- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Anforderungen an Datenschutz


Weihnachten im Online-Shop: Neben Performance kommt es auch auf die Datensicherheit an
Kundenvertrauen, rechtssicheres Agieren und effizientes Webmarketing: Mit SSL/TLS-Verschlüsselung schlagen Online-Händler drei Fliegen mit einer Klappe

- Anzeigen -





Online-Shops haben längst in den Weihnachtsmodus umgeschaltet: Ideen für SEO, Content-Marketing und Co. wurden umgesetzt, ein eigenes Thema für die Weihnachtszeit gewählt, die Produkte für Weihnachtsaktionen ausgewählt, eventuell sogar Adventskalender mit täglich wechselnden Gewinnen integriert, und auch die technische Infrastruktur ist festtagssicher aufgesetzt und gewappnet für den zu erwartenden Besucheransturm.

Online-Händler müssen sich jedoch bewusst machen, dass ihr Shop für Verbraucher, insbesondere für Neukunden, erst einmal ein anonymer Dienst ist. Niemand kauft in einem Online-Shop, bei dem er nicht weiß, wo seine Daten landen und was mit ihnen passiert. "Vertrauen in die Sicherheit beim Datentransfer hat neben guter Performance höchsten Stellenwert für Verbraucher. Insbesondere in einer Welt, in der die Konkurrenz nur einen Klick entfernt ist und die gesetzlichen Anforderungen an Datenschutz steigen, kommen Online-Händler deshalb nicht um SSL-Verschlüsselung ihres Shops herum", sagt Christian Heutger, Geschäftsführer der PSW Group und ergänzt: "Spätestens, wenn Besucher persönliche Daten wie E-Mail-Adresse, Name, Kreditkarten- oder andere Zahlungsinformationen eingeben, sollten deshalb SSL/TLS-Zertifikate Pflicht sein. Denn ab diesem Moment tragen Online-Händler für die Sicherheit der Kundendaten Sorge."

Das Protokoll SSL bzw. TLS verschlüsselt die Netzverbindung zwischen Server und Client (Browser). Neben der vertraulichen Datenübertragung wird außerdem auch die Identität des Servers geprüft. Mit der Feststellung der Authentizität des Servers sichert Verschlüsselung somit die Identität einer Website. Der Einsatz von Verschlüsselung stellt darüber hinaus sicher, dass Daten durch unbefugte Dritte weder verändert noch gelesen oder gar manipuliert werden können. Ob eine Website verschlüsselt ist, erkennen Online-Shop Kunden ganz leicht am "https" in der Adresszeile. Das "s" hinter "http" steht dabei für "secure" - eine sichere Verbindung.

Ein TLS-/SSL-Zertifikat bestätigt aber nicht nur die Identität des Online-Händlers. Auch der Gesetzgeber macht es immer schwieriger, ohne SSL/TLS-Verschlüsselung rechtssicher zu agieren. Behörden wie das Bayerische Landesamt für Datenschutzaufsicht prüfen das ausgiebig! "Obendrein ist Verschlüsselung ein wichtiger Rankingfaktor bei Google. Und auch wenn es andere Suchmaschinen gibt, so kommt für ein effizientes Webmarketing keiner an dem Internetriesen vorbei. Die Ranking-Faktoren der weltweit erfolgreichsten Suchmaschine geben nun einmal den Ton an bei der Suchmaschinenoptimierung", so der IT-Sicherheitsexperte.

Nun ist der Markt groß und unübersichtlich: Es gibt sowohl kostenlose als ach teure SSL/TLS-Zertifikate, welche, die eine grün gefärbte Adressleiste generieren, welche von namhaften Anbietern und jene von unbekannten Anbietern. Diese Unterschiede erklären sich unter anderem mit der Validierung, also wie umfassend der Besteller eines TLS-Zertifikats von der Zertifizierungsstelle geprüft wird.

Auch die Kosten hängen stark vom gewählten SSL/TLS-Zertifikat ab. Bei der Wahl des geeigneten Zertifikats kommt es wiederum auf den Einsatzzweck an: Während für ein privates Blog ein Domain-validiertes Zertifikat (DV) ausreichend sein kann, ist für gewerbliche Websites mindestens ein organisationsvalidiertes (OV), idealerweise jedoch ein Extended Validation-Zertifikat, die bessere Wahl. "Sehr reizvoll ist in diesem Zusammenhang die grüne Adressleiste, die dem Websitebesucher schon auf den ersten Blick vermittelt, dass der Seitenbetreiber den Datenschutz ernst nimmt. Allerdings schaffen ausschließlich Extended Validation (EV)-Zertifikate diese grüne Adressleiste. Und um ein EV-Zertifikat zu erhalten, muss das Unternehmen im Handelsregister und auf upik.de eingetragen sein", weist Christian Heutger hin. (PSW Group: ra)

eingetragen: 20.12.16
Home & Newsletterlauf: 13.01.17


PSW Group: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • DSGVO-konforme Datenarchivierung

