TLS-Verschlüsselung und PSD2-Vorbereitung
Einen Online-Shop aufbauen: Fünf unverzichtbare Cyber-Sicherheitsmaßnahmen
Einige Hosting-Anbieter bieten DDoS-Schutz als Teil ihrer Pakete an - Sollte das nicht der Fall sein, sollte man zu einer externen, Cloud-basierten Lösung wechseln
Von Lucy Carney, Webtexterin bei Website Builder Expert
Einen Online-Shop aufzubauen ist eine Erfahrung für sich. Aber neben dem Spaß, den die Umsetzung machen kann, gibt es eine Reihe von Anforderungen zu berücksichtigen. Eine der wichtigsten: Geschäftsprozesse und Kundendaten vor Datenschutzverletzungen zu schützen. Und damit nicht zuletzt auch den Ruf der eigenen Marke. Der Aufbau eines sicheren Online-Shops beginnt bei der Auswahl des richtigen Hosting-Anbieters und endet bei der täglichen Nutzung der Website. Im Wesentlichen sind es fünf Kernbereiche, die man beim Aufbau eines sicheren Online-Shops berücksichtigen sollte:
1. SSL und ein sicherer Hosting-Dienst
Einer der wichtigsten Aspekte beim Aufbau einer Website ist die Wahl eines guten Hosting-Anbieters. Die ist umso wichtiger beim Aufbau eines Webshops, denn über die Website laufen die Zahlungsabwicklungen der Kunden. Ein Hosting-Anbieter speichert die Dateien der Website auf seinen Servern. Er macht jedoch deutlich mehr als eine Website zu "hosten". Der Hoster sichert die Verfügbarkeit der Seite, er federt Spitzen im Datenverkehr ab, sorgt dafür, dass die Performance stimmt und so weiter. Man sollte sich allerdings nicht einfach darauf verlassen, dass ein Hosting-Anbieter automatisch für die Sicherheit eines Online-Shops sorgt. Die führenden Hoster bieten grundsätzlich SSL-Zertifikate (Secure Sockets Layer) an, andere zusätzliche Sicherheitsvorkehrungen wie
>> Firewalls
>> Automatische Backups
>> Schutz vor Hacken
>> Schutz vor DDoS (Distributed Denial of Service)
>> Malware-Erkennung und –Entfernung
SSL-Sicherheit ist allerdings ein absolutes Muss für einen Online-Shop. SSL-Zertifikate verschlüsseln alle Daten, die die Website durchlaufen, wie etwa Anmeldedaten und Zahlungsinformationen. Ohne SSL sind private Daten anfällig für Hackerangriffe und Sicherheitslecks. Man sollte grundsätzlich prüfen welche Art von SSL-Zertifikat im Hosting-Plan enthalten ist. Meistens ist nur eine Basisversion enthalten. Bei einem Online-Shop sollte man Extended Validation (EV) SSL-Zertifikate erwägen. Sie gewährleisten die höchste SSL-Sicherheitsstufe und inklusive der Überprüfung und Verifizierung des Unternehmens.
2. TLS-Verschlüsselung und PSD2-Vorbereitung zum Schutz von Finanztransaktionen
Will man Kundendaten optimal schützen kommt Transport Layer Security (TLS) ins Spiel. Sie ähnelt der SSL-Sicherheit, ist aber eine verbesserte Version. Die Begriffe werden oft beliebig ausgetauscht, da TLS die Daten sichert, die zwischen Kunden und Shop ausgetauscht werden - ähnlich wie das SSL tut.
Einfach formuliert, tut TLS drei Dinge: TLS stellt sicher, dass beide Parteien tatsächlich die sind, als die sie sich ausgeben. TLS überprüft, ob die geteilten Daten fehlerfrei sind. Und TLS verschlüsselt Daten, damit sie sicher von einer Partei an die andere weitergegeben werden können. TLS wird normalerweise zusammen mit dem SSL-Zertifikat installiert, sodass man keine zusätzlichen Arbeiten ausführen muss.
Die Vorbereitung auf die im September in Kraft getretene PSD2-Verordnung kann allerdings einiges an Aufwand mit sich bringen. Die Payment Services Directive soll Verbrauchern Vorteile bringen, Betrugsfälle senken, den Weg für neue Zahlungsmethoden öffnen und sie zugleich sicherer machen. Zahlungsbetrug hat im Laufe der Jahre zugenommen. PSD2 sollte also ein Segen für jeden Online-Shop sein. Wer nur unzureichend vorbereitet ist, für den entwickeln sich die neuen Regelungen aber leicht zum Albtraum.
Das entscheidende Argument für die PSD2 ist ein besserer Schutz von Finanztransaktionen über die sogenannte starke Kundenauthentifizierung (Strong Customer Authentication, SCA). Dabei wird 3D Secure 2.0 zur Zahlungsabwicklung verwendet und ein mehrstufiges Identifikationssystem für sämtliche Kunden eingeführt, die im Europäischen Wirtschaftsraum Zahlungen auslösen. Das erhöht die Sicherheit beim Zahlungsverkehr. Die Abwicklung übernimmt die Bank des Kunden. Als Shop-Betreiber muss man sich also keine Gedanken darüber machen, ob der Shop SCA-konform ist.
Das System muss aber für dieses neue mehrstufige Authentifizierungssystem mittels 3D Secure 2.0 vorbereitet sein. Es geht darum, den Weg für sicherere Transaktionen zu ebnen, ohne den Kunden zu viel zuzumuten. PSD2-Zertifikate tragen dazu bei.
