Basisschutz für sichere Kundendaten: Firewall, Verschlüsselung und sicheres Passwort

Kleidung, Bücher, Möbel oder Eintrittskarten: Die Deutschen kaufen gern und oft online: Nach Informationen des statistischen Bundesamtes haben 2013 rund 45 Millionen Menschen hierzulande über das Internet eingekauft. Dabei haben sie nach Angaben des Gutscheinportals Deal.com im Schnitt 18 Mal pro Jahr online bestellt und gekauft, wobei pro Bestellung ein Warenkorb im Wert von durchschnittlich 62 Euro zusammenkam.

»Angesichts solcher Zahlen wird schnell klar, dass dabei riesige Mengen an sensiblen Kundendaten durch das Internet transportiert werden. Und Online-Händler stehen dabei in der alleinigen Verantwortung, diese Daten vor Bedrohungen wie Hackerattacken und Schadsoftware zu schützen. Um einen angemessenen Basisschutz, mindestens bestehend aus Firewall, Verschlüsselung und Passwortvergabe, kommen Online-Händler deshalb nicht herum«, mahnt Christian Heutger, Geschäftsführer des Internetproviders PSW GROUP.

Firewall: Schutz vor unberechtigten Zugriffen von innen und außen

Firewalls sind unabdingbar, um vor Manipulationen, Zugriffen und Spionage zu schützen. Aufgrund der Möglichkeit, Zugriffsrechte zu verteilen, schützen Firewalls vor unberechtigten Zugriffen sowohl von innen als auch von außen. Unerwünschter Datenverkehr wird blockiert, sodass die Firewall EDV-Systeme auch vor Malware schützt. »Idealerweise kontrolliert eine Firewall Zugriffe auf Internet und Netzwerk, sichert den Datenverkehr für ein- und ausgehende Verbindungen ab, kontrolliert proaktiv Anwendungen, schützt die Privatsphäre und alarmiert bei Aktivitäten, die von der Routine abweichen und damit verdächtig sind«, fasst Heutger zusammen.

Allein mit der Aktivierung einer Firewall ist es jedoch nicht getan, denn Anwendungen, Nutzer und neue Geräte können hinzukommen, Zugriffsberechtigungen ändern sich mit der Aufgaben- und Rollenverteilung in Unternehmen, Clouds und mobile Endgeräte finden Einzug. »Firewalls sind nicht nur zum Schutz der stationären IT sinnvoll. Es gilt auch, Anwendungen in Netzwerken, in Clouds oder auf mobilen Endgeräten zu überwachen. Neben Änderungen der bestehenden IT-Landschaft machen auch Änderungen in der Bedrohungswelt regelmäßige Prüfungen sowie Anpassungen erforderlich. Findet dies nicht statt, können einmal gesetzte Regeln vom tatsächlichen Schutzbedarf enorm abweichen und Angreifern Tür und Tor öffnen, um vertrauliche Daten auszuspähen. Wie oft Prüfungen vonnöten sind, hängt dabei maßgeblich von der Risikolage sowie von Änderungen der bestehenden IT ab«, so der IT-Sicherheitsexperte.

grafik psw-group firewall

Brute-Force-Attacken: Mit einem Trick zum sicheren Passwort

Die Passwortvergabe in einem Online-Shop ist notwendig, um sogenannte Brute-Force-Angriffe zu vermeiden und Kundendaten effizient zu schützen. Bei Brute-Force-Attacken werden Accounts geknackt, indem sich Hacker einer Software bedienen, die in Sekundenschnelle etliche Zeichenkombinationen ausprobiert bis eine passt. »Noch einmal: Händler können auch hier in die Haftung genommen werden, wenn Kundenkonten kompromittiert werden. Das kann nicht nur teuer werden, sondern auch kräftig am Image kratzen«, mahnt Heutger nachdrücklich.

Passwörter werden häufig stiefmütterlich behandelt – leider von Dienst- und Serviceanbietern im Internet genauso wie von Verbrauchern und Anwendern selbst. Warum viele Nutzer die Wichtigkeit eines sicheren Passworts ignorieren, liegt auf der Hand: Es ist eben schwieriger, sich eine geschickte Kombination aus 12 oder mehr Zeichen, Zahlen und Buchstaben zu merken. Stattdessen verwenden Nutzer ein Passwort, das sie sich merken können, und verwenden es für etliche Services im Web. Hacker freuen sich: Es wird ihnen wirklich leicht gemacht, in die Accounts Dritter einzudringen.