    Immer mehr Daten und immer schärfere Bestimmungen. Die DSGVO hat den Umgang mit Informationen und Daten nicht einfacher gemacht. Das merken Unternehmen im Alltag bei der technischen Umsetzung immer wieder. "Noch immer liegen viele Daten in Unternehmen unstrukturiert vor, was nicht nur die Verwaltung und Wiederauffindbarkeit erschwert, sondern eine enorme Sicherheitslücke darstellt", weiß Torben Belz, Geschäftsführer der Plutex GmbH aus Bremen. Wo die Gefahren liegen und wie ein DSGVO-konformes Datenmanagement erfolgen kann, erklärt der Profi.

  • Der Kampf gegen Efail geht weiter

    Die Entdeckung der Sicherheitslücke Efail kam einem SuperGAU gleich: 2018 entdeckte ein deutsch-belgisches Forscherteam Schwachstellen, die es Angreifern erlauben, mit OpenPGP oder S/MIME verschlüsselte Nachrichten abzufangen und so zu manipulieren, dass der E-Mail-Klartext nach der Entschlüsselung zu einer vom Angreifer kontrollierten Adresse versandt wird. "Seitdem wird natürlich gegen Efail vorgegangen. Allerdings können die Risiken für eine sichere E-Mail-Kommunikation nur in kleinen Schritten minimiert werden", fasst IT-Sicherheitsexperte Christian Heutger zusammen.

  • DevOps als Selbstzweck

    Bereits seit einiger Zeit gehört DevOps zu den wichtigsten Trends. Damit können Unternehmen neue Kundenanforderungen schneller umsetzen, indem Teams besser zusammenarbeiten und Innovationen vorantreiben. Laut Deloitte verringert sich die Markteinführungszeit bei Organisationen, die DevOps anwenden, um 18 bis 21 Prozent - und sie profitieren durch ein Umsatzplus von 20 Prozent. Doch DevOps erfordert nicht nur die Implementierung neuer Tools. Es müssen auch tief verwurzelte kulturelle Gewohnheiten und traditionelle Prozesse verändert werden. Zudem stellt DevOps keinen Selbstzweck dar, sondern die Möglichkeit zur Erreichung bestimmter Ziele.

  • Sicherheitsfalle: Schadcode via Formular

    Es ist eine Lebensweisheit, die man auch der IT-Sicherheit zugestehen darf: man muss sich kümmern, sonst läuft es aus dem Ruder. Eine kürzlich veröffentlichte Analyse zum Einsatz von 4G-Hotspots zeigt deutliche Sicherheitslücken bei der Nutzung dieser Geräte. Wer sie verwendet, sollte sich ein paar Minuten Zeit nehmen, um Einstellungen und Verhalten einem Sicherheits-Check-up zu unterziehen. Einfach gesagt ist ein 4G-Hotspot eine Miniaturform des hauseigenen Routers, der batteriebetrieben und mit einer SIM-Karte ausgestattet ist. Ein klassischer Router verbindet sich typischerweise mit dem Telekommunikationsanbieter für die Internetverbindung und bietet Wi-Fi oder ein verkabeltes Netzwerk für Laptops, Desktop-Computer und sämtliche smarte Geräte. Im Gegensatz dazu sind 4G-Hotspots meist Geräte im Taschenformat, die nirgendwo andocken, außer um die internen Batterien aufzuladen.

  • Anbieter regelmäßig zur Datennutzung befragen

    ExtraHop warnt in einer Sicherheitsempfehlung vor Anbietern, die bei "Call Home"-Aktivitäten vertrauliche Daten ihrer Kunden ohne deren Wissen oder Zustimmung exfiltrieren. Mit dieser Sicherheitsempfehlung will ExtraHop Unternehmen dazu anregen, ihre Anbieter bei der Nutzung von Kundendaten strenger zu kontrollieren und sie bei Fehlverhalten zur Verantwortung zu ziehen. In dieser neuen Empfehlung wird "Call Home" als Aktivität beschrieben, bei der Daten von einem Host aus über eine speziell dafür etablierte Verbindung an einen Server weitergeleitet werden. Dies gilt als die "White Hat"-Version der Datenausschleusung. Dem Bericht zufolge ist "Call Home" eine gängige Praxis, die völlig legitim und sehr nützlich sein kann - wenn die Kunden ihr Einverständnis erteilt haben. Wenn nicht, werden ohne das Wissen des Kunden personenbezogene oder andere vertrauliche Daten außerhalb des Unternehmens übertragen, gespeichert und dabei möglicherweise großen Gefahren ausgesetzt. Damit verstoßen die Anbieter wahrscheinlich auch gegen die immer strenger werdenden Datenschutzbestimmungen.