Webshops im Weihnachtsmodus: Neben Performance Datensicherheit gefordert

Online-Händler für die Sicherheit der Kundendaten in der Pflicht

[datensicherheit.de, 17.11.2016] Webshops haben vielfach längst in den „Weihnachtsmodus“ umgeschaltet – Ideen für SEO, Content-Marketing etc. wurden umgesetzt, ein eigenes Thema für die Weihnachtszeit gewählt, die Produkte für Weihnachtsaktionen ausgewählt, eventuell sogar Adventskalender mit täglich wechselnden Gewinnen integriert, und auch die technische Infrastruktur möglichst „festtagssicher“ aufgesetzt, um für den zu erwartenden Besucheransturm gewappnet zu sein. Online-Händler müssten sich jedoch bewusst machen, dass ihr Webshop für Verbraucher, insbesondere für Neukunden, erst einmal ein anonymer Dienst sei. Niemand kaufe in einem Webshop, bei dem er nicht weiß, wo seine Daten landen und was mit ihnen passiert. „Vertrauen in die Sicherheit beim Datentransfer hat neben guter Performance höchsten Stellenwert für Verbraucher“, betont Christian Heutger, Geschäftsführer der PSW GROUP.

Online-Händler in der Pflicht

„Insbesondere in einer Welt, in der die Konkurrenz nur einen Klick entfernt ist und die gesetzlichen Anforderungen an Datenschutz steigen, kommen Online-Händler deshalb nicht um SSL-Verschlüsselung ihres Shops herum“, so Heutger.
Das Protokoll SSL bzw. TLS verschlüsselt die Netzverbindung zwischen Server und Client (Browser). Neben der vertraulichen Datenübertragung wird außerdem auch die Identität des Servers geprüft. Mit der Feststellung der Authentizität des Servers sichert Verschlüsselung somit die Identität einer Website. Der Einsatz von Verschlüsselung stellt darüber hinaus sicher, dass Daten durch unbefugte Dritte weder verändert noch gelesen oder gar manipuliert werden können. Ob eine Website verschlüsselt ist, erkennen Webshop-Kunden ganz leicht am „https“ in der Adresszeile. Das „s“ hinter „http“ steht dabei für „secure“, also für eine sichere Verbindung.
Heutger: „Spätestens, wenn Besucher persönliche Daten wie E-Mail-Adresse, Name, Kreditkarten- oder andere Zahlungsinformationen eingeben, sollten deshalb SSL/TLS-Zertifikate Pflicht sein. Denn ab diesem Moment tragen Online-Händler für die Sicherheit der Kundendaten Sorge.“

Verschlüsselung als wichtiger Rankingfaktor

Ein TLS-/SSL-Zertifikat bestätige aber nicht nur die Identität des Online-Händlers. Auch der Gesetzgeber mache es immer schwieriger, ohne SSL/TLS-Verschlüsselung rechtssicher zu agieren. Behörden wie z.B. das Bayerische Landesamt für Datenschutzaufsicht prüften dies intensiv.
„Obendrein ist Verschlüsselung ein wichtiger Rankingfaktor bei Google. Und auch wenn es andere Suchmaschinen gibt, so kommt für ein effizientes Webmarketing keiner an dem Internetriesen vorbei. Die Ranking-Faktoren der weltweit erfolgreichsten Suchmaschine geben nun einmal den Ton an bei der Suchmaschinenoptimierung“, so der Geschäftsführer der PSW GROUP.

Für gewerbliche Websites mindestens ein organisationsvalidiertes Zertifikat

Nun sei der Markt groß und unübersichtlich:

• Es gebe sowohl kostenlose als auch teure SSL/TLS-Zertifikate,
• welche, die eine grün gefärbte Adressleiste generierten,
• welche von namhaften Anbietern
• und jene von unbekannten Anbietern.

Diese Unterschiede erklärten sich unter anderem mit der Validierung, also wie umfassend der Besteller eines TLS-Zertifikats von der Zertifizierungsstelle geprüft wird.
Auch die Kosten hingen stark vom gewählten SSL/TLS-Zertifikat ab. Bei der Wahl des geeigneten Zertifikats komme es wiederum auf den Einsatzzweck an: Während für ein privates Blog ein domainvalidiertes Zertifikat (DV) ausreichend sein könne, sei für gewerbliche Websites mindestens ein organisationsvalidiertes (OV), idealerweise jedoch ein „Extended Validation“-Zertifikat die bessere Wahl. „Sehr reizvoll ist in diesem Zusammenhang die grüne Adressleiste, die dem Websitebesucher schon auf den ersten Blick vermittelt, dass der Seitenbetreiber den Datenschutz ernst nimmt. Allerdings schaffen ausschließlich Extended-Validation-Zertifikate diese grüne Adressleiste“, erläutert Heutger. Um ein solches EV-Zertifikat zu erhalten, müsse das Unternehmen im Handelsregister und auf „upik.de“ eingetragen sein.

© PSW Group

Christian Heutger: Neben Performance kommt es auch auf die Datensicherheit an!

Weitere Informationen zum Thema:

datensicherheit.de, 18.08.2016
HEIST: Angriff auf Verschlüsselungsprotokoll TLS ohne Man-in-the-Middle-Attacke