Rund 197.000 Kundendaten wurden durch eine Sicherheitslücke bei einem externen Dienstleister kompromittiert.
Betroffen sind vor allem E-Mail-Adressen, Kaufhistorien und Details zu Support-Anfragen. Die Hackergruppe ShinyHunters soll hinter dem Angriff stecken. Sie nutzte gestohlene Authentifizierungstoken von Analyseplattformen, um sich Zugang zu den Daten zu verschaffen. Der Vorfall zeigt einmal mehr: Selbst wenn die Kernsysteme eines Händlers sicher sind – die vernetzte Welt des E-Commerce bietet Angreifern zahlreiche Einfallstore.
Der Vorfall bei Zara verdeutlicht, dass herkömmliche Passwörter oft das schwächste Glied in der Sicherheitskette darstellen und leicht kompromittiert werden können. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Amazon, Microsoft und Co. effektiv vor Hackern schützen. Passkeys einrichten und Passwort-Stress vermeiden
Die neue Bedrohung: Künstliche Intelligenz als Einbrecher
Der Angriff auf Zara ist kein Einzelfall. Er ist Teil einer besorgniserregenden Entwicklung: Autonome KI-Systeme übernehmen zunehmend die Arbeit von Cyberkriminellen. Diese „agentischen KI“-Systeme navigieren durch Login-Prozesse und umgehen traditionelle Sicherheitshürden mit menschenähnlicher Präzision.
Laut dem aktuellen Agentic AI Security Report von Arkose Labs rechnen 97 Prozent der Unternehmensführer innerhalb der nächsten zwölf Monate mit einem schwerwiegenden Sicherheitsvorfall, der durch KI-Agenten ausgelöst wird.
Die Angreifer setzen nicht auf rohe Gewalt. Sie nutzen gestohlene Zugangsdaten aus früheren Datenlecks und verhalten sich wie legitime Nutzer. Fast 90 Prozent der Unternehmen haben in den letzten zwei Jahren eine Zunahme automatisierter KI-Angriffe beobachtet. Besonders alarmierend: Weniger als ein Prozent dieser hochentwickelten KI-Bots werden von Standard-Sicherheitsabfragen erkannt.
Milliardenschaden durch Identitätsbetrug
Die finanziellen Folgen sind immens. Die Identity Fraud Study 2026 von Javelin Strategy & Research beziffert die Verluste der Verbraucher durch klassischen Identitätsbetrug im Jahr 2025 auf 27,3 Milliarden Euro. Das folgte auf einen Anstieg von fast 20 Prozent im Jahr 2024.
Für Händler kommt erschwerend hinzu: Ein erfolgreicher Account-Übernahme-Angriff kostet nicht nur den unmittelbaren Transaktionsbetrug. Rund ein Drittel der Kunden wendet sich nach einem solchen Vorfall komplett von einem Anbieter ab.
Während KI-gesteuerte Angriffe zunehmen, müssen Unternehmen auch die rechtlichen Leitplanken im Blick behalten, um Compliance-Verstöße zu vermeiden. Dieser kostenlose Umsetzungsleitfaden zur EU-KI-Verordnung bietet Ihnen einen kompakten Überblick über alle neuen Anforderungen, Pflichten und Fristen für Unternehmen. Kostenloses E-Book zum EU AI Act sichern
Das „Snowflake-Phänomen“: Alte Daten, neue Gefahr
Der Zara-Vorfall reiht sich ein in eine Serie von Sicherheitslücken, die über Drittanbieter entstehen. Kriminelle Netzwerke kombinieren systematisch Daten aus älteren Leaks – etwa von Telekommunikations- und Gesundheitsdienstleistern aus den Jahren 2024 und 2025 – zu umfassenden Identitätsprofilen.
Das Identity Theft Resource Center meldete für 2025 einen Rekordwert von 3.322 Datenkompromittierungen allein in den USA. Ein Großteil betraf Cloud- und Analyseplattformen von Drittanbietern. Die ShinyHunters-Gruppe erbeutete kürzlich ein Terabyte an Daten, darunter zehn Millionen Kundendatensätze aus verschiedenen Branchen.
