Bedrohungslage

Sicheres Online-Shopping – auch zur Weihnachtszeit

24. November 2020 von PSW GROUP Redaktion
it-sicherheit-im-home-office
© shintartanya - Adobe Stock

5
(4)

Weihnachten steht vor der Tür – und damit auch Aktionen wie Black Friday oder Cyber Monday, zwei Aktionstage Ende November, die aus den USA importiert und hierzulande bestens aufgenommen wurden. Schon 2019 kaufte die Mehrheit der Bundesbürger*innen Weihnachtsgeschenke im Netz, wie der Branchenverband Bitkom erklärte. Die anhaltende Corona-Krise wird den Online-Shops ein weiteres Plus bescheren, die Zahlen steigen weiter. Das ist auch Cyberkriminellen bekannt. Dieser Beitrag soll Sie in die Lage versetzen, Fake-Shops zu erkennen und zu wissen, was auf sicheres Online-Shopping hindeutet.

Fake Shops erkennen: Darauf können Sie achten

Cyberkriminelle nutzen den vorweihnachtlichen Kaufrausch vieler Verbraucher*innen, um ganz eigenen Geschäften nachzugehen. Dazu gehört mitunter, dass sie sogenannte Fake Shops eröffnen: Online-Shops, die täuschend echt wirken, ihre Kund*innen jedoch mit ausbleibenden Warenlieferungen oder anderen Machenschaften betrügen. Die folgenden Kriterien helfen Ihnen, Fake Shops zu erkennen.

Web-Adresse und Verschlüsselung prüfen

Überprüfen Sie zunächst die Internetadresse – oft verwenden Cyberkriminelle Adressen, die an bestehende und seriöse Shops erinnern, sich jedoch im Detail unterscheiden. So könnte beispielsweise die Domain www.onlineshop.de von Cyberkriminellen unter www.onlinshop.de ausgenutzt werden. Werden Sie auch dann skeptisch, wenn die Internetadresse überhaupt nicht zum Thema des Shops passt, beispielsweise wenn Sie unter pflanzenwelt.de Bademode erwerben können. In unserem Beitrag “Fake Shops: Das Geschäft mit abgelaufenen Domains” haben wir erklärt, wie so etwas zustande kommen kann.

Weiter muss die Verschlüsselung der Site einer kurzen Prüfung unterzogen werden. Vor nicht-verschlüsselten Seiten warnen moderne Browser mittlerweile, das wissen auch Cyberkriminelle. Um die Verschlüsselung einer Website zu überprüfen, klicken Sie auf das kleine Schlosssymbol vor der eigentlichen Adresse in der Adresszeile. Dort finden Sie im Menüpunkt “Zertifikat” zunächst die Information, ob eine gültige Verschlüsselung aktiviert ist. Klicken Sie darauf, erhalten Sie weiterführende Informationen über das SSL-Zertifikat: Für wen wurde es ausgestellt? Wer hat es ausgestellt und bis wann ist es gültig?

Da unverschlüsselte Websites von modernen Browsern nicht mehr ohne weiteres aufgerufen werden, sind auch Cyberkriminelle dazu übergegangen, ihre Fake Shops zu verschlüsseln. Dabei handelt es sich in aller Regel um kostenfreie SSL-Zertifikate, die keine nähere Prüfung der zu schützenden Domain oder des Domaininhabers zulassen. Große Online-Shops, Banken, aber auch mittlere Unternehmen unterziehen sich einer sogenannten erweiterten Validierung (EV), um ihren Websitebesucher*innen ein Plus an Sicherheit zu spendieren. Rufen Sie beispielsweise unsere Website www.psw-group.de auf und klicken auf das Schlosssymbol, erfahren Sie bereits an dieser Stelle, dass unser SSL-Zertifikat auf unsere Organisation ausgestellt ist. Ein Klick auf “Zertifikat” offenbart Ihnen unter “Ausgestellt von”, dass es sich um ein EV-Zertifikat (“Extended Validation”) handelt.

Verschlüsselung an sich ist also noch kein Erkennungszeichen für einen seriösen Online-Shop – dahinter könnten auch Cyberkriminelle mit kostenfreien SSL-Zertifikaten ohne weitere Prüfung stecken. Klicken Sie im Zweifel die Zertifikatsinformationen Ihres Browsers wie oben beschrieben an, um weitere Details über die Identität des Online-Shops zu erfahren.

