Beitrag veröffentlicht im November 2015

Mit diesem Beitrag unserer Informationsserie möchten wir Sie für bestimmte Sicherheitsthemen sensibilisieren.

Leider kommen manche Absicherungen im Arbeitsalltag schnell zu kurz. Setzen Sie den einen oder anderen Tipp schon um, ist es umso besser. Wurde eine Schwachstelle aber erst einmal ausgenutzt, kann dies unangenehme Konsequenzen für Ihre Kunden und für Sie als Shopbetreiber haben.

Diese Tipps und weitere Unterstützung beim Thema „Sicherheit“ haben wir ebenfalls unter der Adresse sicherheit.oxidmodule.com für Sie zusammengefasst.

Tipp 2: Wie Sie sensible Daten (regelmäßig) sicher übertragen.

Ein Onlineshop nimmt regelmäßig sensible Daten an und verarbeitet diese. Als Beispiele sind Adressdaten Ihrer Kunden oder auch Bankdaten genannt.

Achten Sie schon im Interesse Ihrer Kundschaft darauf, dass diese Daten keine ungewünschten Wege gehen. Sichern Sie die Datenübertragung daher ab. Hierfür gibt es die verschlüsselten Verbindungen. Alle Seiten, auf denen sensible Daten verschickt und dargestellt werden, sollten über solch eine sichere Verbindung übertragen werden.

Ihr Hosting- oder Serverprovider bietet Ihnen entsprechende Zertifikate, mit deren Hilfe Sie eine sichere Datenübertragung einrichten lassen können. Die Zertifikate gibt es in verschiedenen Qualitäten. Solang die höchste Verschlüsselungsstufe enthalten ist, reicht im Grunde ein einfaches Zertifikat. Die teureren Angebote können jedoch das Vertrauen Ihrer Kunden in Ihre Sicherheitsbemühungen verstärken. Kontaktieren Sie Ihren Provider für eine Beratung.

Alle Shopseiten, die sensible Daten über eine verschlüsselte Verbindung verschicken oder empfangen, erkennen Sie am https vor der Internetadresse. Die aktuellen Browser stellen zusätzlich ein kleines Vorhängeschloss an der Adresszeile dar.
Mindestens diese Seiten sollten Sie in Ihrem Shop über gesicherte Verbindungen übertragen:

• der Anmeldevorgang mit Eingabeformularen für Kundendaten
• der persönliche „Mein Konto“-Bereich des Kunden
• der Bestellprozess, sobald es sich um kundenbezogene Daten handelt (im OXID eShop passiert dies ab Bestellschritt 2)
• den kompletten Adminbereich

Natürlich können Sie auch den gesamten Shop per Verschlüsselung übertragen. Dies garantiert Ihren Seitenbesuchern, dass die Inhalte Ihrer Seite unmanipuliert ausgeliefert wurden.

Klären Sie bitte auch ab, ob besonders sensible Daten (z.B. Kreditkartennummern) überhaupt von Ihnen gespeichert und verarbeitet werden dürfen. Hierzu gibt es besondere Vorschriften.
Zahlungsdienstleister (z.B. Heidelpay) bieten Ihnen die passende Infrastruktur und getestete Module für Ihren Shop, dass Sie die gewünschten Zahlarten auch ohne Sicherheitseinbußen anbieten können.

Haben Sie Fragen oder Anregungen zu diesem Thema, stehen wir Ihnen gern zur Verfügung.

Mit diesem Beitrag starten wir eine neue Informationsserie, mit der wir Sie für bestimmte Sicherheitsthemen sensibilisieren möchten.

Leider kommen manche Absicherungen im Arbeitsalltag schnell zu kurz. Setzen Sie den einen oder anderen Tipp schon um, ist es umso besser. Wurde eine Schwachstelle aber erst einmal ausgenutzt, kann dies unangenehme Konsequenzen für Ihre Kunden und für Sie als Shopbetreiber haben.

Diese Tipps und weitere Unterstützung beim Thema „Sicherheit“ haben wir ebenfalls unter der Adresse sicherheit.oxidmodule.com für Sie zusammengefasst.

Tipp 1: Wie Sie sensible Daten (einmalig) sicher übertragen.

Während der Laufzeit Ihres Onlineshops ist es in manchen Fällen nötig, dass Sie sensible Informationen weiterversenden oder empfangen müssen. Dies passiert zum Beispiel dann, wenn Ihnen ein Dienstleister Unterstützung bieten soll.

Unter „sensiblen Daten“ verstehen wir z.B. Zugangsdaten zum Server oder zum Shop. Sensibel sind ebenfalls Authorisierungsdaten für Bezahldienste oder die Daten Ihrer Kunden. Diese können ebenfalls auch in Protokollen enthalten sein, die Ihr Dienstleister für eine Analyse anfordert.

Der meistgenutzte Weg, solche Daten zu versenden, ist hierbei unbestritten die E-Mail. Sie ist einfach und praktisch. Aber auch besonders unsicher:
E-Mails werden im Klartext übertragen. Fängt jemand diese Mail ab, hat er alle Informationen lesbar zur Verfügung. Enthält die Mail nun Zugangsdaten, kann der Angreifer diese ausnutzen und sich weitergehenden Zugriff zu anderen Systemen verschaffen.

Ähnlich beliebt und genauso unsicher ist das alte Fax. Auch diese Nachrichten können abgefangen und von beliebigen Angreifern lesbar gemacht werden.

Versenden Sie daher kritische Daten immer verschlüsselt, wenn Sie deren Wegen nicht vertrauen können. Die Entschlüsselung darf dabei nur vom gewünschten Empfänger ausführbar sein. Welche Wege gibt es dafür:

• verschlüsselte + signierte E-Mails
• Eintragen der Daten in einem separaten System (z.B. Ticketsystem oder eine Cloud), welches über verschlüsselte Verbindungen (SSL/TLS) gesteuert werden
• verschlüsselte Instant-Messaging-Systeme
• Briefpost

Achten Sie bei der Nutzung anderer Dienste unbedingt darauf, dass die eingetragenen Infos nicht an alle Teilnehmer per unsicherer E-Mail weitergeschickt werden. Sonst wären Ihre Bemühungen umsonst.

Betreiben Sie diese Dienste nicht selbst, müssen dort gespeicherte Daten zusätzlich verschlüsselt werden. Nehmen Sie die Verschlüsselung selbst vor und verlassen Sie sich nicht auf Ihnen fremde Personen.

Die Einrichtung solch sicherer Übertragungswege benötigt einen gewissen Aufwand und Pflege, der sich langfristig jedoch auszahlen wird.

Möchten Sie uns solche vertraulichen Daten senden, kommen wir Ihnen ein Stück entgegen. Unter der folgenden Adresse haben wir ein Formular vorbereitet, über welches Sie uns solche Daten mit ruhigem Gewissen senden können:

sicherheit.oxidmodule.com

Die dort eingegebenen Daten werden bis zum Empfänger ausschließlich verschlüsselt übertragen.
Auf dieser Seite sind ebenfalls die Daten hinterlegt, die Sie für einen verschlüsselten Mailversand benötigen.

Haben Sie Fragen oder Anregungen zu diesem Thema, stehen wir Ihnen gern zur Verfügung.