Chatbots als Shopersatz? Make, buy or Integrate?
Wie die Zukunft der Online-Kommunikation zwischen Kunden und Unternehmen aussieht.
Whitepaper abrufen
In der virtuellen Konferenz 'Shopmarketing 2017' erfahren Sie von erfahrenen Praktikern Tipps, Tricks und strategische Hintergründe für erfolgreiches Marketing im E-Commerce.
Programm ansehen

Sieben Tipps für Onlinehändler gegen Datenpiraten

02.12.16 Sicherheit im Netz wird auch für Onlinehändler ein immer wichtigeres Thema. Denn gerade sie besitzen mit Kunden- und Bezahldaten viele interessante Informationen für Cyberkriminelle. Jens Hadlich Jens Hadlich in Expertenprofilen nachschlagen , Chief Architect & Deputy CTO beim Mass-Customization-Händler und -Marktplatz Spreadshirt zur Homepage dieses Unternehmes Relation Browser hat sieben Tipps formuliert, mit denen Shopbesitzer Datenpiraten den Kampf ansagen.

 (Bild: dimitrisvetsikas1969)
Bild: dimitrisvetsikas1969

1) Sicherheit ist keine einmalige Angelegenheit, sie erfordert ständige Aufmerksamkeit.

Etablieren Sie Prozesse, die es ermöglichen, sichere Systeme und sichere Software zu bauen. Sicherheit ist kein Feature, das man leicht im Nachhinein einbauen kann. Machen Sie kontinuierlich Realitätschecks. Rechnen Sie damit, dass heutige Sicherheitsstandards in ein paar Jahren oder gar Tagen obsolet sind. So ist es zum Beispiel grob fahrlässig, weiterhin MD5-Hashes zu verwenden denn diese sind kryptographisch unsicher. Um auf dem Laufenden zu bleiben, bilden Sie ein eigenes Sicherheits-Team und beraten Sie sich mit externen Fachleuten.

2) HTTPS überall.

HTTPS muss über die gesamte Website hinweg zum Standard werden und nicht nur für ausgewählte Seiten. Höhere Sicherheitsstandards können sich wahrlich auszahlen: größeres Vertrauen der Kunden und ein besseres Google-Ranking. Aber auch so etwas wie HTTPS und die Technologie dahinter verlangen kontinuierliche Pflege, zum Beispiel die von Chiffriersätzen oder die Erneuerung von Zertifikaten.

3) Rechnen Sie mit dem Unmöglichen.

Die meisten Angriffe passieren ganz plötzlich. Eine Distributed-Denial-of-Service-Attacke (DDOS) von einem Botnet kann Millionen von Computer involvieren. Es könnte auch sein, dass es gar nicht ein Angriff auf die eigene Seite, sondern auf die eines anderen Kunden des gleichen Hosting-Providers ist. Indem man so viele auswertbare Informationen wie möglich sammelt, etwa via Monitoring, Logs sowie Metriken, und ungewöhnliches Verhalten aufspürt, sollte man schnell herausfinden können, was los ist.

4) Einseitige Berichterstattung in den Medien.

In den Medien hört man Berichte von großen Internet-Unternehmen, die von chinesischen oder russischen Hackern angegriffen werden. Das ist bei kleineren Unternehmen meist gar nicht der Fall. Es ist vielleicht nur ein Scriptkiddie, das ein neues Spielzeug im Internet gefunden hat und rumprobiert. Weil es sich kleinere Firmen jedoch meist nicht leisten können, eine große Infrastruktur oder ein weltweit agierendes Sicherheitsteam zu haben, kann selbst das eine Gefahr darstellen.

5) Analysieren und lernen.

Jeder Angriff, groß oder klein, sollte im Detail analysiert werden.

6) Der Faktor Mensch.

Menschen haben ihre Gewohnheiten. Viele nutzen die gleiche Kombination aus Benutzernamen und Passwort für verschiedene Webseiten. Noch schlimmer, oftmals sind die Passwörter einfach schlecht, wie das beliebteste Passwort überhaupt '1234'. Passwort-Richtlinien können helfen, bessere Passwörter einzufordern. Einige Menschen vertrauen auch ihren Browsern und speichern darüber ihre Passwörter. Aber auch gute Passwörter reichen heute nicht mehr aus. Captchas sind nichts Neues, aber immer noch eine Möglichkeit Personen von Maschinen (automatische Skripts) zu unterscheiden. Um sensible Daten zu schützen, wird Multi-Faktor-Authentifizierung immer gebräuchlicher, zum Beispiel durch zusätzliche Prüfung einer PIN, die an eine bekannte Handynummer geschickt wird. Moderne Systeme können sogar ungewöhnliche Zugriffsversuche anhand von Mustern, beispielsweise Zugriffe von verschiedenen Standorten, entdecken und verhindern.

7) Datensparsamkeit.

Wahrscheinlich eine sehr deutsche Sichtweise. Aber: wer Nutzerdaten sammelt, muss diese auch schützen. Daten, die man nicht speichert, sind Daten, um die man sich nicht kümmern muss.

(Autor: Verena Gründel-Sauer)

Anzeige

Ausgewählte Agenturen und Dienstleister zu diesem Themenbereich

In diesem Beitrag genannt:

Personen: Jens Hadlich
Firmen und Sites: spreadshirt.de
Trackbacks / Kommentare
Artikel Weiterempfehlen
Empfehlen Sie diesen Artikel an Kollegen oder Freunde weiter.
Alle Meldungen vom 02.12.16:

Für diesen Seite von iBusiness steht eine Mobile Ansicht zur Verfügung.
Umleiten?