Vorsicht vor den Datenschnüfflern

Datenschutz beim Onlineshopping bleibt ein frommer weihnachtlicher Wunsch, wie eine Studie zeigt. Kunden können beim Geschenkekauf ausspioniert werden. Große Sammelwut herrscht gerade in sensiblen Bereichen.


Weihnachtszeit ist Shopping-Zeit. Vor allem auch in den zahllosen Onlineshops laufen die Geschäfte jetzt wieder auf Hochtouren. Was kaum einer weiß oder auch einfach ausblendet: Kunden von Internetgeschäften können bei ihrem unbedachten Treiben auf Schritt und Tritt mit spezieller Analysesoftware verfolgt werden – das ist legal und gehört zum alltäglichen Business im Web.

Was sich hinter diesen sogenannten Trackern und Cookies verbirgt, weiß IT-Experte Tobias Schrödel. Ihm wurde mal Werbung für ein Buch eingeblendet, auf dessen Verlagswebseite er ein paar Tage vorher den Klappentext aufgerufen hatte. Zufall? Keineswegs. „Das Ganze dient dazu, unseren Einkauf zu optimieren“, erklärt Schrödel.

Also: Wem Äpfel gefallen, der kauft auch eher Apfelsaft, der mag wahrscheinlich auch Apfelmus und der möchte vielleicht auch Apfelgelee auf sein Frühstücksbrot schmieren. Werbung für Birnen wird daher nicht kommen. „Firmen zahlen gutes Geld für personalisierte Werbung, denn auch der Absatz geht wahrscheinlich in die Höhe. Und Wahrscheinlich ist immer noch besser, als blind irgendjemanden irgendetwas anzubieten“, so der Experte.


Der Hamburger Datenschutz-Spezialist eBlocker hat gerade elf Onlineshops in Deutschland (Amazon, Otto, Zalando, Notebooksbilliger, Bonprix, Mediamarkt, 123gold, Orion, Manufactum und Proidee) im Hinblick auf den Einsatz solcher Datensammler untersucht. Zwar lässt eBlocker seinerseits offen, auf welcher Grundlage speziell diese Shops ausgewählt wurden, das Thema jedoch dürfte wohl auch für die zehn umsatzstärksten Onlineshops eine Rolle spielen, denn kaum ein Onlinehändler trackt das Verhalten seiner Webseitenbesucher nicht in irgendeiner Art und Weise (was soweit weder verboten noch skrupellos ist, so lange sie sich dabei an bestimmte gesetzlich vorgegebene Regeln halten).

Die Analyse, die dem Handelsblatt exklusiv vorliegt, erfolgte auf Basis einer Auswertung der jeweiligen Startseiten. Das Ergebnis ist laut Geschäftsführer Christian Bennefeld „gleichermaßen überraschend wie alarmierend“: Von den untersuchten Shops informierte gerade einmal einer vollumfänglich über die eingesetzten Tracker.

Besonders erschreckend sei, dass sich die meisten gezählten Tracking-Instrumente in den sensibelsten Geschäftsbereichen tummeln würden – Sex und Gesundheit. So zählte eBlocker beim Erotikversand Orion 43 Tracker, bei der Onlineapotheke Docmorris sollen 24 zum Einsatz kommen. „Welche Informationen hierbei so erhoben werden, dass eine bestimmte Person identifiziert werden kann, ist bestenfalls unsicher“, kritisiert Bennefeld.

Die Hamburger Otto Group, die in der Untersuchung mit drei Shops (Otto.de, Bonprix.de und Manufactum.de) in der Untersuchung vertreten ist, widerspricht dem Datenschnüffler-Vorwurf auf Nachfrage vehement. So würden beispielsweise keine personalisierten Profile durch den Einsatz von Tracker-Software erstellt. Ein Sprecher: „Der Schutz und der vertrauliche Umgang mit Kundendaten haben für uns oberste Priorität. Wir arbeiten streng gemäß der geltenden deutschen Datenschutzgesetze. Die Analyse des Einkaufsverhaltens und der damit verbundenen Erhebung und Verarbeitung von Nutzerinformationen ist gängige Vorgehensweise im E-Commerce.“


