Schon wieder sind 18 Millionen Mailpasswörter entwendet worden und im Netz gelandet. Das ist nur die Spitze des Eisbergs und vermutlich werden die meisten Datendiebstähle gar nicht bemerkt. Unsere Kunden sind berechtigterweise verunsichert und fragen, wie so etwas passieren kann.
Die Antwort ist recht einfach. Viele Unternehmen im Internet wachsen sehr schnell und sind darauf ausgelegt maximalen Profit mit minimalem Aufwand zu erzeugen. Sicherheit kostet zwar wenig, ist aber lästig und Firmen sparen sich das Geld für Authentifizerungsserver und Sicherheitsaudits. Während externe Programmierer im Allgemeinen nicht für Sicherheit bezahlt werden, haben die festangestellten IT-Manager häufig nicht das Know-How und/oder die Zeit sich darum zu kümmern.
Das Resultat sind Kundendaten, die offen aus dem Firmennetz und meist auch aus dem Internet erreichbar sind, Datenbanken mit unverschlüsselten Passwörtern und Kreditkartennummern samt PIN. Bei großen Firmen werden die Kundendaten häufig dann auch noch auf mehreren Servern redundant gespeichert.
Wie sähe ein sicheres System aus?
Wenn man die technischen Details außer Acht lässt, dann ist Sicherheit keine Hexerei. Einer oder mehrere zentrale Authentifizerungsserver verwalten die Kundenkonten. Sie stehen physikalisch gesichert in einem überwachten Raum, haben keine direkte Netzwerkanbindung und geben über eine Schnittstelle einzelne Daten nach erfolgter Authentifizierung via Passwort zurück. Dabei arbeiten Sie mit Tokens. Tokens kann man sich wie Wertmarken vorstellen, die nach Gebrauch verfallen und auch nur Zugriff auf bestimmte Daten erlauben. Richtig implementiert macht ein solches System das Kopieren von mehreren oder gar Millionen von Daten unmöglich.
Was ist mit kleinen Shops und Firmenwebseiten?
Von selbst-geschriebenen Anwendungen abgesehen sind die gebräuchlichen CMS-Systeme
„Joomla, Typo3, Drupal" recht sicher. Sie speichern Passwörter mit einer aufwendigen Verschlüsselung. Joomla 3.3 bietet sogar die 2-Faktor Authentifizierung an. Hierbei wird zusätzlich durch einen externen Dienst (z.B. Google oder Microsoft) die Identität des Nutzers geprüft. Trotzdem gilt! Außer dem Benutzernamen und der E-Mail braucht man für kleine Shops keine Informationen dauerhaft speichern. Bezahldienstleister wie Amazon und PayPal liefern bei Bedarf Daten wie Name, Adresse, Telefonnummer zurück an den Shop.
Vertrauen schaffen durch Information
Auch wenn Datenschutzerklärungen mittlerweile für kommerzielle Webseiten Pflicht sind, so handelt es sich doch nur um juristisches BlaBla, das die meisten Kunden eher verunsichert, wenn sie es überhaupt wahrnehmen. Informieren Sie daher Ihre Kunden knapp aber genau, welche Daten Sie wie lange und wofür speichern. Bieten Sie an ein sicheres Passwort generieren zu lassen und weisen Sie Kunden darauf hin, dass sie Passwort-Safes benutzen sollen. Bieten Sie optional eine 2-Faktor Authentifizierung an.
Weiterführende Infos