Cybercrime und die Zukunft des E-Commerce

Viele Verbraucher waren selbst schon einmal von Internetbetrug betroffen oder haben Freunde beziehungsweise Bekannte, die bereits Opfer eines solchen Angriffs waren. Das ist ein Ergebnis der von forsa exklusiv für den SCHUFA Kredit-Kompass 2018 durchgeführten Online-Studie „Identitätsschutz im Internet“. Der Experte für Online-Handel Alexander Graf sowie der Autor des Buchs „Tatort www“, Götz Schartner, erklären in diesem Interview, wie sich Verbraucher vor Internetbetrug schützen können und welche Folgen diese Betrugsformen für den E-Commerce haben.

Herr Schartner, was sind aktuell die häufigsten Betrugsformen im Internet, und wie funktionieren sie?

Betrug bedeutet, sich unter Vortäuschung falscher Tatsachen einen Vermögensvorteil zu verschaffen. Die häufigste Betrugsform im Internet basiert deshalb auf Identitätsdiebstahl. Das heißt, ich würde zum Beispiel Ihre Identität mit Hilfe Ihres Benutzernamens und des Kennworts übernehmen. Anschließend bestelle ich in den von Ihnen genutzten Online-Shopping-Portalen unter Ihrem Namen Produkte und lasse mir diese an eine beliebige Adresse liefern. Sie erhalten dann dafür die Rechnung.

Oder ich versteigere in Ihrem Namen fiktive Waren. Das Geld geht dann natürlich auf mein Konto, aber für die geprellten Käufer sind Sie der Betrüger. Das sind die ganz typischen Fälle des heutigen Internetbetrugs.

Ein weiteres Beispiel: Webshops werden komplett gehackt, und alle gespeicherten Daten werden gestohlen. Das sind oft auch Zahlungsverkehrsinformationen, die dann missbraucht werden, um Geld von Kreditkarten oder Bankkonten abzubuchen.

Herr Graf, Internetbetrug im E-Commerce trifft nicht nur die Verbraucher. Welche Betrugsmuster schädigen die Händler?

Die Treuhand- und Auktionsprinzipien auf den Plattformen führen dazu, dass Händler teilweise Kunden aufsitzen, die falsche Angaben über ihre Retouren machen, zum Beispiel Geräte zurückschicken, die sie schon über das übliche Maß hinaus benutzt haben. Das führt dazu, dass den Händlern die Marge verlorengeht. Hier kann man allerdings diskutieren, ob das tatsächlich ein Betrug ist oder ob es einfach Teil der Plattformökonomie ist.

Betrugsmuster wie zum Beispiel ein gefälschter Online-Shop, sogenannte Fake-Shops, die in der Vergangenheit ein Problem waren, existieren dagegen kaum noch. Die Verbraucher sind hier vorsichtiger geworden und tappen nur noch selten in solche Fallen.

Grundsätzlich kann man heute sagen, dass der Identitätsschutz auf den großen Plattformen sehr gut ist und dass es immer weniger unabhängige Online-Shops gibt, die nicht gut gesichert sind. Da findet dann Betrug eher so statt, dass der Verbraucher über Plattformen gefälschte Ware oder falsch ausgezeichnete Ware bekommt. Das ist für den Hersteller ein riesiges Problem. Wir kennen Hersteller aus dem Fashion- und dem Elektronikbereich, die müssen auf asiatischen Portalen täglich mehrere 1.000 Angebote löschen lassen, weil dort unter ihrem Namen stark rabattierte Ware angeboten wird. Das sind Betrugsmuster, die derzeit Händler und Hersteller treffen.

In der forsa-Studie zum SCHUFA Kredit-Kompass 2018 gibt rund ein Viertel der Verbraucher an, schon einmal Opfer von Datenmissbrauch geworden zu sein. Gibt es verlässliche Statistiken zum Thema Internetbetrug?

Götz Schartner: Nein, umfassende Statistiken existieren nicht, das sagt selbst das Bundeskriminalamt (BKA). Es gibt eine offizielle Statistik, die jährlich erscheint: „Cybercrime. Bundeslagebild“. Aktuell sind dort die Zahlen von 2016 veröffentlicht. 82.649 Fälle von Cybercrime wurden demnach 2016 in Deutschland registriert. Das ist kaum die Spitze des Eisbergs. Auch das BKA stellt fest, dass die Dunkelziffer unvorstellbar groß ist. Kein Unternehmen hat ein Interesse daran, dass ein Datendiebstahl bekannt wird. Das wäre massiv geschäftsschädigend.