Unklar bleibt, wo die Daten landen

Mit den Analysen gehe man lediglich auf den Kundenwunsch nach personalisierten und individualisierten Angeboten ein. Der Sprecher: „Dennoch prüfen wir natürlich permanent, wo wir uns im Sinne unserer Kundinnen und Kunden weiter verbessern können, und sind dankbar für entsprechende Hinweise, denen wir hier entsprechend umgehend nachgekommen sind.“

Auch die beiden Onlinehändler Orion.de und Docmorris.de haben wir um eine Stellungnahme gebeten. Eine Sprecherin von Orion.de kommentiert: „Tatsächlich arbeitet Orion in seinem Onlineshop mit verschiedenen Trackern, die überwiegend aus Kooperationsverträgen mit (Vertriebs-)Partnern resultieren. Diese Verträge werden von uns immer unter der Prämisse geschlossen, dass die jeweils aktuell gültigen Datenschutzrichtlinien auch von unseren Kooperationspartnern eingehalten werden. Im Rahmen des Trackings erheben wir anonymisierte Verläufe und Bewegungen.“ Unabhängig davon überprüfe man seine Datenschutzrichtlinien kontinuierlich, „wir werden aber die von eBlocker erhobene Studie auch zum Anlass nehmen, dies einmal mehr zu tun.“

Bei Docmorris.de heißt es: „Selbstverständlich arbeitet Docmorris gemäß der in Deutschland als auch in den Niederlanden geltenden Datenschutzbestimmungen.“ Ein Sprecher beteuert, der Schutz personenbezogener Daten habe oberste Priorität. „Bei der Erfassung und Verarbeitung von Trackinginformationen erfolgt zu keiner Zeit ein Personenbezug. Der Einsatz von Cookies und Trackern ermöglicht eine stetige Verbesserung der Website, insbesondere im Sinne der Nutzer. Zudem helfen sie dabei, die von Nutzern oft als lästig empfundene Ansprache mit – für den einzelnen Nutzer nicht relevanter – Werbung, zu reduzieren.“


Unabhängig von diesen Fällen beunruhigt Martin Hellweg, IT-Experte und Autor Bestsellers „Safe Surfer“, einem Buch zum Schutz der Privatsphäre, vor allem, was generell aus den gesammelten Kundendaten gemacht werden kann: „Wenn von Datenbrokern, die diese Informationen bündeln, Listen von vergewaltigten Frauen, Männern mit Erektionsstörungen oder Personen mit bereits bestehenden oder potenziellen Depressionen – 1000 Datensätze für 79 Dollar – verkauft werden, dann zeigt dies die gesellschaftliche Sprengkraft der Sorglosigkeit, mit der wir diese Dinge passieren lassen. Man muss sich nicht wundern, wenn in einer nicht zu fernen Zukunft der 16-jährige Nachwuchs eine Lehrstelle nicht bekommt, weil er aufgrund der gewonnenen Daten ein zu hohes Risiko hat, häufiger mal krank zu sein.“

Da geht man vielleicht doch lieber zum Apotheker um die Ecke. Zumal in den meisten Fällen auch unklar bleibt, wo die Daten landen: In Deutschland, wo sie Datenschutzgesetzen unterworfen sind? Oder im Ausland, wo sie, wie etwa in den USA, häufig auch von der Regierung eingesehen werden können? eBlocker findet: wer in derart sensiblen Bereichen Produkte und Dienste anbietet, muss seine Kunden transparenter informieren.


Datenschutzerklärung in vielen Fällen unzureichend


Alle Tracker, die Daten so erheben, dass ein Rückschluss auf eine bestimmte oder bestimmbare Person möglich ist, müssen in der Datenschutzerklärung (DSE) angegeben werden. Da der Shop-Betreiber über umfangreiche Zusatzinformationen von Bestellern verfügt, ist ein Rückschluss auf bestimmte Personen häufig möglich. Bei Orion tauchten in der Analyse von eBlocker aber nur sechs Tracker in der DSE auf, bei Docmorris sogar nur drei – also lediglich ein Bruchteil der eingesetzten Datensammel-Tools. Und es ist zumindest zweifelhaft, dass von den 43 respektive 24 Trackern tatsächlich nur die jeweils genannten Tracker personenbezogene Daten erheben.