Händler sind besonders verwundbar, weil sie oft Dutzende externe Dienste für Marketing, Logistik und Kundenanalyse integrieren. Jede Schnittstelle birgt ein Risiko. Die Bedrohung hat sich verschoben: Statt Passwörter zu stehlen, kapern Angreifer heute Session-Token oder nutzen die sogenannte „MFA-Ermüdung“ aus – sie bombardieren Nutzer so lange mit Authentifizierungsanfragen, bis eine versehentlich bestätigt wird.
Die neue Verteidigungsstrategie
Sicherheitsexperten zeichnen ein klares Bild, wie sich Online-Händler 2026 schützen müssen. Der Fokus liegt auf einem mehrschichtigen, identitätszentrierten Ansatz:
Phishing-resistente Authentifizierung: SMS-basierte Zwei-Faktor-Verfahren gelten als unsicher. Das FBI bezifferte die Verluste durch SIM-Swap-Betrug auf zig Millionen Euro. Händler setzen zunehmend auf Passkeys und den WebAuthn-Standard, die das Passwort als Angriffsziel eliminieren.
Verhaltensbiometrie: Neue Systeme analysieren nicht nur, was ein Nutzer weiß (Passwort) oder was er besitzt (Gerät), sondern wie er interagiert. Tippgeschwindigkeit, Mausbewegungen und Navigationsmuster verraten, ob ein Mensch oder ein KI-Bot am Werk ist.
API-Sicherheit: Akamai-Berichte zeigen, dass API-bezogene Bedrohungen für 68 Prozent der Sicherheitsexperten im Einzelhandel höchste Priorität haben. APIs sind das unsichtbare Tor für mobile Apps und Partner-Integrationen – und damit ein Hauptziel für Angreifer.
Risikobasierte adaptive MFA: Statt jeden Login mit einer Abfrage zu belasten, schalten Systeme nur bei verdächtigen Signalen eine zusätzliche Verifikation frei – etwa bei einem ungewöhnlichen Standort oder einem verdächtigen Geräte-Fingerabdruck.
Wirtschaftliche Dimension: Milliardenmarkt für Betrüger
Account-Übernahme ist längst kein reines Verlustthema mehr. Der globale E-Commerce-Betrug wird bis Ende des Jahrzehnts voraussichtlich um jährlich 19 Prozent wachsen. Die prognostizierten Verluste könnten bis 2029 die 100-Milliarden-Euro-Marke überschreiten.
Die tatsächlichen Kosten für ein Unternehmen sind oft deutlich höher als der Wert der gestohlenen Waren. Inklusive Ermittlungskosten, Streitmanagement, Kundenservice und Neukundengewinnung kann ein ATO-Vorfall fast zehn Prozent des jährlichen Online-Umsatzes verschlingen. Besonders im Fokus der Kriminellen: Treuepunkte und Geschenkgutscheine, die oft schwächer geschützt sind als Zahlungsmittel, aber auf dem Schwarzmarkt wie Bargeld gehandelt werden.
Ausblick: Druck von allen Seiten
Die kommenden Monate dürften für den Einzelhandel nicht leichter werden. Während hochentwickelte kriminelle Syndikate ihre KI-Angriffe verfeinern, senken automatisierte Tools aus dem Darknet die Einstiegshürde für Gelegenheitstäter.
Auch der regulatorische Druck wächst. Die EU und US-Behörden fokussieren sich zunehmend auf Identitätssicherheit und das Risikomanagement von Drittanbietern. Strengere Meldepflichten für Account-Übernahmen könnten bald Realität werden.
Der langfristige Ausweg scheint die passwortlose Zukunft zu sein. Bis dahin entscheidet die Fähigkeit der Händler, in Echtzeit Verhalten zu analysieren und die Kontrolle über ihr Partnernetzwerk zu behalten. Sicherheitsexperten sind sich einig: Die Login-Seite ist heute ein wertvolleres Ziel für Kriminelle als der Bezahlvorgang. Die Verteidigungsstrategie muss sich daran messen lassen.
