E-Commerce-Systeme - Vertrauen und Sicherheit

Aus FernFH MediaWiki
Version vom 28. September 2022, 09:26 Uhr von JUNGBAUER Christoph (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Vertrauen und Sicherheit

Online-Shops sind, aufgrund der Vielzahl an Kunden- und Zahlungsdaten, interessante Ziele für Angreifer. Die Sicherheit und Vertrauenswürdigkeit eines Online-Shops ist für Kunden aber nicht immer ganz einfach erkennbar. Sicherheitsmaßnahmen und Gütesiegel können das Vertrauen der Kunden gegenüber dem Online-Shop, sowie die grundsätzliche Sicherheit des Systems, erhöhen.

Sicherheit

Die Sicherheit eines Online-Shop Systems wird von verschiedenen Faktoren beeinflusst: Der Sicherheit der zugrunde liegenden E-Commerce Software, der Server-Infrastruktur, den Sicherheitseinstellungen, die in der E-Commerce Software konfiguriert werden können, den Eigen- und Weiterentwicklungen, sowie auch zusätzlichen Modulen (Extensions, Erweiterungen), die für zusätzliche Sicherheitsfeatures installiert werden kann. Abbildung 1.1 das Zusammenspiel dieser Faktoren.

Uberblick zur Sicherheit eines E-Commerce Systems

Allgemeine Sicherheitsmaßnahmen

Die folgenden Sicherheitsmaßnahmen definieren ein Minimum an Anforderungen bezüglich der Sicherheit des E-Commerce Systems.

Auswahl des Hosting-Providers

Der Hosting-Provider stellt die Server-Infrastruktur, auf dem die E-Commerce Software läuft, zur Verfügung. Er ist für die Sicherheit des Netzwerkes und des bzw. der Webserver verantwortlich. Eine Firewall, sowie Denial-of-Service Schutz sind Grundanforderungen für den Betrieb eines E-Commerce Systems. Eine Zertifizierung gemäß ISO 27001 (Informationssicherheit) des Hosting-Providers weißt außerdem auf eine besonders hohe Sicherheitsstandards hin.

Auswahl der Agentur

Die Auswahl der Agentur kann ebenfalls Einfluss auf die Sicherheit des Systems haben. Bei der Angebotseinholung sollte man deshalb auch hinterfragen, ob bzw. welche Erfahrung die Agentur bezüglich der Absicherung von E-Commerce Systemen hat. Außerdem ist es wichtig, dass auch die Entwickler über IT-Sicherheit informiert sind und die Eigen- bzw. Weiterentwicklungen entsprechend sicher umsetzten können. Der Agentur bzw. den Entwicklern sollen Code Reviews von externen Modulen, die zusätzliche Features im Online-Shop ermöglichen, durchführen um zu gewährleisten, dass die eingesetzten Module den Grundsätzen ordnungsgemäßer Softwareentwicklung, sowie der IT-Sicherheit entsprechen.

Einsatz von HTTPS

HTTPS ist ein Übertragungsprotokoll für verschlüsselte Verbindungen zwischen Webserver und Browser. Die Verschlüsselung ist die Grundlage für die Integrität und die Vertraulichkeit der Daten. Der Kunde kann eine gesicherte Verbindung über ein grünes Schloss neben der URL im Browser erkennen. Damit HTTPS Verbindungen im Online-Shop möglich sind, muss auf dem Server ein SSL-Zertifikat installiert werden. Eine Erweiterung stellen EV (Extended Validation) Zertifikate dar, bei denen auch der Inhaber des Zertifikates in der URL angezeigt wird. Das soll Phishing-Angriffe für den Kunden einfacher erkennbar machen. Abbildung 1.2 zeigt ein EV-Zertifikat von libro.at im Chrome-Browser.

Sichere Verbindung mit SSL Zertifikat im LIBRO Online-Shop

Der Einsatz von HTTPS sollte Standard für den gesamten Online-Shop sein. HTTPS wird außerdem seit einigen Jahren im Ranking bei der Suchmaschine Google berücksichtigt.

Das System aktuell halten

Das E-Commerce System ist nur so gut und sicher, so aktuell es auch ist. Die Hersteller von E-Commerce Software bieten regelmäßig Updates und Sicherheitspatches an. Vor allem Sicherheitspatches sollten im bestehenden Online-Shop umgehend installiert werden, damit die bestehenden Sicherheitslücken nicht von Angreifern ausgenutzt werden können. Bei SaaS-Software werden Updates meist automatisch für alle Shops eingespielt.