Gütesiegel, Prüfzeichen und Zertifikate

Gütesiegel wie “Trusted Shops” erhalten ausschließlich jene Anbieter, deren Shops entsprechend geprüft wurden. Für unser Beispiel “Trusted Shops” sind die Qualitäts-, also die Prüfkriterien in diesem Dokument (PDF) zusammengefasst. Handelt es sich um ein echtes Gütesiegel, so ist auf dem Online-Shop in aller Regel ein entsprechendes Zertifikat zu finden, welches Sie auch anklicken können, um so an den Zertifikate-Anbieter weitergeleitet zu werden. Andersherum können Sie jeden zertifizierten Shop auch auf der Website der Prüfstelle finden. Ein Beispiel bildet unsere eigene Website, die Sie auch bei Trusted Shops finden können.

Auch die Initiative D21 – ein Zusammenschluss diverser Unternehmen und Wirtschaftsführer – hat Qualitätskriterien für Internetangebote (PDF) definiert. Die Initiative setzt auf freiwillige Selbstverpflichtung und vergibt ihr Gütesiegel nur dann, wenn diese Qualitätskriterien eingehalten werden.

Gütesiegel, Prüfzeichen und Zertifikate haben jedoch einen sehr wesentlichen Nachteil: Startups und kleine Anbieter können es sich oft einfach nicht leisten, ein Siegel zu tragen. Denn natürlich müssen Unternehmen und Organisationen, die mit Prüfsiegeln werben möchten, für den Prüfvorgang zahlen. Siegel sind also kein Muss – viele Shops existieren ohne Siegel und agieren dennoch seriös. Einen Hinweis können klickbare, also echte Siegel aber natürlich geben.

Was sagen andere Nutzer*innen?

Eng verbunden mit Siegeln ist das Thema Bewertungen, denn Siegelanbieter wie beispielsweise Trusted Shops nehmen auch Bewertungen der Shop-Kund*innen an. Hier gilt es, kritisch zu sein: Sowohl das zu bewertende Unternehmen als auch die Konkurrenz schlafen nicht. Nicht jede Bewertung stammt von echten Kunden: Es kommt vor, dass Fake-Bewertungen einen Shop besser dastehen lassen sollen, als er ist. Oder dass die Konkurrenz schlecht bewertet, um das Image zu schädigen.

Deshalb ist es lohnenswert, sich nicht auf eine einzige Bewertungsquelle zu verlassen. Shops mit Prüfsiegeln können beim Siegelanbieter auf Bewertungen geprüft werden. Doch auch ohne Siegel hat man Chancen: Bewertungen hinterlassen Nutzer*innen sowohl auf Google als auch in Foren, sozialen Netzwerken oder direkt auf der Anbieter-Website. Lassen Sie immer mehrere Bewertungen in Ihr Meinungsbild einfließen, um realistische Ergebnisse zu erhalten.

Rechtstexte: Sind Impressum, AGB & Co. vollständig?

Rechtstexte – darunter fallen das Impressum, die Datenschutzerklärung oder auch die AGB – sollten immer vorhanden, vollständig und individuell, also nicht einfach von anderen Seiten kopiert sein. Gefälschte AGB und Datenschutzerklärungen sind nicht immer leicht zu erkennen. Sind sie jedoch in schlechtem Deutsch gehalten, dem man anlesen kann, dass es aus einem Übersetzer stammt, dürfen Sie skeptisch werden. Auch wenn die AGB, die Datenschutzerklärung oder das Impressum fehlen, sollten Sie sich Ihre Bestellung in diesem Shop noch mal überlegen.

In einigen Fällen fehlen diese Rechtstexte gänzlich, in anderen sind sie rudimentär erkennbar, jedoch unvollständig. Überprüfen Sie das Impressum: Darin müssen neben der Adresse auch ein Vertretungsberechtigter sowie eine E-Mail-Adresse angegeben sein. Wenn vorhanden, existiert auch der Verweis auf das Handelsregister mit Nummer. In der normalen Suche auf der Website des Handelsregisters können Sie gezielt nach der Registernummer suchen und im Eintrag erkennen, ob der Shop tatsächlich existiert. Auch die Umsatzsteuer-Identifikationsnummer findet sich idealerweise im Impressum, ebenso die Angabe einer zuständigen Aufsichtsbehörde, falls das entsprechende Angebot einer Zulassung bedarf.