Zudem hat jeder Seitenbesucher laut Telemediengesetz das Recht, der Speicherung seiner personenbezogenen Daten zu widersprechen („Opt-out“). „Diese Option bieten die meisten Shops aber entweder gar nicht an oder nur in eingeschränkter Form – etwa als allgemeinen Hinweis, wie sich Cookies im Browser löschen lassen“, kritisiert Bennefeld. „Und das, obwohl die meisten Anbieter von Analysediensten für Websitebetreiber einfache Opt-Out-Mechanismen zum Einbauen in die Internetseite anbieten.“ Sind den Shops hier die Persönlichkeitsrechte der Benutzer gleichgültig?


Wenn man ehrlich sein will: Die Antwort auf diese Frage ist so komplex wie politisch. Das zeigt auch die aktuelle Debatte um das Thema E-Privacy – eine EU-Verordnung, welche die Nutzung von Cookies und Tracking-Software deutlich einschränken würde. Laut Vorschlag der EU-Kommission, dem das EU-Parlament im Oktober weitgehend zugestimmt und den es zum Teil sogar verschärft hat, sollen Nutzer künftig schon in ihrem Browser ihre Zustimmung zum Einsatz von Cookies verweigern können. Das gälte dann pauschal für alle Shops oder Seiten, die angesteuert werden.

Dagegen läuft die gesamte Medien- und Werbebranche derzeit Sturm. Denn tritt die Verordnung in Kraft, wäre es wesentlich schwieriger, dem User auf ihn zugeschnittene personalisierte Werbung oder andere Inhalte anzubieten. Zwar sollen die Webseiten weiterhin Werbung schalten dürfen, auch wenn der Nutzer seine Einwilligung zum Setzen von Cookies nicht gibt – allerdings eben nur nicht personalisierte Werbung, die weniger Geld einbringt.

Eine umstrittene Studie des Wissenschaftlichen Instituts für Infrastruktur und Kommunikationsdienste (WIK) im Auftrag des Bundeswirtschaftsministeriums kommt zu dem Schluss, dass in Deutschland kurzfristig von einer Reduktion des gesamten digitalen Werbebudgets von etwa einem Drittel auszugehen sei, sollte die E-Privacy-Verordnung in ihrer jetzigen Fassung in Kraft treten. Kritiker wie die Bundesdatenschutzbeauftragte Andrea Voßhoff bemängelten die Studie jedoch als zu einseitig, da die Autoren nicht die neuen Geschäftsmodelle mit datenschutzfreundlicherem Tracking des Nutzerverhaltens beleuchtet hätten. Andere werfen dem WIK vor, mit einer unzureichenden Datengrundlage gearbeitet zu haben.

Was im Verborgenen passiert, wissen viele nicht

Die Shops können eines gut: verkaufen. Was sie nicht gut können, ist Profile zu bilden und ihre Kunden richtig tief zu analysieren“, sagt Tobias Schrödel. „Dazu fehlt ihnen einfach die Datenbasis. Das kaufen sie also von einem Werbenetzwerk, das beispielsweise solche Tracker anbietet, zu. Der Shop bekommt so gute Informationen, was der Besucher suchen könnte, liefert dafür aber auch dessen Verhalten auf seiner Webseite zurück.“

Was genau da alles so im Verborgenen passiert, wissen viele Nutzer nicht. Denn wer liest sich schon das Kleingedruckte Zeile für Zeile durch? „Aber selbst wenn wir es ahnen, blenden wir es häufig einfach aus, weil es mühsam ist, sich den Realitäten zu stellen“, so Martin Hellweg. Ein Beispiel, das wir sicher alle kennen und möglichst schnell wegklicken, weil es nervt: die allgegenwärtigen „Diese Website verwendet Cookies“-Hinweise, meist am oberen Bildrand im Browserfenster.

