Ein unschuldiger Klick, ein unauffälliger Einkauf, ein unwiderstehlicher Rabatt. Alles scheint sicher zu sein, bis die Rechnung mit einem Betrag kommt, den Sie nicht erkennen. Hinter den Kulissen des E-Commerce wird täglich ein unsichtbarer Krieg gegen immer raffiniertere Betrügereien geführt, während Verbraucher die Bequemlichkeit des Digitalen genießen.
Im Jahr 2024 wurde mehr als die Hälfte der Brasilianer bereits Opfer irgendeiner Art von Betrug, so Serasa Experian. Und die Auswirkung ist real: 54,2 % berichteten von finanziellen Verlusten, viele von ihnen ohne sogar den Moment des Betrugs zu erkennen. Wenn früher Betrügereien massenhaft und grob waren, sind sie heute chirurgisch, leise und teuer. Der durchschnittliche Ticketbetrag bei Betrugsfällen ist um 30 % gestiegen und liegt bereits bei über 1.300 R$ pro Bestellung.
Das Verbrechen hat sich weiterentwickelt, und die digitale Sicherheit muss nachziehen. Der elektronische Handel ist der neue Spielplatz der Cyberkriminellen. Daten der Febraban zeigen, dass die finanziellen Verluste durch digitale Betrugsfälle in Brasilien im Jahr 2024 10,1 Milliarden R$ erreichten, 17 % mehr als im Vorjahr. „Die digitale Umgebung, insbesondere im E-Commerce, ist zu einem Minenfeld geworden“, warnt Wagner Elias, CEO von Conviso, spezialisiert auf Anwendungssicherheit.
Und der Feind schläft nicht. Die Bedrohungen sind vielfältig, von Phishing-Angriffen (die 15 % der Fälle ausmachen) bis hin zur Verwendung gestohlener Zugangsdaten (16 %), einschließlich böswilliger Insider, die mit durchschnittlichen Kosten pro Verstoß von 4,99 Millionen US-Dollar die höchsten in der Liste sind.
Elias sagt, dass eine der aktuellen Techniken das digitale Skimming und das Account Takeover (ATO) sind. Beim Skimming injiziert der Kriminelle schädlichen Code direkt auf die Zahlungsseite. Schon beim ATO ist der Schlag kälter und methodischer: Mit gestohlenen Zugangsdaten greift er auf echte Konten zu, ändert Passwörter und tätigt Einkäufe. Laut dem Unternehmen AllowMe stammen 72 % der Betrugsfälle im digitalen Einzelhandel aus unbefugtem Zugriff.
Die bevorzugten Ziele? Spiele, Handys, Informatik und Elektronik, Produkte mit hoher Liquidität auf dem informellen Markt und einfache Weiterverkäufe. Die bevorzugten Zahlungsmittel der Betrüger bleiben weiterhin Kreditkarten. Der Grund ist einfach: schnelle Einkäufe, wenig Überprüfung, und man merkt es erst, wenn die Rechnung kommt.
Der Kampf
Und was kann getan werden? Die Antwort liegt in der Technologie und vor allem in der Sicherheitsplanung von Anfang an bei der Entwicklung der Anwendungen. Die Antwort liegt in der Technologie, ja, aber vor allem in der Art und Weise, wie sie implementiert wird. Es ist ein fataler Fehler, die Sicherheit erst nach dem Betrieb des Systems zu bedenken. Es ist notwendig, Praktiken wie PCI DSS von Anfang an in die Entwicklung einzubeziehen und in Werkzeuge wie WAFs zu investieren, um die Websites in Echtzeit vor Angriffen zu schützen, sagt Wagner Elias.
Hier kommen Werkzeuge wie die WAFs (Web Application Firewalls) ins Spiel, die den Datenverkehr in Echtzeit überwachen, verdächtige Muster blockieren und Websites vor Angriffen wie Code-Injektionen und unbefugtem Zugriff schützen. Der Einsatz von KI (Künstliche Intelligenz) war auch wichtig, um böswilliges Verhalten vorherzusagen, wodurch die Kosten für Verstöße um bis zu 2,2 Millionen US-Dollar reduziert wurden, so die Studie „Cost of a Data Breach 2024“ von IBM.
Ein weiterer wesentlicher Punkt ist die Verwendung von Praktiken, die mit dem PCI DSS (Payment Card Industry Data Security Standard) kompatibel sind, einem internationalen Standard, der dazu beiträgt, Kartentransaktionen zu schützen. „Unternehmen, die mit Zahlungsdaten arbeiten, müssen aus Pflicht und Geschäftsintelligenz strikt den PCI-Standard einhalten. Das ist es, was ein sicheres System von einer offenen Tür für Betrug unterscheidet“, ergänzt Elias.
Selbst mit dem Fortschritt der Technologie ist die durchschnittliche Zeit zur Eindämmung eines Verstoßes immer noch lang: 258 Tage. Im Falle gestohlener Zugangsdaten kann es bis zu 292 Tage dauern, fast ein Jahr. Ein Teil der Schuld liegt an dem Mangel an spezialisierten Fachkräften, der im letzten Jahr um 26,2 % gestiegen ist und die Kosten für Verstöße um 1,76 Millionen US-Dollar erhöht hat.
Der Experte warnt jedoch: Wer auf Automatisierung, Sicherheit von Grund auf und Angriffssimulationen — die sogenannten Penetrationstests — setzt, hat größere Chancen, unversehrt davonzukommen oder zumindest die Schäden zu minimieren.
Berichte der wichtigsten Behörden für Cybersicherheit belegen die Wirksamkeit der PCI DSS- und WAF-Schutzmaßnahmen: Laut dem Verizon DBIR 2024 reduziert die Einhaltung des PCI DSS-Standards Sicherheitsvorfälle um 52 %, während WAFs bis zu 80 % der Angriffe auf Webanwendungen blockieren. Die Studie Cost of a Data Breach 2023 von IBM zeigt, dass Unternehmen mit WAFs 1,4 Millionen US-Dollar pro Verstoß einsparen, und PCI DSS beschleunigt die Reaktionszeit auf Verstöße um 54 %. Wenn sie kombiniert werden, können diese Lösungen die finanziellen Verluste um bis zu 75 % reduzieren, so das Ponemon Institute (2024).
„So haben Unternehmen, die den PCI DSS-Standard einhalten, die Hälfte der Probleme mit Datenlecks, und Web Application Firewalls (WAFs) verhindern 8 von 10 Hackerangriffen. Wer beide Technologien zusammen nutzt, begrenzt die finanziellen Verluste auf nur 25 % des normalerweise bei Angriffen erwarteten Werts“, erklärt er.
In den USA kostet eine Vergewaltigung durchschnittlich 9,36 Millionen US-Dollar, der höchste Wert der Welt zum 14. Mal in Folge. Dort geben 63 % der Unternehmen bereits zu, dass sie diese Kosten an die Kunden weitergeben werden, was zeigt, dass Investitionen in Sicherheit nicht nur Vorsichtsmaßnahme sind: Es ist eine Frage der Wettbewerbsfähigkeit und des Images. Elias schließt: „In Zeiten lebhaften E-Commerce und wertvoller Daten ist das Ignorieren der digitalen Sicherheit wie Geld auf dem Tisch liegen zu lassen, was gleichzeitig Umsatz und Ruf gefährdet. Außerdem verliert man das Vertrauen der Kunden und die Glaubwürdigkeit der Marke.“
