Interview • 01.03.2013
Onlineshops: Sicheres Einkaufen überzeugt Kunden
Interview mit Sebastian Spooren, Projektleiter von it-sicherheit.de
Ob Lebensmittel, Bücher oder Elektrogeräte – Onlineshops bieten eine sehr breite Sortimentauswahl. 25 Prozent aller Einkäufe erledigen Internetnutzer in Deutschland mittlerweile online. Jedoch ist ein Einkauf im Web auch immer sicher? Onlineshop-Betreiber und -Nutzer sollten einige Regeln in puncto Sicherheit beachten.
Sebastian Spooren, Projektleiter von it-sicherheit.de, verrät auf iXtenso wertvolle Tipps zur Datensicherung und Vermittlung der Vertrauenswürdigkeit von Onlineshops.
Herr Spooren, um einen Schutz der Kunden- und Firmendaten zu gewährleisten, müssen Onlineshop-Betreiber einige Sicherheitsregeln beachten. Welche sind die wichtigsten?
Wichtig ist in diesem Zusammenhang, dass sensible Kundendaten wie Zugangsdaten oder Kontoinformationen, sicher gespeichert und vor den Zugriffen Dritter ausreichend geschützt sind. Um hier vorzubeugen, muss der Onlineshop regelmäßig von unabhängigen IT-Sicherheitsexperten im Rahmen von Sicherheits-Audits überprüft werden. Dabei finden sogenannte Web-Penetration- und Intrusion-Tests statt, welche die Webanwendung auf Schwachstellen und Engpässe überprüfen. Hierbei können unter Umständen viele Schwachstellen ans Tageslicht kommen. Angefangen bei SQL-Injections bis hin zu kritischen Schwachstellen in den bereitgestellten Diensten der Webanwendung, aufgrund veralteter Versionsstände. Immer wieder gelangen durch unzureichende Sicherheitsmaßnahmen ungewollt Kunden- beziehungsweise Benutzerdaten an die Öffentlichkeit. Um das Schadenspotential bei den Betroffenen zu begrenzen, sollten Onlineshop-Betreiber die Passwörter der Benutzer niemals im Klartext speichern, sondern sogenannte Hashfunktionen im Zusammenhang mit einem geheimen Schlüssel (salted passwords) verwenden.
Des Weiteren muss sichergestellt sein, dass sensible Daten wie Bestelldetails und Zahlungsinformationen sicher und damit verschlüsselt zwischen Kunde und Shop-Betreiber ausgetauscht werden. Andernfalls könnten Dritte sensible Daten mitlesen. Nutzer von Onlineshops sollten deshalb stets darauf achten, dass sensible Daten via SSL ausgetauscht werden. Das erkennt der Benutzer von Onlineshops am „https“ statt „http“ in der Adresszeile des Browsers. Die meisten Onlineshop-Betreiber verwenden heutzutage „https“ für die sichere Kommunikation. Doch leider wird bei vielen Betreibern die Verschlüsselung zu spät eingeschaltet. Bereits bei der Eingabe von sensiblen Daten, wie zum Beispiel dem Login- oder Registrierungsformular, muss „https“ in der Adresszeile des Browsers stehen.
Welche Kriterien können Kunden von der Kaufsicherheit überzeugen?
Ob ein Onlineshop ausreichende Sicherheitsvorkehrungen getroffen hat, ist für den Kunden nicht zu erkennen. Der Laie kann dabei lediglich auf ein paar Sicherheitsmerkmale achten. Nach außen erkennbare Merkmale, wie der Austausch von sensiblen Daten via „https“, können einfach erkannt werden und sollten auf jeden Fall erfüllt sein. Für den versierten Anwender bieten sich weitere Möglichkeiten an, die Sicherheit bei einem Onlineshop zu beleuchten, indem zum Beispiel der Versionsstand von verwendeten Webdiensten, sofern möglich, abgerufen wird. Ob der Betreiber hingegen intern ausreichend Vorkehrungen getroffen hat, um zum Beispiel die Kontoinformationen vor dem Zugriff Dritter sicher zu bewahren, ist für den Anwender nicht transparent. Viele Onlineshop Betreiber verwenden hier Prüfsiegel, um dem Anwender ausreichend Sicherheit zu suggerieren. Der Anwender kann die Echtheit und Qualität solcher Siegel in der Regel nicht einschätzen. Um sich ein besseres Bild vom Onlineshop zu verschaffen, sollte auf Erfahrungen und Bewertungen anderer Nutzer zurückgegriffen werden.
Welche Rolle spielen dabei Zertifizierungen von Prüfstellen wie Trusted Shops oder TÜV?
Zertifizierungen wie Trusted Shops oder TÜV-Siegel sind der richtige Weg, um eine standardisierte und angemessene Sicherheit bei Onlineshops zu erreichen. Eine hundertprozentige Sicherheit gibt es nicht und kann von den Ausstellern solcher Siegel auch nicht attestiert werden. Nicht selten finden vor der Vergabe solcher Gütesiegel nur Stichproben statt. Eine angemessene Sicherheit ist dann nicht immer gewährleistet. Zudem ist zu beachten, dass die Zertifizierungsstellen den Shop zum Zeitpunkt der Untersuchung für sicher empfunden haben. Doch Shop-Betreiber arbeiten in der Regel kontinuierlich an Verbesserungen, spielen Updates ein und verschlechtern so unter Umständen auch unbewusst das Sicherheitsniveau des Shops, wie das Beispiel des Online-Buchhändlers von Libri.de zeigt. Hierbei waren nach einem späteren Software-Update trotz TÜV-Siegel rund 500.000 Online-Rechnungen von Kunden einsehbar.
Onlineshops sind oft von Hackerangriffen von außen gefährdet. Wie können sie sich davor schützen?
Wichtig ist neben regelmäßigen Penetration-Tests, bei denen die Sicherheit von neutralen IT-Sicherheitsexperten bewertet wird, das regelmäßige Einspielen von Sicherheitsupdates. Das Institut für Internet-Sicherheit hat dazu die kostenfreie App „securityNews“ entwickelt, die automatisch auf neue Sicherheitsupdates hinweist. Darüber hinaus sollte sowohl das Entwicklerteam als auch das Service-Personal des Onlineshops regelmäßig für das Thema IT-Sicherheit sensibilisiert werden. Das kann in Form von Vorträgen, Broschüren oder auch anschaulichen Live-Hackings umgesetzt werden. Dabei wird den Mitarbeitern eines Unternehmens demonstriert, wie Angreifer vorgehen und wie man sich davor schützen kann. Weitere Informationen zum Thema Live-Hacking finden Sie unter: www.internet-sicherheit.de.
Das Interview führte Michalina Chrzanowska; iXtenso.com
Erstveröffentlichung auf EuroCIS.com
Themenkanäle: Online-Handel, Sicherheit, Sicherheitsleitsysteme