„Begünstigend wirkt, dass wir Menschen auf unmittelbare Bedrohungen häufig überreagieren, auf abstrakte Gefahren aber zu wenig. Wir haben Angst vor Terroristen, obwohl mehr Menschen daran sterben, an einem Kugelschreiber zu ersticken, aber das Sammeln unserer Daten im großen Stil lässt uns kalt – obwohl es menschliche Schicksale zerstören kann.“


Auf der Shopseite des Otto-Versandes will „eBlocker“ bis zu 20 Tracker gefunden haben. Die Tochtergesellschaft Otto Group Media nutzt wiederum die Daten der Otto Group (darunter Neckermann, Quelle, Baur, Heine). Zur Otto Group gehört unter anderem der Versandhändler Bonprix, der sich im Test laut eBlocker mit 38 eingesetzten Trackern als einer der fleißigsten Datensammler entpuppte. Auch hier, so der Vorwurf von Bennefeld, fehle eine umfassende Information, mit welchen Diensten personenbezogene Daten erhoben würde.

Beispielsweise würde auf den Internetseiten von Otto.de eine generelle Abschaltung von „Retargeting-Technologien“ angeboten. Welche Technologien hierbei genau genutzt werden und wer dadurch Zugriff auf die personenbezogenen Daten des Nutzers erhält, lasse sich der Datenschutzerklärung allerdings nicht entnehmen. Auch Bonprix müsse sich fragen lassen, warum die Analyse der Website Tracker im Einsatz zeigte, welche nicht in der Datenschutzerklärung genannt wurden. Bennefeld: „Transparenz sieht anders aus.“

Dem widerspricht die Otto Group: „Unsere Kunden werden von uns sehr transparent und umfassend über den Einsatz unserer Internettechnologien informiert. Wir geben ihnen, wie rechtlich verlangt, gleich an mehreren Stellen die Möglichkeit, einem Tracking zu widersprechen. Im Übrigen setzen wir uns beim Thema Datenschutz selbst sehr hohe Standards, die wir ständig überprüfen.“

So gehört tatsächlich das einzige Unternehmen, das mit einer weißen Weste aus der Untersuchung hervorgeht, zur Otto Group. Das Warenhaus Manufactum setzt nur einen Datensammler auf seiner Startseite ein, der in der Datenschutzerklärung aufgeführt ist.


Kunden können Datenspeicherung kaum verhindern


Generell bleibe festzuhalten: Mit Ausnahme von Manufactum pflegten alle untersuchten Shops ihre Datenschutzerklärungen nicht korrekt oder nicht besonders nutzerfreundlich. Auf den Seiten fanden sich deutlich mehr Datensammler als deklariert. Und selbst wenn ein Tracker in der Erklärung angegeben ist, kann der Shopkunde eine Speicherung seiner Daten nur selten verhindern, da ein Opt-out-Link fehlt oder technisch nicht sauber eingebunden ist.

Häufig tauchten in der Datenschutzerklärung zudem Datensammler auf, die es auf der Seite nicht (mehr) gibt – ein weiterer Hinweis auf mangelnde Aktualität der Datenschutzerklärung. Die Anbieter scheinen oft einfach einzusetzen, was der Markt an Technologien gerade hergibt, ohne sich über den Datenschutz Gedanken zu machen.


In diesem Sinne äußerte sich auch ein anderes der getesteten Unternehmen auf Nachfrage von eBlocker: die „hohe Dynamik und Veränderungsgeschwindigkeit im Onlinemarketing“ sorge dafür, dass häufiger „Änderungen im Portfolio der Werbepartner“ vorgenommen würden, welche nicht stets aktuell in der Datenschutzerklärung genannt würden. Zu Deutsch: Man bindet so schnell und dynamisch Dritte in seine Internetseite ein, dass man sich über die personenbezogenen Daten und Persönlichkeitsrechte der Kunden leider erst später kümmern kann – bedenklich für einen der großen deutschen Onlineanbieter.

Viele der von eBlocker untersuchten Shops verstießen gegen gesetzliche Vorschriften und informierten nicht über personenbezogenes Tracking. Vielleicht aus Unwissenheit der Gesetzeslage oder Unkenntnis der tatsächlich eingesetzten Tracker. Das eine ist so beunruhigend wie das andere. Aber solange die Aufsichtsbehörden keinen Druck ausüben, wird sich daran kaum etwas ändern.