Dabei gibt es einen einfachen Trick, zu einem sicheren Passwort zu kommen: Aus einem Satz, bestehend aus mindestens 12 Wörtern, lässt sich ein Passwort ableiten. Das kann etwa so aussehen: »Jeden Morgen stehe ich um sechs Uhr auf und wecke die Kinder um sieben Uhr.« Aus den Anfangsbuchstaben lässt sich daraus generieren: »JMsiusUauwdKusU«. Damit auch Zahlen vorkommen, einfach noch die Buchstaben in Zahlen umwandeln:»JMsiu6UauwdKu7U«. Ein Satzzeichen macht daraus erst ein richtig sicheres Passwort: »JMsiu6UauwdKu7U!«

Diese Regeln sollten Händler ihren Kunden für die Erstellung eines sicheren Passworts geben:

  • Passwort-Länge: mindestens 12 Zeichen
  • Komplexität: keine Namen, weder Vornamen noch Ortsnamen oder Begriffe, die in einem Wörterbuch stehen, verwenden
  • Buchstaben, Ziffern & Zeichen: Ideal ist eine Kombination aus Groß- und Kleinbuchstaben, Zeichen und Ziffern.
  • Verzicht auf Umlaute: Hier steht die Praktikabilität im Vordergrund. Damit Nutzer sich auch mit ausländischen Tastaturen einloggen können, sollte auf Umlaute verzichtet werden.
  • Passwörter nicht notieren.
  • Jeweils nur ein Passwort pro Service! Es ist für Hacker ein Leichtes, das verwendete Shop-Passwort auf andere Internetdienste zu übertragen und die Accounts zu kompromittieren.
  • Anmeldedaten niemals automatisch im Browser speichern, denn Cyberkriminelle können Schadsoftware installieren, die Passwörter ausliest.

Verschlüsselte Kundenkommunikation

Shop-Betreiber kommunizieren auf verschiedene Art und Weise mit ihren Kunden: Sie schicken E-Mails zur Kaufbestätigung, Newsletter An-oder Abmeldungen, zum Beantworten von Fragen oder zu sonstigen Anlässen. Zudem kommunizieren sie über ihre Website: Kunden bestellen Waren, hinterlegen persönliche Daten inklusive etwaigen Zahlungsdaten und kommentieren und/oder bewerten, wenn entsprechende Möglichkeiten vorhanden sind. All diese Daten sind für Cyberkriminelle bares Geld wert »Der Schutz all dieser Kommunikationen obliegt per Gesetz dem Shop-Inhaber. Es liegt in dessen Verantwortung, sowohl die persönlichen Daten seiner Kunden als auch die Kommunikation mit ihnen vor Manipulationen und Diebstahl zu schützen. Das Hilfsmittel hierfür heißt Verschlüsselung«, so Christian Heutger.

Um eine abgesicherte Verbindung aufzubauen, ist ein SSL/TLS-Zertifikat unabdingbar. In dem Zertifikat sind der Zertifikatsaussteller (CA), der Zertifikatsinhaber sowie dessen öffentlicher Schlüssel gespeichert. Das Zertifikat wird auf dem Server, über den später die Verbindung aufgebaut werden soll, installiert. Um die Integrität des Zertifikats sicherzustellen, wird es von der CA signiert. Die Verschlüsselung wird mit einem Schloss-Symbol in der unteren Browserleiste angezeigt. Die Internetadresse einer verschlüsselten Webseite beginnt dann mit »https« statt dem gewöhnlichen »http«. »Ein SSL-Zertifikat verfolgt die drei Hauptziele Vertraulichkeit, Datenintegrität und Authentizität. Idealerweise erhöhen Händler diese Kernziele mit einem EV-Zertifikat, das ein Plus an Vertrauen spendiert, indem es die Adressleiste des Browsers grün färbt«, ergänzt Heutger. Denn fehlt es Käufern an Vertrauen in einen Online-Shop, werden sie ihre Produkte schlicht woanders bestellen.

Weitere Informationen unter: https://www.psw-group.de/blog/category/shopsysteme