3. Schutz vor DDoS-Angriffen
DDoS steht für Distributed Denial of Service. Hacker überfluten eine Site mit Datenverkehr, um den Server zum Absturz zu bringen. In der Folge ist die Seite für Besucher nicht erreichbar. Das schadet Marke und Ruf gleichermaßen. Ganz zu schweigen von den finanziellen Schäden als Folge von Umsatzverlusten. DDoS-Angriffe dienen häufig der Ablenkung, um andere Bereiche in dieser Zeit gezielt anzugreifen.
Einige Hosting-Anbieter bieten DDoS-Schutz als Teil ihrer Pakete an. Sollte das nicht der Fall sein, sollte man zu einer externen, Cloud-basierten Lösung wechseln. Die filtert den Datenverkehr, erkennt Bedrohungen und reagiert auf DDoS-Angriffe. Das sind zahlungspflichtige Optionen, aber die Investition lohnt sich, da DDoS-Angriffe eine reale Bedrohung für Online-Shops sind.
4. Datenschutzgrundsätze der Datenminimierung
Für Unternehmen in der Europäischen Union hat die DSGVO (Datenschutz-Grundverordnung) 2018 viel verändert. Einer der Hauptaspekte der Verordnung ist die Datenminimierung, um das Risiko von Sicherheitsverletzungen und Datenlecks zu verringern.
Datenminimierung heißt einfach, die Menge der erfassten personenbezogenen Daten zu begrenzen und diese nur so lange wie nötig zu speichern. Unabhängig davon, ob die DSGVO in der EU oder die Vorschriften der Federal Trade Commission in den USA eingehalten werden, die Datenminimierung ist ein wesentlicher Bestandteil sicherer Online-Geschäftsprozesse. Wenn Daten gehortet und länger als nötig aufbewahrt werden, steigt die Wahrscheinlichkeit, dass sie anfällig für Datenschutzverletzungen werden. Shop-Betreiber laufen zudem Gefahr, ihren Shop für fehlerhafte, nicht überprüfte Daten zu öffnen. Das kann die Qualität der Datenbanken beeinträchtigen.
Wer nur relevante, wichtige Daten erhebt, schützt Unternehmen und Kunden. Beim Umgang mit den Daten sollte man folgendes berücksichtigen:
>> Sind die Daten für einen bestimmten Zweck erforderlich? Ist es beispielsweise wirklich notwendig, das Geburtsdatum eines Besuchers zu erfassen, wenn er nur ein Produkt kaufen will?
>> Sind genügend Daten vorhanden, um die Aktion abzuschließen? Beispielsweise benötigen Sie eventuell eine Kundenadresse für Versandzwecke oder eine E-Mail-Adresse, um eine Bestätigung zu senden.
>> Werden unkritische Daten gespeichert? Überprüfen Sie die Daten in Ihrem System. Gibt es hier veraltete oder nicht mehr relevante Daten? Falls ja - löschen Sie sie!
Bewahren Sie niemals die Zahlungsdaten Ihrer Kunden auf. In der Regel bearbeitet ein externer Zahlungsdienstleister die Zahlungsdaten. Bitten Sie in diesem Fall nicht um die Zahlungsdaten. Wenn diese Angaben zum Abschließen der Transaktion erforderlich sein sollten, bewahren Sie die Daten nicht auf. Andernfalls sind die Daten einem massiven Risiko ausgesetzt.
Um die Privatsphäre der Kunden zu respektieren, sollte man Daten nur mit deren Erlaubnis erheben und nur nach den unbedingt erforderlichen Informationen fragen. Verifizieren Sie Informationen, wo immer das möglich ist, und verzichten Sie darauf Daten zu horten.
5. Interne Sicherheit
Man kann alles Mögliche tun, um einen Online-Shop zu schützen. Aber interne Fehler öffnen externen Bedrohungen Tür und Tor. Zunächst sollte man sicherstellen, dass nur starke und sichere Passwörter verwendet werden. Verwenden Sie niemals gemeinsame Passwörter. Unterschiedliche Administratoren sollten immer nur eindeutige Passwörter verwenden. Passwort-Manager helfen, die Übersicht zu behalten. Ändern Sie Passwörter regelmäßig und nutzen Sie Zwei-Faktor-Authentifizierung, wo immer das möglich ist.
Das sicherste Passwort ist allerdings nutzlos, wenn die Person, die die Sicherheitsverletzung verursacht, Eigentümer dieses Passworts ist. In Zahlen: im US-Geschäft passieren jeden Tag 2.500 interne Sicherheitsverstöße. Einige Mitarbeiter kompromittieren ihre Arbeitgeber mutwillig. Weitaus häufiger sind Datenschutzverletzungen aber das Resultat eines Versehens. Es wird auf eine Link in einer Phishing-E-Mail geklickt, Anmeldedaten werden von verschiedenen Personen verwendet oder ein Firmen-Laptop geht verloren. Der beste Weg gegen interne Bedrohungen, ist, Mitarbeiter zu schulen, regelmäßige Trainings durchzuführen und zeitnah zu reagieren, wenn eine Datenschutzverletzung vorliegt.
Fazit
Cyber-Bedrohungen werden sich weiterentwickeln, zunehmen und sich verändern. Aber es gibt Möglichkeiten, die Risiken zu minimieren. In einem Ladengeschäft setzen Sie vielleicht eine Videoüberwachung ein. Bei einem Online-Shop muss jeder sich der Risiken bewusst sein, und Maßnahmen ergreifen sie zu managen und zu begrenzen.
(GlobalSign: ra)
eingetragen: 28.10.19
Newsletterlauf: 02.12.19
GlobalSign: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.