Doch es gibt noch ein weiteres Problem, weiß Experte Martin Hellweg: „Hinter vorgehaltener Hand sagen mir Politiker offen, dass etwas geschehen müsste, die meisten Menschen sich für Privatsphäre- und Datenschutz aber einfach nicht interessieren. Es ist kein Topthema. Und so wird selbst bestehendes Recht nicht wirklich konsequent eingefordert. Der öffentliche Druck fehlt einfach.“


Tobias Schrödel meint hingegen: „Der einzelne User ist gar nicht in der Lage, Druck auszuüben. Das müssen daher Verbraucherschutzorganisationen machen, oder zumindest müssen sie das anstoßen und die Aufsichtsbehörde zwingen. Das ganze wird sich meines Erachtens nicht ändern, solange wir Verbraucher nicht sehen und nicht mitbekommen, wie viele Tracker da laufen.“

Zum Glück können Onlineshopper trotzdem unbeobachtet surfen: beispielsweise mit speziellen Geräten, die mit dem Heimnetzwerk verbunden werden, das Onlineverhalten aller internetfähigen Geräte im Haushalt analysieren und diese damit vor Datenschnüfflern schützen. Es wird Sie jetzt nicht wundern, dass eBlocker ein entsprechendes Produkt verkauft und insofern auch ein wirtschaftliches Interesse hat, die geschilderte Praxis anzuprangern – schließlich bieten die Hamburger das Gegenmittel an.


Martin Hellweg empfiehlt als Defensiv-Maßnahme „zumindest für das Surfen zu sensiblen Themen im Internet den Tor-Browser zu benutzen. Das ist kein Allheilmittel, aber es bringt einen schon mal mächtig voran.“ Unterstützt ein Shop den Tor-Browser nicht, wie beispielsweise Docmorris, shoppen Sie einfach woanders. Und als Offensiv-Maßnahme kann man die Flucht nach vorne antreten und die Datensammler mit Daten zumüllen.

Martin Hellweg nennt da einen Weg: „Über die Safe-Surfer-Stiftung verteilen wir gratis Little Foggy. Das ist ein Programm, das in Ihrer Abwesenheit per Zufallsprinzip rausgesuchte Begriffe surft und so diejenigen verwirrt, die Ihre Daten sammeln, in dem es einen Datennebel erzeugt, in dem man nicht mehr weiß, was eigentlich von Ihnen ist und was nicht.“ Vielleicht ist das am Ende wirklich der beste Schutz: „Wir leben im digitalen Wilden Westen. Da muss man zu solchen Maßnahmen greifen“, ist IT-Experte Hellweg überzeugt.

Auch Schrödel sieht die einzige Möglichkeit im anonymen Surfen. Sein Tipp: „Wählen Sie beim Produkt- und Preisvergleich, also wenn man mehrere Seiten besucht und überall zwangsläufig preisgibt, was einen interessiert, einen Browser mit Anti-Tracking wie beispielsweise CLIQZ. Beim Kaufvorgang kann man sich dann ruhig outen. Muss man eh, schließlich will man ja auch, dass das Paket wirklich zu einem nach Hause kommt.“



KONTEXT

Onlineshops: So viele Tracker wurden gefunden

Quelle: eBlocker

Die Angaben basieren auf einer Auswertung des Hamburger Datenschutz-Spezialisten "eBlocker."

Manufactum.de

Gezählte Tracker: 1.Davon in der Datenschutzerklärung: 3.

123gold.de

Gezählte Tracker: 5.Davon in der Datenschutzerklärung: 0.

Amazon.de

Gezählte Tracker: 6.Davon in der Datenschutzerklärung: 0.

Mediamarkt.de

Gezählte Tracker: 13.Davon in der Datenschutzerklärung: 5.

Zalando.de

Gezählte Tracker: 17.Davon in der Datenschutzerklärung: 4.

Otto.de

Gezählte Tracker: 20.Davon in der Datenschutzerklärung: 3.

Notebooksbilliger.de

Gezählte Tracker: 37.Davon in der Datenschutzerklärung: 6.