In den Allgemeinen Geschäftsbedingungen können Sie Informationen zum Widerrufsrecht, zum Rückgaberecht sowie zu etwaigen Kaufpreisrückerstattungen finden. Prüfen Sie in der Datenschutzerklärung, wie das Unternehmen mit Datenschutz und Datensicherheit umgeht. Unbeantwortete Fragen können Sie idealerweise über eine Kontaktaufnahme klären. Prüfen Sie auch, ob Versand- sowie Rücksendekosten und mögliche Zusatzkosten transparent aufgezeigt werden.

Sicheres Online-Shopping: Angebote und Zahlungsoptionen

Klar: Gerade in der Vorweihnachtszeit übertreffen sich die Online-Shops mit Angeboten gegenseitig. Hier ein Schnäppchen, dort ein Mega-Deal. Aber vorsichtig: Eigentlich hat da draußen niemand etwas zu verschenken. Deshalb sollten Sie da Skepsis walten lassen, wo Angebote einfach zu günstig erscheinen. Wird Ihnen das neuste TV-Modell mit einer UVP von knappen 750 Euro für schlappe 150 Euro verkauft, ist es recht wahrscheinlich, dass Sie diese 150 Euro zwar zahlen, den Fernseher aber nie bekommen.

Sinnvoll ist es auch, Texte und Produkt-Angaben genau zu prüfen. In Fake Shops sind inhaltliche Ungereimtheiten sowie offensichtliche Rechtschreibfehler sehr häufig, jedoch nicht immer anzutreffen. Prüfen Sie die Transparenz: Weder Informationen noch Kosten sollten verschleiert werden. Weiter bieten seriöse Online-Shops in aller Regel verschiedene Zahlungsmöglichkeiten an. Finden sich nur Vorkasse oder andere den Verbraucher einschränkende Zahlweisen, ist das ein Grund für Sie, den Shop zu verlassen.

Sicheres Online-Shopping zur Weihnachtszeit

Auch wenn Online-Shops alle Regeln der IT-Sicherheit lobenswert einhalten: Sicheres Online-Shopping beginnt bei Ihnen! Nicht immer schreiben Online-Shops bei Registrierung wirklich sichere Passwörter vor, oft fehlt es sogar an irgendwelchen Vorgaben. Hier sind Sie selbst gefragt: Verwenden Sie nicht nur starke und sichere Passwörter, sondern auch unterschiedliche für verschiedene Zwecke (z. B. verschiedene Shops). Verzichten Sie – vor allem bei Rechnern oder mobilen Endgeräten mit mehreren Nutzer*innen – auf das Speichern von Passwörtern. Was es bei Passwörtern zu beachten gilt, verraten wir Ihnen in unserem Beitrag “Sichere Passwörter: Starke Passwörter erhöhen die Sicherheit”.

Sind Sie in öffentlichen WLAN-Netzen unterwegs, verzichten Sie bitte aufs Online-Shopping und andere internette Tätigkeiten, die mit einem Login verbunden sind. Shoppen Sie nur in ihrem passwortgeschützten WLAN, um das Risiko der Datenspionage zu minimieren. Dasselbe gilt für fremde oder öffentliche Rechner: Erledigen Sie hier nur Allgemeines, alles, was einer Anmeldung bedarf, geschieht nur auf Ihren eigenen Geräten.

Auf diesen eigenen Geräten verwenden Sie nicht nur einen sicheren Browser, sondern auch entsprechende Anti-Malware-Programme. Beide, den Browser sowie ihre AV-Suite, halten Sie stets aktuell, um Sicherheitslücken ausschließen zu können. Lassen Sie Vorsicht auch bei Ihren E-Mails walten:

  • Klicken Sie nicht unbedarft auf Links in E-Mails, schon gar nicht, wenn Ihnen der Absender unbekannt ist. Das könnte ein Phishing-Versuch sein. Kennen Sie sich aus mit Phishing? Machen Sie den Test – mit unserem Phishing-Quiz.
  • Seriöse Shops erfragen weder Zugangs- noch Zahlungsdaten per E-Mail oder Anruf.
  • Melden Sie betrügerische E-Mails dem jeweiligen Online-Shop.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 4

1 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu

Auf dieses Thema gibt es eine Reaktion