Datensicherheit bei Zalando
Datensicherheit bei Zalando
Ein sicheres Shopping-Erlebnis für Kund*innen, Partner*innen und Mitarbeiter*innen steht für Zalando an erster Stelle. Die Plattform von Zalando basiert auf einer modernen und zuverlässigen Infrastruktur, die mit hochwertigen Sicherheitstools arbeitet. Allein 2022 konnte Zalando mehr als 19 Milliarden Angriffe und etwa 500.000 verdächtige E-Mails abwehren. Florence Mottay, Chief Information Security Officer bei Zalando, erklärt, welche Sicherheitsmaßnahmen Zalando ergreift, damit Kund*innen sorgenfrei einkaufen können.
Florence, du hast viel Erfahrung in der Cybersecurity-Branche. Was sind die häufigsten Bedrohungen für Kund*innen?
Man könnte meinen, dass ich in den zwei Jahrzehnten, die ich mich mit Cybersecurity beschäftige, schon alles gesehen hätte. Aber der Bereich ist schnelllebig. Die einzige Konstante ist, dass sich Bedrohungen ständig weiterentwickeln.
Eines der häufigsten Probleme sind so genannte „Credential Stuffing Attacks“: Viele Menschen verwenden dieselben Anmeldedaten (E-Mail und Passwort) auf verschiedenen Plattformen. Wenn eine dieser Plattformen angegriffen wird, nutzen Kriminelle diese Anmeldedaten, um Zugriff auf andere Plattformen zu erhalten. Einigen Berichten zufolge ist jedes fünfte Passwort weltweit gefährdet. Deshalb ist es so wichtig, niemals dieselben Zugangsdaten für verschiedene Services zu verwenden. Stell dir vor, mehrere Häuser ließen sich mit demselben Schlüssel öffnen – und dann wird dieser Schlüssel gestohlen! Wenn es um Zugangsdaten geht, sollten wir die eigene Bequemlichkeit niemals höher als das Risiko gewichten.
Es gibt natürlich noch viele weitere, oft bekanntere Sicherheitsprobleme, denen wir alle tagtäglich ausgesetzt sind. Dazu gehören zum Beispiel Phishing-Angriffe (bei denen Angreifer*innen gefälschte E-Mails oder Nachrichten verschicken, um zur Weitergabe sensibler Daten zu verleiten). Noch gefährlicher sind Angriffe mit Ransomware, bei dem die Dateien eines Opfers verschlüsselt werden und für die Wiederherstellung der Daten Geld verlangt wird.
In unserem immer hektischer werdenden digitalen Leben und angesichts der immer ausgefeilteren Bedrohungen ist es wichtiger denn je, dass wir alle dieses Thema ernst nehmen und sensibilisiert sind.
Im Jahr 2022 hat Zalando 19 Milliarden Angriffe abgewehrt. Das ist eine beeindruckende Zahl. Sind damit die angesprochenen„Credential Stuffing Attacks“ gemeint?
Ja, aber die sind nur ein kleiner Teil davon. Unter anderem wehren wir auch Malware-Angriffe ab, die darauf abzielen, Computersysteme zu beschädigen oder sich unbefugten Zugriff darauf zu verschaffen. Ebenso Denial-of-Service-Angriffe. Diese zielen darauf ab, ein Computersystem oder ein Netzwerk mit Datenverkehr zu überschwemmen, sodass es für die Nutzer*innen nicht mehr nutzbar ist. Dann sehen wir auch immer wieder sogenannte Insider-Angriffe: Dabei richtet eine Person innerhalb des Unternehmens, etwa Mitarbeitende oder Auftragnehmer*innen, absichtlich oder unabsichtlich Schaden an Systemen oder Daten des Unternehmens an.
Die Zahl 19 Milliarden klingt erst einmal groß. Es ist aber wichtig zu verstehen, dass Tech-Unternehmen (oder Unternehmen mit einer Tech-Infrastruktur) potenzielle Angriffe abwehren müssen, die unterschiedlich ausgefeilt sind. Das lässt sich wahrscheinlich am besten mit unserem körpereigenen Immunsystem vergleichen. Die meisten Angriffe haben kein bestimmtes Ziel (etwa Zalando), sondern folgen einem so genannten „Spray and Pray“-Ansatz, bei dem eine Vielzahl von Angriffen in alle Richtungen gestartet wird – in der Hoffnung, ein Ziel zu treffen.
Was unternimmt Zalando, um Angriffe zu verhindern?
Eine ganze Menge! Wir kombinieren unsere Infrastruktur und Tools mit einem Team von Expert*innen für Informationssicherheit, die ständig neue Technologien bewerten und bei Bedarf darauf zurückgreifen. Das ist ein nie endender Wettlauf. Die Eindringlinge müssen letztlich nur einmal erfolgreich sein. Unsere Aufgabe ist, jeden einzelnen Angriff zu vereiteln. Die Bedrohungen werden immer ausgefeilter, erfordern eine ständige Optimierung und enorm schnelle Reaktion auf unserer Seite.
Ein Teil dieses ständigen Optimierungsprozesses ist Zalandos Beitritt zur “No More Leaks Initiative”, einer öffentlich-privaten Partnerschaft zwischen der niederländischen Polizei und einer großen Zahl von Unternehmen mit vielen Online-Nutzer*innen. In diesem Rahmen teilt die niederländische Polizei Listen mit gefährdeten Anmeldedaten in einer „gehashten“ Form. „Gehasht" bedeutet, dass die Daten durch eine mathematische Berechnung geschützt sind, sodass wir und die niederländische Polizei den Datenschutz jederzeit gewährleisten können. Mit den Daten können wir jeden Login auf unserer Website überprüfen und möglichen Betrug oder Missbrauch verhindern.
Dank dieser Partnerschaft können wir Kund*innen rechtzeitig warnen – sobald sie versuchen, sich einzuloggen oder mit geleakten Anmeldedaten auf Zalando zugreifen – damit sie diese direkt ändern können.
Was können Kund*innen selbst tun?
Oft sind es scheinbar unbedeutende Handlungen, die unsere Systeme gefährden können. Etwa ein wiederverwendetes Passwort, ein schwaches Passwort, der Klick auf einen verdächtigen Link oder das versäumte Software-Update.
Das Passwort howstrong lässt sich zum Beispiel in weniger als 2 Minuten knacken, während Angreifer*innen mehrere Tage benötigen, um das Passwort H0wStr0!g? zu knacken. Jeder sollte sich selbst fragen: Könnte mein Passwort gefährdet sein? Wer diese Frage bejaht, sollte das Passwort ändern. Um sich selbst und/oder das eigene Unternehmen zu schützen. Auf dieser Seite haben wir für unsere Kund*innen die wichtigsten Tipps zum Thema Passwort-Sicherheit zusammengetragen.