„ Internetbetrug im größeren Stil wird durch den leichtfertigen Umgang des Einzelnen mit seinen Daten erst möglich.“

Götz Schartner

Götz Schartner ist Gründer und Geschäftsführer der 8com GmbH & Co. KG. Der Experte für Informationssicherheit unterstützt seine Kunden bei der Aufklärung von Cyberangriffen. Darüber hinaus ist Schartner als Chief Information Security Officer (CISO) eines internationalen Industrieunternehmens tätig. Seine täglichen Erfahrungen hat er in zwei Büchern veröffentlicht: „Tatort www“ und „Vorsicht, Freund liest mit!“.

Alexander Graf ist seit 2014 CEO von Spryker Systems, einem Unternehmen für agile Shoptechnologie im E-Commerce. Zuvor hat er als Gründer und Geschäftsführer das Beratungsunternehmen eTribes zu einem erfolgreichen Netzwerk neuer Dienstleistungen und Experten für E-Commerce ausgebaut. Er ist Autor des renommierten Fachbuchs „Das E-Commerce Buch“.

„ Der Identitätsschutz auf den großen Plattformen ist sehr gut, die vorherrschenden Betrugsmuster treffen derzeit eher Händler und Hersteller.“

Alexander Graf

Wie kann sich der Verbraucher vor Internetbetrug schützen?

Götz Schartner: Indem er sehr bewusst mit seinen persönlichen Daten umgeht. Klar ist, dass Internethandel nur mit der Preisgabe persönlicher Daten funktioniert. Aber die Verbraucher müssen sich genau überlegen, wem sie welche Daten zur Verfügung stellen, und wie sie ihre Daten vor fremden Zugriffen schützen. Der erste Schritt wäre die ausschließliche Verwendung sogenannter singulärer Kennwörter. Also ein Kennwort pro System. Nehmen wir das Beispiel Yahoo. Dort wurden in großem Umfang E-Mail-Adressen als Benutzernamen und die dazugehörigen Kennwörter gestohlen. Wurde das Kennwort nur für Yahoo verwendet, besteht das einzige Risiko darin, dass jemand mit den Yahoo-Zugangsdaten über die Yahoo-Plattformen eine Straftat begeht, für die der Bestohlene zunächst haftet. Wurde aber extrem fahrlässig mit dem Kennwort umgegangen, indem für unterschiedliche Anwendungen das gleiche Kennwort verwendet wurde, sind all diese Anwendungen vielleicht betroffen. Internetbetrug im größeren Stil ist so durch den leichtfertigen Umgang des Einzelnen mit seinen Daten ermöglicht worden. Leider ist das heute immer noch sehr oft der Fall.

Schritt zwei ist natürlich das Kernthema im Datenschutz: Datensparsamkeit. Bevor ich mir in einem Online-Shop ein Kundenkonto anlege, sollte ich mir bewusst machen, dass dies nur Sinn hat, wenn ich dort regelmäßig bestellen will. Es besteht fast überall die Möglichkeit einer sogenannten Gastbestellung, bei der eine Datenspeicherung nur für diesen einen Bestellvorgang erfolgt.

Schritt drei ist, den größtmöglichen Sicherheitsaufwand zu betreiben. Beim Anlegen eines Kundenkontos bieten viele Systeme eine sogenannte Zwei-Faktor-Authentifizierung an, die ich nutzen sollte. Wenn ich mich zum Beispiel bei Amazon einlogge, schaut Amazon in meinem Webbrowser nach, ob dort ein Cookie gesetzt wurde. Das belegt, dass ich mich als Götz Schartner von diesem Webbrowser aus schon einmal bei Amazon angemeldet habe. Wenn nicht, bekomme ich erst eine SMS auf mein Handy geschickt – die Handynummer habe ich bei der Einrichtung des Kontos hinterlegt – damit ich den Vorgang freischalten kann. Selbst wenn jemand meine Identität gestohlen hätte, könnte er alleine mit dem Kennwort diese E-Commerce-Anwendung nicht öffnen.

Außerdem gibt es bereits die Möglichkeit, mit Hilfe entsprechender Dienstleister die Verwendung der eigenen Daten im Internet zu kontrollieren. Die SCHUFA bietet auch einen derartigen Identitätsschutz an, den „SCHUFA-IdentSafe“. Die personenbezogenen Daten im Internet werden überwacht, und man erfährt, wo die eigenen Daten im Netz auftauchen. Das funktioniert sehr gut. Aber: Der Einzelne ist aufgefordert, sich selbst zu schützen.

