meist einhergehend mit nicht sehr umfangreichem Know-How in Bezug auf IT-Sicherheit)
  • geringes oder gar kein Budget zur Sicherheitsüberwachung im Hintergrund.

All das wissen Kreditkartenbetrüger und Cyberkriminelle natürlich. (Kleinere) Händler werden gezielt angegriffen, immer wieder laufen Versuche, eine Malware einzuschleusen.

Eine kleine Info am Rande: Jeden Tag gibt es durchschnittlich 12 Versuche von nicht autorisierten Personen (Robotern, vermute ich), sich im Backend meiner Website einzuloggen. Was sie da wollen, ist mir rätselhaft, so spannend ist das nun auch nicht. Aber stellen Sie sich das mal für Ihre Website vor, Ihren Online-Shop, Ihre Kundendaten!

Mit dem Wissen um die Problematik Online Skimming sind Sie jedoch bereits einen Schritt weiter. Denn das Wissen um diese Gefahr macht Sie einerseits aufmerksamer, andererseits können Sie nun Maßnahmen ergreifen, um solche Angriffe zu verhindern.

Was können Sie gegen Online Skimming tun?

Vorbeugende Maßnahmen zur Verhinderung von Online Skimming Angriffen

Vor einer Weile habe ich bereits einen Artikel zu den wichtigsten Maßnahmen zum Schutz von Kartendaten veröffentlicht. Diese können Sie weitestgehend auch auf Zahlungen in Online-Shops übertragen.

Die wichtigsten Maßnahmen gegen Online Skimming in der Zusammenfassung:

  • halten Sie Software immer auf dem neuesten Stand, führen Sie regelmäßig Updates durch und halten Sie sich an empfohlene Sicherheitsmaßnahmen
  • verwenden Sie eine sichere Verschlüsselung und starke Passwörter
  • beschränken Sie den Zugriff auf das, was absolut notwendig ist; jeglicher weiterer Zugriff sollte durch Voreinstellungen automatisch verweigert werden
  • nutzen Sie eine Firewall und Antivirensoftware und halten Sie diese stets auf dem neuesten Stand
  • informieren Sie sich umfassend bei der Auswahl von externen Dienstleistern.

Murphy’s Law: Wenn etwas schiefgehen kann, dann wird es auch schiefgehen

Mit diesem Artikel über Online Skimming will ich keineswegs den Teufel an die Wand malen. Ganz oft geht alles gut, alle sind glücklich.

Das Problem ist immer wieder das Gleiche.

Wenn nichts passiert, hat man entweder Glück gehabt oder der Aufwand für umgesetzte Sicherheitsmaßnahmen war „anscheinend“ vergeblich.

Wenn Sie nichts tun und es geht etwas schief, dann steht so richtig dicker Ärger ins Haus. Was dieser „Ärger“ im Detail sein kann, darauf gehe ich in einem kommenden Artikel zum Thema PCI DSS ein.

Und vergessen Sie nicht: Wenn etwas schiefgehen kann, dann wird es auch schiefgehen.

Ein QIR zur Vorsorge

Als sogenannter Qualified Integrator and Reseller (QIR) bin ich vom PCI SSC (Hintergrundwissen erfahren Sie durch Klick auf den Link) zertifiziert und führe sogenannte qualifizierte Installationen durch.

Ich betreue Sie von der Installation bis zur Inbetriebnahme Ihrer Zahlungsanwendung, sodass Sie und Ihre Kunden auf der sicheren Seite sind. Bestehende Systeme reviewe ich und gebe Ihnen Rückmeldung, welche Verbesserungen vorgenommen werden könnten. Und dies in der digitalen Welt für Ihren Online-Shop oder in unserer physischen Welt.

Hier können Sie mich kontaktieren.

Ich hoffe, ich konnte Ihnen das Thema Online Skimming etwas näherbringen.

Viel Erfolg mit Ihren Online-Kartenzahlungen wünsche ich Ihnen, auf dass immer alles gut und rund bei Ihnen laufen mag.

Noch ein Tipp zum Abschluss. Die Themen Debitkarten, Kreditkarten, Kartensicherheit, Sicherheit bei Onlinezahlungen, usw. interessieren Sie? Dann melden Sie sich gerne für den Newsletter an, auch zum Thema PCI und Kartenzahlungen schreibe ich.

Einen erfolgreichen Tag wünsche ich Ihnen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.