Eingabevalidierung

Nicht immer enthalten eingegeben Daten (Name, Adresse etc.) den Inhalt, den man erwartet: Angreifer können Formularfelder ausnutzen, um sich unberechtigt Zugriff zum System zu verschaffen oder Schadcode einzuschleusen. Ein Händler sollte darauf achten, dass die Eingabefelder auch nur jene Daten zulassen, die erwartet werden: Postleitzahl und Telefonnummer sollen auf eine sinnvolle Maximallänge begrenzt werden und nur numerische Zeichen zulassen. E-Mail Adressen können auf eine korrekte Syntax überprüft werden.

PCI-DSS

Bei der Verarbeitung von Kreditkartendaten ist die Einhaltung des Payment Card Industry Data Security Standard (PCI DSS) erforderlich. Für die Erfüllung dieses Standards ist die Einhaltung von Sicherheitsstandards betreffend der Infrastruktur und der Organisation des Händlers notwendig. PCI-DSS wurde in Abschnitt [kreditkarte] bereits näher erklärt.

Backups

Um die Daten nach einem Systemausfall oder Hacker-Angriff wiederherstellen zu können zu können, sind regelmäßige Backups erforderlich. Üblicherweise übernehmen Hosting-Provider die Erstellung regelmäßiger Backups, dennoch sollte man Häufigkeit und Umfang des Backups vor Vertragsabschluss hinterfragen.

Besondere Sicherheitsmaßnahmen für die Administrationsoberfläche

Die Administrationsoberfläche ist das ,,Steuersystem” und das Herz des Online-Shops. Hier können Produktpreise verändert werden, Zahlungsmethoden aktiviert oder deaktiviert werden sowie auch die dahinterliegenden Accounts, über welche abgerechnet wird (z.B. PayPal) verändert werden. Besonders bei Standardsoftware ist die Administrationsoberfläche des Online-Shops unter einer Standard-URL wie http://www.domain.com/admin oder http://www.domain.com/backend erreichbar, wenn diese nicht angepasst wird. Diese Login-Masken sind oft Ziel von Brute-Force-Attacken, bei denen eine Vielzahl an Benutzername-Passwort-Kombinationen automatisiert ausgeführt wird, um unberechtigt Zugriff zum System zu erlangen.

Zugriffsbeschränkung

Es ist meist nicht notwendig, die Administrationsoberfläche öffentlich, von allen IP-Adressen aus, zugänglich zu machen. Deshalb ist es empfehlenswert, den Zugriff auf bestimmte IP-Adressen oder Netze des Händlers und der Dienstleister zu beschränken.

Admin-Passwörter

Besonders die Passwörter der Administratoren sollen sicher sein (keine Standardpasswörter oder Wörter aus dem Wörterbuch, ein Mix aus Groß- und Kleinbuchstaben, Nummern und Sonderzeichen), damit sie nicht leicht erraten werden können.

Zwei-Faktor-Authentifizierung

Für alle Administratoren, die Vollzugriff auf das System haben, ist der Einsatz einer Login-Lösung mit einer Zwei-Faktor-Authentifizierung empfehlenswert. Dabei muss, zusätzlich zum Passwort, auch ein zweiter Wert - der via SMS oder App auf das Mobiltelefon zugestellt wird - eingegeben werden. Durch das Wissen (Passwort) und den Besitz (Mobiltelefon) wird es erschwert, unberechtigt Zugriff zum System zu erlangen.

Bei modernen Systemen ist eine Zwei-Faktor-Authentifzierung bereits im System integriert. Dieses Feature kann allerdings auch über zusätzliche Module/Extensions nachgerüstet werden.

Gütesiegel

Gütesiegel schaffen Vertrauen auf den ersten Blick. Laut einer Umfrage von Statista zur Thema ,,Bedeutung von E-Commerce-Gütezeichen in Österreich 2019” ist das Vorhandensein eines Gütesiegels für zwei Drittel der Österreicher*Innen wichtig.

Die wichtigsten Gütesiegel in Österreich sind das Österreichische E-Commerce Gütezeichen und Trusted Shops.

Österreichisches E-Commerce-Gütezeichen

Logo des E-Commerce-Gutezeichens

Das E-Commerce-Gütezeichen, wie in Abbildung 1.3) dargestellt, weißt Online Shops als seriöse und rechtssichere Anbieter aus. Die Unternehmen erfüllen die vom Gütezeichen geforderten Kriterien und Qualitätsmerkmale bei der Abwicklung von elektronischen Geschäften. Derzeit sind rund 300 Online-Shops in Österreich mit dem E-Commerce-Gütezeichen ausgezeichnet.