Unterstützen die E-Commerce-Anbieter die Verbraucher beim Thema Identitätsschutz?

Alexander Graf: Hier gibt es eine wichtige Entwicklung. Große Plattformanbieter wie Apple, Google oder Amazon betreiben hinsichtlich der Sicherheit ihrer Kundendaten einen hohen Aufwand. Ihr Geschäftsmodell ist es dann, den Zugang zu dem Kunden zu verkaufen. Händler können ihr Angebot kostenpflichtig auf der Plattform einstellen, die Kundendaten bleiben aber auf der Plattform.

Dadurch werden die Plattformen größer und bieten vielfältige Möglichkeiten. Der Verbraucher benötigt am Ende quasi nur noch zwei, drei Verifikationsmuster und hat keine einzelnen Log-in-Daten mehr für spezielle Accounts. Für einige Anwendungen muss ich Cybercrime und die Zukunft des E-Commerce 59

heute gar keine Kundendaten mehr anlegen, sondern verifiziere mich mit meinem Twitter-Account oder mit Facebook, also mit Accounts, die schon einer Zwei-Faktor-Authentifizierung unterliegen. Um auf der sicheren Seite zu sein, muss ich diese als Verbraucher aber tatsächlich nutzen.

Ist dem Verbraucher denn der Wert der eigenen Daten überhaupt bewusst?

Götz Schartner: Das ist eher nicht der Fall. Man möchte sich mit dem Thema nicht beschäftigen. Fragt man nach dem Wert der Daten, lautet die lapidare Antwort: Ich habe doch nichts zu verbergen. Es geht beim Internetbetrug aber nicht darum, dass ich nichts zu verbergen habe, sondern ich werde in die Haftung genommen. Ich soll für Ware, die ich nicht erhalten habe, bezahlen. Das abzuwenden ist mit großem Aufwand und Ärger verbunden. Ich habe hier eine Selbstverantwortung wie beim Autofahren. Ich muss darauf achten, was ich tue. Dieses Bewusstsein fehlt bislang in der Gesellschaft.

Muss sich der Verbraucher im E-Commerce zwischen „Convenience“ und dem Schutz seiner Daten entscheiden?

Alexander Graf: Ja, und es siegt eindeutig die Convenience. Da kann im Fernsehen eine Live-Reportage laufen, die erklärt, was mit 1.000 gehackten Yahoo-Daten passiert ist und welche Betrügereien im Anschluss erfolgt sind. Trotzdem geben die Kunden parallel am Tablet ihre Daten weiter frei, um einfach und schnell im Internet einkaufen zu können. Die Angst vor Datendiebstahl unter Internetnutzern ist aus meiner Sicht nicht sehr verbreitet. In der forsa-Studie für den SCHUFA Kredit-Kompass haben 28 Prozent der Befragten angegeben, große oder sehr große Angst davor zu haben, Opfer von Datendiebstahl im Internet zu werden.

Wie soll der Verbraucher reagieren, wenn er von einem Identitätsdiebstahl im Internet betroffen ist?

Götz Schartner: Sobald ich ein Indiz dafür habe, dass ein Fremder mit meiner Identität Waren bestellt, sollte der erste Schritt immer der Gang zur Polizei sein. Darauf wird oft verzichtet, weil man keinen direkten Nutzen sieht. Es geht aber darum, dass tatsächliche Fallzahlen erfasst werden, damit die Politik versteht, dass sie reagieren muss. Das geschieht zumeist aufgrund des Vorliegens entsprechender Statistiken. Bislang wird nur ein Bruchteil der Vergehen gemeldet. Wir müssen dafür sorgen, dass die offiziellen Fallzahlen der Realität entsprechen. Natürlich muss ich auch allen Rechnungen und Mahnungen, die ich erhalte, obwohl ich nichts bestellt habe, schriftlich widersprechen.

Anschließend muss man überlegen, wie es zu dem Identitätsdiebstahl überhaupt kam. Wenn Sie an vielen Stellen gleiche Kennwörter verwenden, können Sie ziemlich sicher davon ausgehen, dass irgendwo jemand gehackt wurde und Ihre Daten gestohlen wurden. Aber es kann ja auch ein Trojaner auf Ihrem Rechner sein. Im Zweifelsfall sollten Sie Ihren Computer neu aufsetzen und sämtliche Zugangsdaten bei allen E-Commerce-Anwendungen, bei denen Sie registriert sind, von einem weiteren, nicht beteiligten Gerät aus sofort ändern.

