Sicherheit beim Onlineshopping: Doppelt gemoppelt hält besser
2.11.2022
Smartphone, Dampfkochtopf oder Socken: Bestellt, mit der Kreditkarte bezahlt und schon landet der Einkauf bei dir im Briefkasten. Was aber tun, wenn sechs Computer, die du nie bestellt hast, auf deiner Kreditkartenabrechnung landen? Zwei unserer IT-Sicherheitsspezialisten erklären, wie sicheres Onlineshopping funktioniert und was du zur Sicherheit beitragen kannst.
Betrügern und Hackern das Leben schwer zu machen, um die Kundenkonti vor Zugriffen Unbefugter zu schützen, das ist der Job von Martin Wrona, Security Software Engineer, und Christian Margadant, Head of Engineering. Im Interview mit Sharon Zucker erklären sie, was Kundinnen und Kunden tun können und sollten, um sicher im Internet per Kreditkarte einzukaufen.
Hallo Martin, hallo Christian. Wie sicher sind die Daten der Kundinnen und Kunden bei Digitec Galaxus, wenn sie mit Kreditkarte zahlen?
Martin: Wir haben keine Kreditkartendaten bei uns gespeichert. Wie bei fast allen Zahlungsmitteln setzen wir auf einen namhaften Partner, der die Zahlungen für uns abwickelt. Wir kommen also mit den Kreditkartendaten gar nie in Kontakt.
**Und wer kümmert sich um die Sicherheit des Kreditkarteneinkaufs? **
Chris: Für die Sicherheit unserer Kundinnen und Kunden verlangen wir von der Bank, welche die Kreditkarte ausstellt, eine sogenannte 3-D Secure-Pflicht. Für jeden Zugriff, jede Zahlung, muss der Nutzer also in der Theorie einen zweiten Identitätsnachweis erbringen, einen sogenannten zweiten Faktor, den die Bank abfragt. Zum Beispiel durch Eingabe eines SMS-Codes oder durch Scannen des Fingerabdrucks.
**Was heisst «in der Theorie»? **
Martin: Ob alle Banken diesen zweiten Faktor einfordern, können wir nicht überprüfen. In der letzten Betrugswelle mussten wir leider feststellen, dass manche Banken ihrer Pflicht nicht oder nicht immer nachkommen. Die Haftung bei betrügerischen Kreditkartenzahlungen liegt dann bei der Bank. Diese kann die Haftung aber an den Kunden oder die Kundin abtreten.
**Wie aber gelingt es Kriminellen überhaupt etwas über ein Kundenkonto zu bestellen und per Kreditkarte zu bezahlen? **
Martin: Viele Kundinnen und Kunden nutzen mehrmals die gleiche Kombination für Login und Passwort – beispielsweise das identische Login für das E-Mailaccount, das E-Banking und die Bestellmaske beim lokalen Getränkehändler. Stehlen Cyberkriminelle etwa beim Getränkehändler sämtliche Kundendaten, kennen sie automatisch auch das Login diverser anderer Dienstleister des Kunden. Und hier liegt das Problem. Solche Login-Passwort-Listen werden im Internet verkauft und bei Betrugsfällen eingesetzt. Wer immer die gleiche Kombination nutzt, ist betrugsgefährdet.
Chris: Häufig werden Login-Passwort-Kombination auch über private Phishing-Mails oder Malware ergaunert. Beispielsweise kreiert ein Betrüger eine Mail mit dem Logo von Digitec oder Galaxus und schreibt: «Deine Bestellung ist bereit, für Abholung hier klicken». Wer draufklickt, kommt auf eine neue, meistens recht gut kopierte Seite des vermeintlichen Anbieters. Gibt man dann seine Logindaten preis, erscheint oft «Login und Passwort falsch». Im Hintergrund werden die Daten aber von den Kriminellen gespeichert.
Darum empfehlen wir im Kundenkonto immer auch den zweiten Faktor zu aktivieren, die sogenannte Multi-Faktor-Authentifizierung (MFA). Wer dies tut, kann verhindern, dass versierte Hacker sich in das Kundenkonto einloggen und etwas bestellen.
**Sowohl auf dem Kundenkonto als auch auf der Kreditkarte je zwei Sicherheitsebenen. Ist das nicht etwas gar paranoid und übertrieben? **
Chris: Es ist auf jeden Fall sicherer. Wenn du zum Beispiel eine Gutschrift von Digitec oder Galaxus bekommst, hast du keine Bank mehr dazwischen, die bei einer Bestellung den zweiten Faktor abfragt. Wenn also jemand dein Login und dein Passwort kennt oder gestohlen hat, kann er deine Gutschrift nutzen und kaufen, was er will. Typischerweise kaufen sich die Kriminiellen dann digitale Guthabenkarten, z.B. solche von Apple. Denn ein iPhone oder eine Game-Konsole müsste man sich ja an eine physische Adresse schicken lassen. Digitale Guthaben hingegen funktionieren mit Codes, die man im Internet problemlos weiterverkaufen kann.
