Sieben Tipps für Onlinehändler gegen Datenpiraten

1) Sicherheit ist keine einmalige Angelegenheit, sie erfordert ständige Aufmerksamkeit.

Etablieren Sie Prozesse, die es ermöglichen, sichere Systeme und sichere Software zu bauen. Sicherheit ist kein Feature, das man leicht im Nachhinein einbauen kann. Machen Sie kontinuierlich Realitätschecks. Rechnen Sie damit, dass heutige Sicherheitsstandards in ein paar Jahren oder gar Tagen obsolet sind. So ist es zum Beispiel grob fahrlässig, weiterhin MD5-Hashes zu verwenden denn diese sind kryptographisch unsicher. Um auf dem Laufenden zu bleiben, bilden Sie ein eigenes Sicherheits-Team und beraten Sie sich mit externen Fachleuten.

2) HTTPS überall.

HTTPS muss über die gesamte Website hinweg zum Standard werden und nicht nur für ausgewählte Seiten. Höhere Sicherheitsstandards können sich wahrlich auszahlen: größeres Vertrauen der Kunden und ein besseres Google-Ranking. Aber auch so etwas wie HTTPS und die Technologie dahinter verlangen kontinuierliche Pflege, zum Beispiel die von Chiffriersätzen oder die Erneuerung von Zertifikaten.

3) Rechnen Sie mit dem Unmöglichen.

Die meisten Angriffe passieren ganz plötzlich. Eine Distributed-Denial-of-Service-Attacke (DDOS) von einem Botnet kann Millionen von Computer involvieren. Es könnte auch sein, dass es gar nicht ein Angriff auf die eigene Seite, sondern auf die eines anderen Kunden des gleichen Hosting-Providers ist. Indem man so viele auswertbare Informationen wie möglich sammelt, etwa via Monitoring, Logs sowie Metriken, und ungewöhnliches Verhalten aufspürt, sollte man schnell herausfinden können, was los ist.

4) Einseitige Berichterstattung in den Medien.

In den Medien hört man Berichte von großen Internet-Unternehmen, die von chinesischen oder russischen Hackern angegriffen werden. Das ist bei kleineren Unternehmen meist gar nicht der Fall. Es ist vielleicht nur ein Scriptkiddie, das ein neues Spielzeug im Internet gefunden hat und rumprobiert. Weil es sich kleinere Firmen jedoch meist nicht leisten können, eine große Infrastruktur oder ein weltweit agierendes Sicherheitsteam zu haben, kann selbst das eine Gefahr darstellen.

5) Analysieren und lernen.

Jeder Angriff, groß oder klein, sollte im Detail analysiert werden.

6) Der Faktor Mensch.

Menschen haben ihre Gewohnheiten. Viele nutzen die gleiche Kombination aus Benutzernamen und Passwort für verschiedene Webseiten. Noch schlimmer, oftmals sind die Passwörter einfach schlecht, wie das beliebteste Passwort überhaupt '1234'. Passwort-Richtlinien können helfen, bessere Passwörter einzufordern. Einige Menschen vertrauen auch ihren Browsern und speichern darüber ihre Passwörter. Aber auch gute Passwörter reichen heute nicht mehr aus. Captchas sind nichts Neues, aber immer noch eine Möglichkeit Personen von Maschinen (automatische Skripts) zu unterscheiden. Um sensible Daten zu schützen, wird Multi-Faktor-Authentifizierung immer gebräuchlicher, zum Beispiel durch zusätzliche Prüfung einer PIN, die an eine bekannte Handynummer geschickt wird. Moderne Systeme können sogar ungewöhnliche Zugriffsversuche anhand von Mustern, beispielsweise Zugriffe von verschiedenen Standorten, entdecken und verhindern.

7) Datensparsamkeit.

Wahrscheinlich eine sehr deutsche Sichtweise. Aber: wer Nutzerdaten sammelt, muss diese auch schützen. Daten, die man nicht speichert, sind Daten, um die man sich nicht kümmern muss.