Der BlackFriday 2024 ist da!  

Laut Rocket Digital setzen spanische Einzelhändler bis zu 40 % ihres Jahresumsatzes auf den Black Friday 2024, ein Prozentsatz, der bei Marken, die sich ganz auf den Online-Verkauf konzentrieren, auf 60 % ansteigt. Es ist zweifellos eine große Geschäftsmöglichkeit für viele Unternehmen und eine potenzielle Sparquelle für die Verbraucher am Vorabend einer so repräsentativen Zeit wie Weihnachten.

68 % der spanischen E-Retailer werden am Black Friday zusätzliche Investitionen in Technologien tätigen, insbesondere in die Automatisierung (18 %) und die Datenanalyse (18 %), die als entscheidend für die effiziente Bewältigung hoher Auftragsvolumina, Prognosen und die Anpassung von Strategien in Echtzeit angesehen werden. 

Die exponentielle Zunahme von Online-Transaktionen in so kurzer Zeit hat das Risiko potenzieller Cyberangriffe und Betrügereien erhöht, und der Schwarze Freitag kann für viele Verbraucher und Unternehmen in der Tat ein sehr schwarzer Freitag werden, wenn sie keine geeigneten Maßnahmen im Hinblick auf die Informationssicherheit und das Management der Geschäftskontinuität ergreifen.

Im vergangenen November 2023 gab es in Spanien sage und schreibe 45.000 Cyberangriffe, die einen geschätzten wirtschaftlichen Schaden von mehr als 20 Millionen Euro verursachten. Im November 2024 ist die Zahl der mit dem Begriff Blackfriday registrierten Domains um 138 % gestiegen, wobei mehr als 6.400 Domains registriert wurden, eine Zahl, die besorgniserregend sein könnte, wenn sich darunter gefälschte Websites mit bösartigen Absichten befinden...

Doch welchen Bedrohungen sind die Verbraucher an diesen Tagen ausgesetzt? Ohne den Anspruch auf Vollständigkeit erheben zu wollen, werden wir einige von ihnen auflisten.

• Phishing: Cyberkriminelle versenden scheinbar legitime E-Mails, die auf gefälschte Websites umleiten, um persönliche Daten zu stehlen. Heutzutage kommt es häufig vor, dass wir E-Mails mit angeblichen kommerziellen Angeboten und attraktiven Rabatten erhalten, die uns dazu verleiten, auf bösartige Links zu klicken und/oder potenziell gefährliche Inhalte herunterzuladen.

• Typosquatting: Es werden gefälschte Seiten oder Anwendungen erstellt, die echte Seiten oder Anwendungen imitieren, wobei leichte Tippfehler in den Namen von URLs oder Anwendungen verwendet werden, um den Benutzer zu täuschen. Angesichts der Vielfalt kommerzieller Angebote und der „Rastlosigkeit“, den gewünschten Artikel zu bekommen, ist es relativ einfach, auf eine „geklonte Website“ zu geraten, die die Website unserer Lieblingsmarke perfekt imitiert.

• Malvertising: Über Online-Werbung verbreiten die Angreifer Malware oder leiten auf betrügerische Websites um. Auch hier kann die einfache „Überflutung“ mit Werbung aller Art dazu führen, dass wir auf problematische Links zugreifen.

• Smishing und Vishing: Diese Phishing-Varianten arbeiten mit gefälschten Textnachrichten bzw. Anrufen. Die Angreifer geben sich als Banken oder vertrauenswürdige Dienste aus, um an sensible Informationen zu gelangen. Es kommt auch häufig vor, dass Kriminelle versuchen, sich als der Logistikunternehmer auszugeben, der unser Produkt ausliefert, und versuchen, Bankinformationen und/oder persönliche Daten zu erhalten. Durch den Einsatz künstlicher Intelligenz können Angreifer Telefonanrufe sehr glaubhaft machen und vielleicht sogar erfolgreich die Stimme von Bekannten nachahmen, um einen gefährlichen Zustand des Vertrauens zu erzeugen.

• SIM-Swapping, bei dem Angreifer eine SIM-Karte duplizieren, um Nachrichten der Zwei-Faktor-Authentifizierung abzufangen und auf Bankkonten oder Anwendungen zuzugreifen. Durch bösartige Anwendungen und Werbung auf unserem Smartphone gelingt es den Cyberkriminellen, Programme auf unser Gerät herunterzuladen, die es ihnen ermöglichen, die Kontrolle über das Gerät zu übernehmen.