Martin: Bei Digitec Galaxus kann man diesen zweiten Faktor optional aktivieren. Damit ist es für Unbefugte fast unmöglich, in dein Kundenkonto zu kommen. Die Kriminellen müssten gleichzeitig Zugriff auf das Kundenkonto und das Handy haben. Ausserdem senden wir den Kunden bei verdächtigen Login-Versuchen ein OneTime-Passwort per Mail zu, um sicherzustellen, dass es sich auch tatsächlich um den Konteninhaber handelt.
**Warum verlangen wir von unseren Kunden nur optional eine zusätzliche Sicherheitsstufe zu aktivieren? **
Chris: Für die Kundinnen und Kunden ist MFA beim Bestellprozess eine weitere Hürde. Einige schreckt diese Hürde ab, andere empfinden sie als Bevormundung. Klar, wir von der IT-Security hätten am liebsten eine grosse, rote, blinkende Warnschrift mit der Aufforderung: «MFA aktivieren». Zwingen können und wollen wir aber niemanden, dies zu tun. Unsere Betrugserkennung ist wirkungsvoll und wir entwickeln sie ständig weiter. Klar ist aber auch: Jede weitere Schutzebene hilft zusätzlich gegen Datenmissbrauch. Hier ist mehr auch tatsächlich mehr.
**Was ist das Wichtigste, das man als Kundin oder Kunde machen muss? **
Martin: Unbedingt ein einzigartiges Passwort (https://www.omnicalculator.com/other/password-entropy) mit ausreichender Länge und genügend Komplexität verwenden. Wir empfehlen ein mindestens zehn Zeichen langes Passwort mit Sonderzeichen und Gross-Klein-Buchstaben für das Login. Noch besser wären 12 oder mehr Zeichen.
**Bei den meisten Onlinebestelldiensten kommt irgendwann einmal die Frage: «Wollen Sie Ihr Passwort für diese Website speichern?». Soll man das tun? **
Martin: Die Passwortsicherheit hängt am Gerät selber. Wenn auf dem Gerät eine Schadsoftware drauf ist, «weiss» diese, für welche Website welches Passwort hinterlegt ist und das kann natürlich gestohlen werden. Das bedeutet, unbedingt Betriebssystem und Virenschutz aktuell halten. Ich persönlich speichere die Passwörter sowieso nie.
Chris: Ich schon. Nicht bei allen Websites, aber bei einigen. Überall, wo ich ein Zahlungsmittel hinterlege, zum Beispiel beim Onlinebanking, habe ich MFA konfiguriert. Und dort speichere ich auch mein Kennwort nicht.
**Die vielen Passwörter nerven… deshalb hat man oft nur zwei oder drei und in abgewandelter Form. Sollte man wirklich für alles ein separates Passwort haben? **
Chris: Man erhöht automatisch die Sicherheit, wenn man für alles ein separates Passwort hat.
Martin: Wenn das zu kompliziert ist, kann man einen Passwort Manager verwenden.
**Zusammenfassend kann man also sagen, die Daten und die Sicherheit für die Kreditkarte liegen bei der Bank, die Login-Sicherheit liegt bei der Kundin oder dem Kunden. Damit also niemand auf meine Kosten sechs Computer an eine fremde Adresse bestellt, muss ich selber auch meine Augen offenhalten. **
Martin: Richtig. Auch wenn wir hier bei Digitec Galaxus sehr gute technische Schutzmassnahmen haben, die Betrugsversuche entdecken, hilft jede zusätzliche Hürde, um den Missbrauch des eigenen Kundenkontos zu verhindern.
Chris: Wir möchten das Bewusstsein der Leute schärfen und so möglichst viele dazu bewegen, MFA zu aktivieren und die Berührungsängste zu überwinden.
**Hoffentlich lesen ganz viele Leute dieses Interview, um die Berührungsängste vor MFA zu überwinden. Wie und wo kann man MFA bei Digitec Galaxus aktivieren? **
Martin: Aktivieren kann man MFA in den Einstellungen seines Kundenkontos unter «Passwort und Sicherheit». Danach auf «Zwei-Faktor-Authentifizieren aktivieren» klicken und schon geht’s los mit dem Einrichten.
Chris: Es ist wirklich nicht kompliziert und auch machbar für jene Leute, die sich im Alltag nicht mit IT beschäftigen.
Tobias Billeter
Head of Corporate Communications
Tobias.Billeter@digitecgalaxus.chMitarbeitende und Medien auf dem Laufenden zu halten, das ist mein Job. Ohne frische Bergluft geht bei mir allerdings nix! In der Natur hole ich mir den langen Atem, um stets dranzubleiben. Und beim Jazz die Ruhe, um meine Teenager zu bändigen.
Tech
Folge Themen und erhalte Updates zu deinen Interessen