Um das Gütezeichen zu erhalten, müssen die Kriterien des 13-seitigen Kriterienkatalogs erfüllt werden. Dieser umfasst die Punkte:

  • Anbieter-Identifizierung,
  • Allgemeine Vertragsbedingungen,
  • Produktbeschreibung,
  • Preisauszeichnung,
  • Abgabe der Bestellung/Bestätigungen,
  • Zahlungsmöglichkeit,
  • Bestätigung der Bestellung,
  • Rücktrittsrecht,
  • Lieferfrist / Lieferbedingungen,
  • Verrechnung,
  • Datenschutz,
  • Reaktionszeit bei Reklamationen,
  • Sprache,
  • Streitschlichtung,
  • Gerichtsstand,
  • Kennzeichnung von Werbung und anderer kommerzieller Kommunikation,
  • Einhaltung sonstiger Gesetze,
  • Vergabe des Gütezeichens,
  • Überprüfung der Einhaltung der Kriterien,
  • Entzug des Gütezeichens,
  • Änderung der Kriterien und
  • Weitere Vereinbarungen/Dokumente.

Die Prüfgebühr für Online-Shops beträgt zwischen 500 und 1.200 EUR für kleine und mittlere Unternehmen. Es fällt außerdem eine jährliche Nutzungsgebühr - abhängig von der Mitarbeiteranzahl des Händlers - von 500 EUR bis 1.500 EUR an.

Das E-Commerce-Gütezeichen wird vom Bundesministerium für Wissenschaft, Forschung und Wirtschaft, der Wirtschaftskammer und der Arbeiterkammer unterstützt und ist Teil europäischen Gütezeichen-Netzwerks European Trustmark (Euro-Label), das auch in anderen Ländern E-Commerce Gütezeichen anbietet.

Trusted Shops

Logo von Trusted Shops

Trusted Shops, siehe Abbildung 1.4, ist ein Dienstleister, der die Zertifizierung von Online-Shops anbietet. Die Zertifizierung gewährleistet Standards bezüglich Seriosität, Datenschutz und Sicherheit. Die Kriterien umfassen Identität und Erreichbarkeit, Datenschutz und Sicherheit, Produkte und Kosten, Lieferung und Zahlung, Bestellprozess, Widerruf, Trusted Shops Käuferschutz sowie eigene Qualitätsindikatoren.

Die Qualitätskriterien hinsichtlich Sicherheit sind :

2. Datenschutz und Sicherheit

Im Online-Shop werden persönliche Daten nur erhoben, verarbeitet, genutzt und an Dritte weitergegeben, soweit dies gesetzlich erlaubt ist oder der Kunde seine ausdrückliche Einwilligung hierfür erteilt hat.

Über die Verwendung persönlicher Daten wird verständlich informiert.

Versendet der Online-Shop Werbung per E-Mail, wird dem Empfänger eine Möglichkeit zur Verfügung gestellt, sich vom weiteren Erhalt der Werbung per E-Mail abzumelden.

Der Online-Shop schützt die persönlichen Daten der Kunden angemessen gegen Missbrauch. Insbesondere erfolgt die Übermittlung sensibler Zahlungsinformationen (Kontoverbindungen, Kreditkartendaten) ausschließlich verschlüsselt.

Trusted Shops bietet auch einen Käuferschutz für die Endkunden an. Mit dem Trusted Shops Käuferschutz können Kunden ihre Bestellungen gegen Nicht-Lieferung, Nicht-Leistung bzw. auch gegen Nicht-Erstattung, beispielsweise nach einem Widerruf, einer Rücksendung oder einem Transportverlust, absichern.

Die Mitgliedschaft bei Trusted Shops kostet 79 EUR bis 249 EUR monatlich, sowie einer einmaligen Einrichtungspauschale von 99,‑ EUR.

Leitfragen zur Sicherheit des E-Commerce Systems

Bei diesen Fragen handelt es sich nicht um Lern-Kontrollfragen, sondern um Leitfragen, die bei der Planung eines E-Commerce Systems behilflich sein können.

  • Wie oft gibt es Sicherheitsupdates für das E-Commerce System?
  • Wie lange dauert es, die Sicherheitsupdates zu installieren?
  • Welche zusätzlichen Sicherheitsmaßnahmen bietet das System standardmäßig?
  • Welche Sicherheitsmaßnahmen bietet der Hosting-Provider?
  • Ist eine Firewall, sowie Denial-of-Service Schutz vorhanden? Gibt es noch weitere Sicherheitsmaßnahmen?
  • Wie oft werden Backups erstellt? Welche Daten werden wie gesichert?
  • Welche Maßnahmen übernimmt die Agentur zur Absicherung des E-Commerce Systems?
  • Führt die Agentur Code-Reviews vor dem Einsatz von 3rd Party Software durch?
  • Soll eine Zertifizierung für ein Gütesiegel durchgeführt werden?
Abgerufen von „https://mediawiki.fernfh.ac.at/mediawiki/index.php?title=E-Commerce-Systeme_-_Vertrauen_und_Sicherheit&oldid=3810