Proidee.de

Gezählte Tracker: 6.Davon in der Datenschutzerklärung: 1.

Bonprix.de

Gezählte Tracker: 38.Davon in der Datenschutzerklärung: 7.

Docmorris.de

Gezählte Tracker: 24.Davon in der Datenschutzerklärung: 3.

Orion.de

Gezählte Tracker: 43.Davon in der Datenschutzerklärung: 4.

KONTEXT

Zehn Tipps für den Weihnachtseinkauf

10. Last-Minute-Tipp

Sie hatten keine Zeit, haben nichts gefunden oder können sich nicht entscheiden? 2017 fällt der Heiligabend auf einen Sonntag. Umso schwieriger könnte es für einige werden, noch an ein passendes Geschenk zu kommen. Dabei bieten Online-Shops nach nur wenigen Klicks eine wertvolle Alternative: Festmahl via Lieferdienst, online noch einen Gutschein buchen oder beispielsweise ein eBook verschenken, das noch am selben Abend gelesen werden kann.

9. Prüfen Sie die Rückgaberichtlinien

Umtausch: Bestellungen in Online-Shops dürfen innerhalb von 14 Tagen ohne Angabe von Gründen wieder zurückgegeben werden, das ist die gesetzliche Widerrufspflicht. Genauer hinsehen müssen Sie aber bei individuell produzierten oder in Schutzfolie verschweißten Artikeln, die geöffnet wurden. Auch bei versiegelten Waren, die nicht aus Gründen des Gesundheitsschutzes oder der Hygiene zur Rückgabe geeignet sind, wenn ihre Versiegelung nach der Lieferung entfernt wurde, gelten andere Regeln.

8. Bei Privat-Versand: Prüfen Sie die Paketpreise

Versand: Falls Sie Ihren Liebsten selbst etwas schicken möchten: Auch für den Versand von Paketen existieren Web-Portale, die einen Preisvergleich bieten.

7. Nutzen Sie Couponing- und Cashback-Portale

Durch den Gang zum Couponing- oder Cashbackportal können Sie oft nochmal zusätzlich sparen und Gutscheine der Online-Shops nutzen. Zehn oder 20 Prozent Rabatt sind keine Seltenheit, bei bestimmten Produktkategorien sind manchmal sogar noch größere Ersparnisse drin. Einige Plattformen haben sich mittlerweile zur Beratungsplattform entwickelt und bieten redaktionell aufbereitete Produktinformationen und unabhängige Kauftipps an.

6. Bedenken Sie Mehrkosten bei bestimmten Zahlverfahren

Bezahlung: Gute Online-Shops bieten in der Regel mehrere Möglichkeiten der Bezahlung an. Traditionell ist der Kauf auf Rechnung in Deutschland sehr verbreitet, doch letztendlich bietet er Ihnen nicht mehr oder weniger Sicherheit als andere digitale Bezahlverfahren. Online-Shops müssen Mehrkosten von bestimmten Bezahlverfahren anzeigen, achten Sie daher darauf.

5. Nutzen Sie die Vorteile des E-Commerce

Test: Die digitale Umkleidekabine ist längst Realität. Sie können die Webcam zum Beispiel als "Spiegel" nutzen und virtuell Brillen testen, Produkte in 3D-Videos von allen Seiten begutachten sich von virtuellen Beratern, ob Mensch oder Chatbot, virtuell persönlich beraten lassen. Nutzen Sie, was bereits möglich ist, zu Ihrem Vorteil.

4. Nutzen Sie die Vorteile des Multi-Channel-Handels

Viele Händler betreiben sowohl einen Online-Shop als auch stationäre Filialen. Wenn Sie online bestellen können, um das Produkt in der Filiale abzuholen, die vielleicht auf dem Weg zur Arbeit liegt, sparen Sie bares Geld für den Versand. Einige Händler bieten in der Filiale auch digitale Displays an mit der Verknüpfung zum Online-Shop. So können zum Beispiel individuelle Produkte zusammengestellt oder Produkte bestellt werden, die gerade nicht vorrätig sind.