• Gefälschte Bewerbungen und Werbebetrug. In diesen Tagen ist es üblich, dass Cyberkriminelle Anwendungen auf den Markt bringen, die scheinbar von legitimen E-Commerce-Shops stammen, aber Malware enthalten. Ebenfalls weit verbreitet sind Betrügereien mit unwiderstehlichen Werbeaktionen, wie z. B. gefälschte Rabattcoupons und „Blitzangebote“, mit denen Spontankäufer angelockt werden sollen. Der Einsatz von Social-Engineering-Techniken in Verbindung mit dem Gefühl der Exklusivität des Kaufs und der kurzen Dauer der Werbeaktion führen dazu, dass der Käufer seine Aufmerksamkeit in Bezug auf die Überprüfung der Website, auf der er interagiert, vernachlässigt ... und die Bestellung nach dem Kauf nie erhält.

Was können wir vor diesem Hintergrund tun, um uns zu schützen? Hier sind einige Empfehlungen, die unser Einkaufserlebnis verbessern können, um es sicherer und zuverlässiger zu machen:

• Es mag offensichtlich erscheinen, aber seien Sie vorsichtig bei Angeboten, die zu gut sind: Überprüfen Sie die Echtheit der Website und versuchen Sie, nur auf seriösen Websites zu kaufen und vermeiden Sie überstürzte Käufe auf Websites mit zweifelhafter Herkunft. Der erste Schritt besteht darin, mit dem Mauszeiger über die URL zu fahren und zu prüfen, ob Sie eine Verbindung zu einer Website mit einem gültigen SSL-Zertifikat herstellen. Achten Sie darauf, dass die Url-Adresse mit „https://“ oder „shttp://“ beginnt. Das „S“ bedeutet, dass die Webadresse verschlüsselt und mit einem SSL-Zertifikat geschützt wurde. Dieses System ist jedoch nicht völlig narrensicher. Es wurde ein deutlicher Anstieg der Zahl bösartiger Websites festgestellt, die SSL-Zertifikate verwenden. Sie sollten die Datenschutzrichtlinien der Website überprüfen, ein Tool zur Überprüfung der Website-Sicherheit wie Google Safe Browsing verwenden oder eine WHOIS-Suche durchführen, um herauszufinden, wem die Website gehört. Achten Sie auch auf die Endung der Domänen, mit denen Sie sich verbinden: Vielleicht endet Ihre Lieblingsseite mit der Endung .es und Sie verbinden sich mit einer Domäne mit demselben Namen, aber mit der Endung .org, mit dem Ziel, Ihre persönlichen Daten zu erfassen. Alles für Ihre Sicherheit!

• Hüten Sie sich vor Phishing-E-Mails, die sich als vertrauenswürdige Einzelhändler ausgeben. Vergewissern Sie sich, dass die Absenderadresse nichts Ungewöhnliches enthält, dass die Domäne korrekt ist, dass der Betreff der E-Mail wirklich mit Ihrem Kauf zu tun hat und dass es sich nicht um eine scheinbar „versehentliche Irreführung“ handelt. Bitte beachten Sie, dass ein Geschäft normalerweise kein persönlichen und Bankdaten per E-Mail oder Telefonanruf zu erheben. Seien Sie vorsichtig, wenn Sie diese Versuche, an Ihre Daten zu gelangen, feststellen!

• Verwenden Sie eine bestimmte Karte für Ihre Online-Einkäufe mit sicherer Transaktion durch Zwei-Faktor-Authentifizierungsmodelle und begrenzen Sie Ihr tägliches Kaufvolumen. Machen Sie es sich zur Gewohnheit, die Abbuchungen auf dieser Karte an diesen und den folgenden Tagen zu überprüfen, um ungerechtfertigte Beträge zu entdecken.

• Vermeiden Sie die Nutzung öffentlicher WLAN-Netze zum Einkaufen. Es ist üblich, dass diese Netze in großen Einkaufszentren und in vielen Betrieben aus Gefälligkeit für die Benutzer zur Verfügung stehen. Wir können jedoch nicht garantieren, wie sicher diese Verbindungen sind; wenn Sie müssen, verwenden Sie einen VPN-fähigen Browser, damit Ihre Daten geschützt sind.

• Halten Sie die Software auf allen Geräten, von denen Sie kaufen, auf dem neuesten Stand. Verwenden Sie in allen Browsern einen Virenschutz und schränken Sie die Optionen für die Nachverfolgung Ihres Surfverhaltens durch Dritte in den Browsern ein.

• Hüten Sie sich vor gefälschten Apps: Laden Sie nur Apps aus dem APP Store von Apple oder dem Google Play Shop (Android) herunter.

• Verwenden Sie sichere, eindeutige Passwörter mit Zwei-Faktor-Authentifizierung. Es gibt nichts Schlimmeres als „ein Geheimnis, das kein Geheimnis mehr ist“.

• Hüten Sie sich vor Betrügereien in sozialen Netzwerken. Sie sind oft der Ausgangspunkt für eine Weiterleitung zu einer bösartigen Website, die Sie zur Ausführung einer unerwünschten Transaktion verleitet.