Anschließend brauche ich einen Dienstleister wie die SCHUFA, der mir sagen kann, welches Unternehmen sich Auskünfte über meine Bonität eingeholt hat. In der Regel werden solche Auskünfte bei allen E-Commerce-Geschäften eingeholt, und ich kann sehen, wo mit meiner Identität Geschäfte gemacht werden.

Im Zweifelsfall sollte man auch immer Rechtsbeistand suchen. Es gibt inzwischen eine ganze Reihe von Fachanwälten, die sich mit dem Thema Internetkriminalität, aber auch mit dem Thema Identitätsdiebstahl beschäftigen.

Welche Möglichkeiten haben Verbraucher, gegen Identitätsdiebstahl rechtlich vorzugehen?

Götz Schartner: Die Internetwirtschaft ist global, aber die Strafverfolgung ist es noch lange nicht. Deshalb sollte man den Identitätsdiebstahl, wie schon gesagt, zur Anzeige bringen. Die Strafverfolgungsbehörden können aktuell aber nur wenig tun. Die Beträge, um die es bei dem Einzelnen geht, sind in der Regel eher gering – meist spielt sich das im Bereich von einigen hundert Euro ab. Eine Strafverfolgung, die oft ja auch noch international durchgeführt werden müsste, steht da in keinem Verhältnis.

Was glauben Sie, wohin wird sich Online-Shopping in den kommenden zehnJahren entwickeln? Ergeben sich daraus neue Risiken für Verbraucher?

Alexander Graf: Die Entwicklung neuer Devices beziehungsweise Peripheriegeräte, wie Apple Watch oder Sprachassistenten, wird weitergehen. Gesteneingabe, Gesichtserkennung, Stimmverifizierung etc. werden zum Standard gehören und neue Betrugsmuster hervorbringen. Ich denke aber nicht, dass der Kunde davor Angst haben muss. Letztendlich versuchen Plattformen, die neuen Betrugsmuster über Treuhandmechanismen immer auszugleichen.

Ich vermute, dass für Verbraucher das Thema Identitätsdiebstahl und -missbrauch an Bedeutung gewinnen wird. Daneben wird es viele Betrugsformen geben, bei denen die Kunden gar nicht wahrnehmen, dass ihre Daten missbraucht werden. Das Problem ist der globale Effekt. Wenn zwei, drei schlaue Hacker herausfinden, wie man im App-Store Apps hochlädt, die die Gesichtserkennungsdaten auf dem Handy sammeln und an den App-Anbieter zurückschicken, dann haben sie natürlich gleich hunderte Millionen Daten. Das ist ein Plattformeffekt.

Wird sich die Struktur des E-Commerce in den nächsten Jahren verändern, Herr Schartner?

Es wird nur noch wenige große Plattformen geben, die in der Lage sein werden, im Internet wirklich erfolgreich Geschäfte abzuwickeln. Die Technologien werden einfach viel zu komplex werden, als dass kleinere Unternehmen hier noch mithalten könnten. Plattformen wie Amazon werden sich dann immer häufiger kleine Anbieter und Hersteller, die ein lukratives Geschäft bieten, einverleiben.

Und wie sehen Ihre Erwartungen zur Struktur des E-Commerce aus, Herr Graf?

Das sehe ich ein bisschen anders. Ich glaube, Oligopole – also einige wenige Anbieter – werden den Kundenzugang steuern. Das werden aber nicht nur die Plattformen sein, sondern auch die großen Hersteller wie Samsung und Apple. Die Angst, dass Amazon selbst die Produktion übernimmt, ist aus meiner Sicht nicht gerechtfertigt. Amazon hat ein viel größeres Interesse daran, die eigenen Gewinnmargen auf Kosten der Hersteller zu erhöhen.

Einen positiven Effekt sehe ich in der erheblichen Zunahme der Innovationsgeschwindigkeit. Monopolistische Strukturen wären hier viel schädlicher. Insgesamt werden wir feststellen, dass sich die Plattformökonomie weiter beschleunigt, mit allen gesellschaftlichen Vor- und Nachteilen, die damit einhergehen.

 

Was tun bei Datendiebstahl und Identitätsmissbrauch?