3. Achten Sie auf Prüfsiegel

Shop: Es existieren diverse verbreitete und bekannte Prüfsiegel für Online-Shops, die Zuverlässigkeit, Professionalität und faire Preise garantieren. Hinter der Verleihung seriöser Prüfsiegel stecken umfangreiche Testverfahren. Nutzen Sie bevorzugt Shops mit Siegeln, denen Sie vertrauen. Doch Vorsicht: Manchmal sehen Siegel absichtlich wie bereits etablierte aus, sind aber leicht verändert und nicht echt. Im "realen" wie im digitalen Leben lohnt es sich, genauer hinzusehen.

2. Ein Preisvergleich schadet nicht

Preisvergleich: Es gibt unterschiedliche Preisvergleich-Portale, teilweise für alle Branchen, teilweise auch Portale nur für bestimmte Produkt-Kategorien. Ein Preisvergleich im Web vor dem Kauf kann Ihnen nicht schaden. Bedenken Sie zwar, dass auch die Portale in der Regel vom Kauf der dargestellten Produkte profitieren, doch Sie können auf diese Weise oft sparen. Achten Sie darauf, beim Endpreis inklusive Versandkosten zu vergleichen.

1. Der frühe Vogel fängt den Wurm

Recherche: Warten Sie nicht zu lange mit Ihren Bestellungen. Traditionell ist das Versandvolumen kurz vor Weihnachten extrem hoch. Obwohl die großen Händler und Paketdienste zusätzliches Personal einplanen, kann es zu Verzögerungen kommen. Daher warten Sie nicht zu lang.

Quelle

Weihnachten steht vor der Tür und ist schneller da als manchem Geschenkesuchenden lieb ist. Doch der Bundesverband Digitale Wirtschaft (BVDW) schafft Abhilfe: Oliver Bohl, Vorsitzender der Fokusgruppe Digital Commerce im BVDW, gibt zehn Tipps, wie beim Shopping weniger schiefgehen kann.

KONTEXT

Wie die Hacker zum Ziel kommen

Eine einzige Schwachstelle reicht

Wenn kriminelle Angreifer in ein Computersystem eindringen wollen, haben sie einen Vorteil: Sie müssen womöglich nur eine einzige Schwachstelle finden, um einen Rechner zu kompromittieren. Einige ausgewählte Angriffsmethoden.

Verspätetes Update

Es gibt praktisch keine fehlerlose Software - wenn Sicherheitslücken entdeckt werden, sollte sie der Hersteller mit einem Update schließen. Viele Firmen lassen sich jedoch Zeit, diese zu installieren und öffnen Angreifern somit Tür und Tor.

Angriff auf die Neugier

Der Mensch ist neugierig - das machen sich kriminelle Hacker zunutze: Sie verfassen fingierte E-Mails, die wichtige Dokumente oder ein lustiges Video versprechen, aber nebenbei die Zugangsdaten eines Mitarbeiters stehlen. Phishing wird diese Methode genannt.

Gutgläubigkeit als Einfallstor

"Hier ist die IT-Abteilung. Wir brauchen mal Ihr Passwort": Nicht selten gelangen Angreifer mit einem dreisten Anruf an die Zugangsdaten eines Mitarbeiters. Wer gutgläubig ist, fällt auf diese Masche rein - obwohl die IT-Fachleute aus dem eigenen Haus nie so eine Frage stellen würden.

Ein Passwort, das nicht sicher ist

Ob Router oder Drucker: Viele Geräte werden mit einem Standardpasswort ausgeliefert. Wenn die IT-Abteilung es nicht verändert, haben Angreifer leichtes Spiel. "Die Handbücher mit dem Passwort stehen oft im Internet", sagt Joachim Müller, Chef für IT-Sicherheit beim Dienstleister Ceyoniq Consulting.

Ein schwaches Glied

Angreifer suchen das schwächste Glied in der Kette, häufig alte Systeme. Zudem kennen professionelle Angreifer - neben Kriminellen auch Geheimdienste - oft Sicherheitslücken, die den Herstellern der Software noch nicht bekannt sind. Gegen solche Zero-Day-Exploits kann man sich kaum schützen.

