Obwohl rund jeder zweite Onlineshop nach Meinung von Sicherheitsspezialisten Lücken aufweist, unterschätzen deren Betreiber die Bedrohung.
So übertragen beispielsweise zwar sehr viele Shopsysteme Personen-, Zahlungs- und Kreditkartendaten verschlüsselt vom Käufer zum Shopserver, die Daten gelangen dann aber in vielen Fällen unverschlüsselt vom Shopserver zum Händler. Darüber hinaus liegen diese Daten meist unverschlüsselt auf den Shopservern. Johannes W. Klinger, Vorstandsvorsitzender der Websale AG und Mitglied des Expertenrats im europäischen Berufs- und Fachverband "Webmasters Europe" sieht hier ein erhebliches Gefahren- und Betrugspotenzial. "Bisher fehlt leider seitens vieler Händler die Nachfrage nach Datensicherheit", so Klinger. Damit fehle der Druck auf Shophersteller und Serverbetreiber.
Dies aber kann gravierende Folgen haben: So muss der Schock Quelle groß gewesen sein, als Betrüger ein Sicherheitsleck im Online-Bestellsystem des Versandhauses nutzten, um auf fremde Rechnung einzukaufen. Für die Authentifizierung reichten Name, Adresse und Geburtsdatum - auf die Eingabe des Passworts verzichtete das System, wie die Wirtschaftswoche berichtete.
Im Bundesjustizministerium hat man inzwischen die Bedrohung durch Sicherheitslücken erkannt, Ministerin Brigitte Zypries fordert höhere Strafen für Computerkriminelle. So soll künftig bereits der unbefugte Zugang (nicht nur die Datenbeschaffung) zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen bestraft werden.
Dies setzt aber voraus, dass Provider, Shopbetreiber und -hersteller den vom Gesetzgeber geforderten Sicherheitsvorkehrungen nachgekommen sind.
Shopbetreibern und -händlern sowie Providern empfiehlt Experte Klinger daher:
1. Der erste Grundsatz des Datenschutzes heißt Daten vermeiden. Alles was der Shopbetreiber oder einer seiner Dienstleister nicht hat, muss nicht gespeichert und kann auch nicht missbraucht werden.
2. Die notwendigen Daten sollten auf allen Zwischenstationen ausschließlich hoch verschlüsselt abgespeichert und entsprechend zum Shopbetreiber übertragen werden.
3. Der Zugriff auf die Daten sollte nur einem möglichst kleinen Kreis von Personen möglich sein, einem "normalen" Techniker eines Providers oder im Hause des Händlers in keinem Falle.
4.Der Shop sollte vor der Manipulation durch Angriffsarten wie zum Beispiel SQL-Injection oder Parameter-Tampering geschützt sein. Security-Audit-Tools sind ein zusätzliches geeignetes Mittel, um Sicherheitslücken zu entdecken und zu schließen. Sie erschweren es Angreifern, in das System einzudringen.
5. Da der Händler im Falle des Falles Schadenersatz leisten muss und haftbar ist, sollte er im Zweifelsfall möglichst schriftlich Stellungnahmen zum Thema Datensicherheit vom Shophersteller und Serverbetreiber einholen.
6. Besondere Vorsicht ist bei nicht kommerzieller Software (Freeware, Open Source) geboten. Hier gewährleistet dem Händler gegenüber natürlich niemand die Sicherheit der Datenhaltung. Denn solche Art von Software wird grundsätzlich auf eigene Verantwortung eingesetzt und daher nimmt der Shopbetreiber hier doppeltes Risiko auf sich und die Verpflichtung, alle Datensicherheitsmaßnahmen selbst zu prüfen und einzuhalten.
Weisen Shopsystem und Provider geeignete Sicherheitsmaßnahmen auf, sollte der Händler dies seinen Kunden auch deutlich sagen. "Vertrauen ist schließlich ein wichtiger Kauffaktor", sagt Websale-Vorstand Johannes W. Klinger. Damit der Kunde nicht enttäuscht wird, sind weitere Maßnahmen nötig. Der E-Commerce-Spezialist Websale selbst lässt alle Shopserver die mit Kundendaten in Berührung kommen, mehrmals jährlich einer strengen externen Sicherheitsprüfung unterziehen. "Vertrauen in die eigenen kompetenten Techniker ist gut, zusätzliche externe Kontrolle aber besser", so Websale-Chef Klinger. (mf)