19.04.2023

Datenrisiken beim Online-Einkauf: Das können DSB raten

Nicht nur Privatpersonen sind in Gefahr, beim Online-Shopping Opfer von Cyberattacken zu werden. Auch die Einkaufsabteilung in Unternehmen beschafft zunehmend digital. Sicherheitslücken in Webshops können so zu einem betrieblichen Datenrisiko werden. Das können Datenschutzbeauftragte dagegen tun.

Datenrisiken beim Online-Einkauf: Das können DSB raten

Warum ist Online-Shopping auch ein Unternehmensrisiko?

Ware bestellt, Daten gestohlen – leider kommt es immer häufiger zu Cybervorfällen während des Einkaufs im Internet. Das gilt zum einen für den Privatbereich. So berichtet der Digitalverband Bitkom:

  • Fremder Zugriff aufs E-Mail-Postfach, Datenklau im Online-Shop oder der gehackte Social-Media-Account – zwei Drittel der Internetnutzerinnen und -nutzer (65 Prozent) fühlen sich im Internet durch eine illegale Nutzung ihrer Passwörter und Online-Konten durch Kriminelle bedroht.
  • 46 Prozent machen sich zudem Sorgen vor Betrug beim Online-Banking.
  • 34 Prozent fürchten Betrug beim Online-Einkauf.

Aber auch der betriebliche Einkauf ist solchen Cyberrisiken ausgesetzt. Denn der Einkauf ist meist Teil der digitalen betrieblichen Prozesse:

  • 63 Prozent der Unternehmen berichten vom Diebstahl sensibler Daten.
  • Bei 57 Prozent wurde digitale Kommunikation ausgespäht.
  • Und 55 Prozent sind von der digitalen Sabotage von Systemen oder Betriebsabläufen betroffen oder vermuten dies.

Das ergab eine Bitkom-Umfrage zum digitalen Wirtschaftsschutz.

DS Praxis Newsletter

Welche Sicherheitsrisiken bergen Webshops?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen einer Studie die Sicherheitseigenschaften von Onlineshopping-Plattformen untersucht. Es handelt sich dabei um Software-Produkte, mit denen Onlinehändler ihre Webshops erstellen. Die Plattformen lassen sich oftmals sowohl für das B2C-Geschäft als auch für das B2B-Geschäft nutzen.

Schwachstellen: Passwortrichtlinien, JavaScript-Bibliotheken & fehlende Updates

Im Rahmen der Studie hat das BSI Software-Produkte für Onlineshops auf Schwachstellen untersucht. Es fand dabei insgesamt 78 Sicherheitslücken – teilweise mit gravierenden Auswirkungen auf das IT-Sicherheitsniveau:

  • Fast alle im Rahmen der BSI-Studie untersuchten Produkte wiesen eine unzureichende Passwortrichtlinie auf.
  • Sieben von zehn Shop-Softwareprodukte nutzten JavaScript-Bibliotheken, die verwundbar gegenüber bekannten Schwachstellen waren.
  • In der Hälfte der untersuchten Produkte hat das BSI Software identifiziert, die das offizielle End-of-Life-Datum überschritten hatte und dementsprechend keine Sicherheits-Updates mehr erhält.

Das BSI ruft daher zum einen Hersteller von Shop-Software dazu auf, umgehend Updates für identifizierte IT-Sicherheitslücken bereitzustellen. Zum anderen appelliert es an Betreiberinnen und Betreiber von Onlineshops, die Updates ebenso zeitnah zu implementieren oder alternativ auf sichere Produkte auszuweichen.

BSI fordert Privacy by Design

BSI-Vizepräsident Dr. Gerhard Schabhüser erklärte dazu: „Die vorliegende Studie zeigt, dass die Verantwortung für sicheres Onlineshopping sowohl auf Hersteller- als auch auf Händlerseite liegt. Um die Gefahr künftiger Datenleak-Vorfälle zu senken und eine nachhaltige Steigerung des IT-Sicherheitsniveaus von Onlineshops zu erreichen, müssen Software-Hersteller regelmäßig Schwachstellenanalysen durchführen – aus Sicht des BSI bereits während der Produktentwicklung.“

Warum müssen Datenschutzbeauftragte beim Thema Online-Einkauf aktiv werden?

So wichtig ein umsichtiges Verhalten der Nutzenden beim Online-Shopping auch ist: Hat die Softwareplattform des genutzten Webshops Sicherheitslücken, könnten Angreifer trotzdem Daten stehlen und Datenschutzverletzungen auslösen.

Zum einen sollten Datenschutzbeauftragte (DSB) deshalb auf ein umsichtiges Verhalten bei der Online-Beschaffung hinwirken. Zum anderen ist es sinnvoll, als Datenschutzbeauftragte/-r darauf hinzuweisen, dass es auch auf die Infrastruktur des Online-Shops ankommt, also die verwendete Shop-Software. Online-Shops mit Sicherheitseigenschaften, die von Dritten bestätigt wurden, können hier von Vorteil sein. Das gilt, wenn das Unternehmen selbst einen Webshop betreibt, aber auch, wenn der Einkauf über solche Plattformen die digitale Beschaffung abwickelt.

Nicht zuletzt spielt auch das private Online-Shopping mit seinen Datenrisiken eine Rolle für den betrieblichen Datenschutz. Das gilt etwa, wenn Beschäftigte im Homeoffice einen Webshop privat nutzen, sich dabei auf ihrem Gerät, das sie auch betrieblich nutzen, Schadsoftware einfangen und so die Daten des Unternehmens in Gefahr bringen, zusätzlich zu den eigenen Daten.

Fazit: Auch beim betrieblichen Online-Einkauf auf Datenschutz und Datensicherheit achten

Online-Shopping gehört heute somit zum Einkauf dazu, auch für Unternehmen. Unter dem Gesichtspunkt Datenschutz und Datensicherheit ist allerdings zu beachten, dass die Shop-Plattformen nicht immer sicher sind. Sensibilisieren Sie als Datenschutzbeauftragte/-r daher die Kolleginnen und Kollegen dafür, dass sie bei einem Einkauf nicht nur Waren bestellen, sondern ungewollt vertrauliche Daten preisgegeben könnten.

Praxis-TIPP

Das Bayerische Landesamt für Datenschutzaufsicht hat hilfreiche Datenschutzinformationen zum Datenschutz in Online-Shops veröffentlicht. Hier finden sich folgende Muster und Vorlagen:

Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)