KONTEXT

Die Schwarzmarkt-Preise der Hacker

Kreditkarteninformationen

Vollständige Kreditkartendatensätze gibt es laut dem IT-Sicherheitsdienstleister Symantec im untersuchten Zeitraum von 2009 bis 2010 ab sieben Cent auf Untergrund-Servern von Cyber-Kriminellen. Dabei war die Preisspanne groß. Die Preise für einen Datensatz bewegten laut Symantec sich zwischen sieben Cent und 100 Dollar. Der Handel mit Kreditkartenssätzen macht sind waren im Untersuchungszeitraum von 2009 bis 2010 die am häufigsten illegal angebotenen Daten. 2009 waren 19 Prozent der illegalen Angebote in den Hacker-Foren Kreditkartensätze, 2010 waren es 22 Prozent.

Online-Banking-Zugänge

Auch der Handel mit Online-Banking-Zugängen spielt eine wichtige Rolle: 16 Prozent der gehandelten Daten waren 2010 Zugangsdaten zu Banking-Accounts, ein Jahr zuvor waren es sogar 19 Prozent. Die Datensätze wurden im Schnitt zu deutlich höheren Preisen angeboten als die Kreditkarteninformationen. 10 bis 900 Dollar erzielt Symantec zufolge ein Datensatz auf dem Schwarzmarkt.

E-Mail-Accounts

Der Zugang zu E-Mail-Account wurden mit Preisen zwischen einem und 18 Dollar gehandelt. 2009 bezogen sich sieben Prozent der illegalen Angebote auf E-Mail-Accounts, 2010 waren es zehn Prozent.

Attack-Programme

Programme zum Attackieren von Websites spielten 2009 noch kaum eine Rolle auf dem Schwarzmarkt: nur zwei Prozent der Angebote bezogen sich darauf. 2010 waren es aber schon sieben Prozent. Die Programme wurden für fünf bis 650 Dollar gehandelt.

E-Mail-Adressen

E-Mail-Adressen zum Versenden unerwünschter Werbung (Spam) sind in Hacker-Foren Dutzendware: Der Preis für E-Mail-Adressen berechnet sich pro Megabyte an Daten. Ein Megabyte enthält Zehntausende E-Mail-Adressen. Für ein Megabyte an Adressdaten zahlten Spammer in Hacker-Foren zwischen einem Dollar und 20 Dollar. 2009 bezogen sich sieben Prozent der Angebote in den Hacker-Foren auf E-Mail-Adress-Listen, 2010 waren es fünf Prozent.

Gefälschte Kreditkarten

Falsche Kreditkarten mit echten Personen-Daten, sogenannte Credit Card Dumps, gibt es Symantec zufolge schon ab 50 Cent zu kaufen. Die teuersten Karten gingen für 120 Dollar pro Stück über den virtuellen Tresen. Das Angebot an gefälschten Kreditkarten ist von 2008 auf 2009 kräftig gewachsen: von zwei auf fünf Prozent der gehandelten Waren. 2010 hielt blieb der Wert bei fünf Prozent stabil.

Komplette Identitäten

Name, Adresse, Geburtstag, Kontoverbindung - solche kompletten Datensätzen einer Person lassen sich von Cyber-Kriminellen beispielsweise für Bestellungen missbrauchen, die nie bezahlt werden. Vollständige Identitäten können die Betrüger in Hacker-Foren kaufen - laut Symantec schon ab 70 Cent. Die teuersten Datensätze wurden für 20 Dollar gehandelt. Das Angebot stieg von 2008 auf 2009 von vier auf fünf Prozent der gehandelten Daten.

Shell-Skripte

Shell-Skripte sind einfache Programme, die bestimmte Aufgaben erledigen. Auch sie können zum Hacken genutzt werden, beispielsweise, indem ein Shell-Programm sämtliche Wörter eines Wörterbuchs als Passwort ausprobiert. Für die kleinen Programme wollten Hacker zwischen zwei und sieben Doller haben. Das Angebot an Shell-Skripten ging von 2009 auf 2010 zurück: von sechs auf vier Prozent der gehandelten Waren.

Die vollständige Liste finden Sie unter www.symantec.com.

www.symantec.com