• Bevor Sie auf einen QR-Code zugreifen, vergewissern Sie sich bitte, dass er sinnvoll ist und zu allem passt, was Sie um sich herum sehen.  Dieser Ratschlag gilt sowohl für Websites als auch für physische Standorte. Vergewissern Sie sich, dass sie nicht von einem Dritten dort angebracht wurden.

• Hüten Sie sich vor „falschen Beratern“ , die Sie in einem Einkaufszentrum oder Geschäft ansprechen, um an Treueprogrammen, Last-Minute-Rabatten usw. teilzunehmen: Achten Sie auf ihre Identität und darauf, ob sie wirklich zu dem Geschäft gehören.

• Seien Sie vorsichtig bei der Benutzung von Geldautomaten in überfüllten Zentren. Vergewissern Sie sich, dass Ihnen nichts Ungewöhnliches auffällt, dass keine zusätzlichen oder entfernten Geräte vorhanden sind oder dass es an keiner Stelle Spuren von Manipulationen gibt.

• Wenn Sie keine Bestellung aufgegeben haben, müssen Sie diese auch nicht erhalten. Einige Kriminelle täuschen die Lieferung einer Bestellung an ihre eigene Wohnung unter dem Deckmantel einer Lieferung von einem Bekannten vor, um an Ihre persönlichen Daten zu gelangen oder um einen Betrug durchzuführen.

• ...und vor allem GESUNDER MENSCHENVERSTAND, seien Sie nicht unvorsichtig: Es gibt kein unglaubliches Angebot, das noch niemand gesehen hat, es gibt keine Gratisgeschenke zum Nulltarif und Sie werden nicht leer ausgehen, wenn Sie sich ein paar Minuten länger Zeit nehmen, um alle Informationen zu überprüfen, die Ihnen Sicherheit geben.

Doch womit sind die Verkäufer an diesen Tagen konfrontiert?

Wie wir zu Beginn dieses Artikels erwähnt haben, ist der BlackFriday eine unglaubliche Gelegenheit für Einzelhändler, ihre Umsätze am Ende des Jahres zu steigern. Es stellt sie jedoch vor eine große Herausforderung in Bezug auf die Informationssicherheit und die Geschäftskontinuität. Die wichtigsten Aspekte, auf die Sie achten sollten, sind die folgenden:

• Verfügbarkeit und Verarbeitungskapazität. Die exponentielle Zunahme der Transaktionen wird erhebliche Verarbeitungs- und Speicherkapazitäten der Informationssysteme beanspruchen. IT-Manager sollten auf die Kapazitätsplanung ihrer Architektur achten und über Backup-Mittel wie Cloud-Lösungen und Infrastrukturen verfügen, um die Systemleistung zu stärken und bei Bedarf Notfall- und Wachstumsmechanismen zu ermöglichen.

• Stärkung der Aufdeckungsfähigkeiten gegen Cyberangriffe. Denial-of-Service-Angriffe, Ransomware und Versuche, sensible Kunden- und Transaktionsdaten zu stehlen, werden erheblich zunehmen. Die von einem SOC/CERT bereitgestellten Fähigkeiten, der Einsatz von XDR und anderen Sicherheitslösungen sind für das Überleben des Unternehmens von entscheidender Bedeutung. Darüber hinaus ist der Aufbau von Humankapazitäten in Verbindung mit Sicherheitsdiensten im Falle eines den normalen Geschäftsbetrieb beeinträchtigenden Cybervorfalls sehr zu empfehlen.

• Sicherung und Überprüfung des Software-Lebenszyklus. Achten Sie sorgfältig darauf, dass Änderungen an Produktionssystemen keine Schwachstellen, Konfigurationsfehler, bösartige Komponenten von Drittanbietern und unnötig aktivierte APIS- oder Verbindungsports einführen. Besonderes Augenmerk ist auf die Integration mit Software von Drittanbietern und den erforderlichen Zahlungsgateways sowie auf die Schnittstellen mit den Logistikunternehmen zu legen, die zum Vertrieb unserer Produkte berechtigt sind. Eine echte Herausforderung.

• Der Abschluss einer Cyber-Versicherung kann eine empfehlenswerte Praxis sein, um mit möglichen Haftungen aus einem Cyber-Angriff umzugehen.

• Aktualisierung des Geschäftskontinuitätsplans und des Krisenmanagementplans sowie die zugehörige Schulung. Wenn etwas schief geht, muss das Unternehmen über ausreichende technische und personelle Kapazitäten verfügen, um den Betrieb in kürzester Zeit wiederherzustellen und gleichzeitig die wirtschaftlichen und rufschädigenden Verluste zu minimieren. 

!!!! Genießen Sie Ihren BlackFriday und viel Glück!!!!

Autor: Ángel García-Madrid Velázquez