Seit dem 09.01.2016 gelten für alle Onlinehändler im B2C-Geschäft neue Informationspflichten lt. Verordnung (EU) Nr. 524/2013 über die Online-Beilegung verbraucherrechtlicher Streitigkeiten (kurz: ODR-Verordnung).

Demnach muss ab sofort der Link auf die Plattform zur Online-Streitbeilegung sowie Ihre E-Mailadresse „leicht zugänglich“ im Shop angegeben werden. Dies ist z.B. im Impressum oder in den AGB’s sinnvoll, solange diese die ganze Zeit im Shop aufrufbar sind.

Der Link lautet wie folgt: http://ec.europa.eu/consumers/odr/

Weitere Informationen zu der neuen Informationspflicht finden Sie im shopbetreiber-blog.de.

Mit diesem Beitrag unserer Informationsserie möchten wir Sie für bestimmte Sicherheitsthemen sensibilisieren.

Leider kommen manche Absicherungen im Arbeitsalltag schnell zu kurz. Setzen Sie den einen oder anderen Tipp schon um, ist es umso besser. Wurde eine Schwachstelle aber erst einmal ausgenutzt, kann dies unangenehme Konsequenzen für Ihre Kunden und für Sie als Shopbetreiber haben.

Diese Tipps und weitere Unterstützung beim Thema „Sicherheit“ haben wir ebenfalls unter der Adresse sicherheit.oxidmodule.com für Sie zusammengefasst.

Tipp 5: Warum Sie individuelle Servicezugänge für jeden Dienstleister und Mitarbeiter anlegen sollten.

Als Shopbetreiber haben Sie meist einen universellen Zugang zu allen Bereichen Ihres Servers und Ihres Shops.

Beauftragen Sie einen Mitarbeiter oder einen Dienstleister mit einer speziellen Aufgabe, benötigt er diesen Universal-Zugang in der Regel nicht. Vergeben Sie daher immer individuelle Zugangsdaten für jeden Einzelnen und beschränken Sie dessen Rechte nur auf die für seine Arbeit notwendigsten Bereiche. Ihr Motto sollte hierbei lauten:

So viel wie nötig und so wenig wie möglich.

Die Vorteile liegen auf der Hand:

• Unzugängliche Bereiche können nicht (oder nur schwer) missbraucht werden
• Nicht einsehbare Daten können nicht gestohlen oder verändert werden.

Sollten doch einmal Auffälligkeiten entstehen, kann durch den personengebundenen Zugang über Protokolle einfacher festgestellt werden, in wessen Umfeld möglicherweise unsauber gearbeitet wurde.

Beachten Sie, dass durch bestimmte Rechte (z.B. die Nutzerverwaltung) andere Zugänge einfach ohne Ihr Wissen erstellt werden können. Seien Sie daher besonders vorsichtig, wenn Sie solche besonderen Berechtigungen erteilen. Trennen Sie diese Bereiche auch innerhalb Ihrer persönlichen Zugänge mit einem separaten Konto.

Wird die Zusammenarbeit mit dem Kollegen beendet, löschen Sie alle seine Zugangsdaten zeitnah. Andere Personen sind durch die getrennten Konten von der Löschung nicht betroffen.

Haben Sie Fragen oder Anregungen zu diesem Thema, stehen wir Ihnen gern zur Verfügung.

Mit diesem Beitrag unserer Informationsserie möchten wir Sie für bestimmte Sicherheitsthemen sensibilisieren.

Leider kommen manche Absicherungen im Arbeitsalltag schnell zu kurz. Setzen Sie den einen oder anderen Tipp schon um, ist es umso besser. Wurde eine Schwachstelle aber erst einmal ausgenutzt, kann dies unangenehme Konsequenzen für Ihre Kunden und für Sie als Shopbetreiber haben.

Diese Tipps und weitere Unterstützung beim Thema „Sicherheit“ haben wir ebenfalls unter der Adresse sicherheit.oxidmodule.com für Sie zusammengefasst.

Tipp 4: Warum Sie Ihre Passworte & Co. überprüfen sollten.

Die meisten Onlinedienste nutzen zur Anmeldung eine Kombination aus Benutzername und Passwort. Leider ist diese Authentifizierungskombination nicht wirklich stark. Warum dies so ist, ist kurz erklärt:

Authentifizierungsmethoden unterscheiden sich in 3 Bereiche:

• Wissen (z.B. Passwort, PIN, E-Mailadresse, Postleitzahl, Name des ersten Haustiers)
• Besitz (z.B. Schlüssel, Chipkarte, TAN-Liste, Smartphone mit zertifiziertem Keygenerator)
• Biometrie (Fingerabdruck, Gesichtserkennung, Handschrift, Iriserkennung)

Weitere Informationen finden Sie unter anderem bei Wikipedia.

Jede Methode hat Vor- und Nachteile. Im Idealfall werden alle 3 Methoden gemeinsam verwendet. Bei kritischen Anwendungen (z.B. Online-Banking) hat sich die Verwendung von 2 Methoden durchgesetzt. Im Alltag wird dies als 2-Faktor-Authentifizierung bezeichnet.
Unser Beispiel „Benutzername + Passwort“ verwendet jedoch nur eine dieser Methoden. Um unberechtigt an die Zugangsdaten zu kommen, reichen daher schon einfache Mittel (z.B. Raten oder Social Engineering) aus.

Da sich die Authentifizierungsmethoden jedoch häufig nicht oder nur schwer ändern lassen, achten Sie bitte ganz besonders auf Ihre Daten. Passworte sollten demnach einem gewissen Sicherheitsstand entsprechen:

• haben eine Mindestlänge von 12 Zeichen
• enthalten Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
• entsprechen keinem gebräuchlichen Wort oder Namen
• sollen sich zwischen 2 Anmeldungen / Diensten unterscheiden
• werden regelmäßig geändert

Die meisten dieser Bedingungen lassen sich durch ein paar Eselsbrücken leicht realisieren (siehe z.B. bei Wikipedia). Leider wird im Alltag von vielen Anbietern die komplette Einhaltung dieser Empfehlungen sehr erschwert.

Wenn Sie es schaffen, allein 4 dieser Kriterien zu erfüllen, sind Sie schon sicherer unterwegs, als 95% der Bevölkerung.

Zur Generierung sicherer Passwort empfehlen wir unabhängige Passwortgeneratoren (z.B. diesen oder diesen).

Halten Sie auch Ihre Mitarbeiter, Dienstleister und Kunden zu sicheren Passworten an. Im Netz gibt es einbaufertige Analysetools (Beispiel), die im Ampelverfahren anzeigen, ob ein Passwort sicher ist.

Sichern Sie besonders sensible Bereiche (wie z.B. den Adminbereich Ihres Shops) zusätzlich durch einen Verzeichnisschutz Ihrer Serversoftware ab. Die Erfahrungen der vergangenen Jahre zeigt, dass die wenigsten Autorisierungsbereiche wirklich sicher sind.

Trennen Sie administrative Rechte von Ihren Alltagsrechten. Wenn Sie im Alltag nicht regelmäßig z.B. die Benutzerverwaltung benötigen, legen Sie dafür eine spezielle Anmeldung ab.

Haben Sie Fragen oder Anregungen zu diesem Thema, stehen wir Ihnen gern zur Verfügung.