GlobalSign Blog

23 Jun 2014

Online-Shopping: beliebt, mobil, unsicher?

Im letzten Monat hat die BITKOM die Zahlen einer ihrer jüngsten Umfragen zum Thema Online-Shopping veröffentlicht.

Demnach sind es inzwischen 51 Millionen Deutsche, die Waren über das Internet einkaufen. Das sind 94% der Internetnutzer über 14 Jahre. Ein neuer Rekordwert. Gut jeder vierte Konsument benutzt  Smartphone oder Tablet, um unterwegs online zu bestellen oder - so immerhin 6 Millionen der Befragten – vom Arbeitsplatz aus. Tablets haben dabei einen ordentlichen Sprung nach vorne gemacht, denn mehr als doppelt so viele Nutzer, verglichen mit dem Vorjahr, kaufen auf diesem Weg im Internet ein.

Beliebt, mobil, unsicher?

Was allerdings Datenschutz und Verschlüsselung beim Onlinehandel angeht bietet sich in Europa ein uneinheitliches Bild.

Nicht nur, dass große Onlineshops wie Amazon und eBay immer wieder Hackerangriffen ausgesetzt sind, es fällt auch nicht immer leicht, die Lücken zu schließen. Heartbleed und die Folgen sprechen hier eine deutliche Sprache. Einer Studie der Universität Regensburg zufolge tut sich die Mehrzahl der Shop-Betreiber schwer, wenn es um den Datenschutz geht. So gibt jedes fünfte Unternehmen an, schon ein Mal Opfer einer Attacke geworden zu sein, aber nur knapp die Hälfte der mit einem der anerkannten Internet-Gütesiegel zertifizierten Shops schult ihre Mitarbeiter in punkto Informationssicherheit.

Bei Verbrauchern und Providern hat die NSA-Affäre im „Jahr 1 mit Snowden“ hingegen recht deutliche Spuren hinterlassen. In Europa ist der Anteil des Datenverkehrs, der über SSL verschlüsselt worden ist, stark gestiegen. Das Sandvine-Institut (zitiert nach einem Beitrag von ZDnet) hat innerhalb des betrachteten Jahres und in Spitzenzeiten eine Steigerung von 1,47 auf 6,1 Prozent ermittelt.

Auf der sicheren Seite: Perspektive Provider

Mit den steigenden Nutzungszahlen im Online-Handel ist gleichzeitig die Zahl der Cyberattacken angestiegen. Derart viele Online-Shopper, die mobil und möglichst über einen ungesicherten öffentlichen WiFi-Zugangspunkt auf das Internet zugreifen, sind ein lohnenswertes Ziel.

Unter dem Eindruck der Ereignisse sahen sich die großen Provider und Telekommunikationsanbieter in der Pflicht. Ihre Kunden sind es, die in Restaurants, Kaffeebars, großen Buch- und Einzelhandelsketten den Endnutzern ihre Hotspots zur Verfügung stellen. Und die werden eifrig genutzt.

Eine Möglichkeit den Datenverkehr zu schützen sind sogenannte Trusted-Root-Zertifikate, die sich nur für derart ausgewählte Szenarien eignen und besonders strengen Anforderungen unterliegen. Organisationen, die Trusted Root verwenden, müssen nämlich die gültigen operativen Best-Practices für Zertifizierungsstellen erfüllen. Dazu gehört es unter anderem die Mindestanforderungen des CA/B-Forums einzuhalten.

Ein Trusted-Root-Signing-Service verkettet die ausgestellten digitalen Zertifikate mit den Root-Zertifikaten einer öffentlichen CA wie beispielsweise GlobalSign. Trusted Root eignet sich vor allem dann, wenn SSL-Zertifikate für Domains ausgestellt werden, die zum Beispiel von einem Provider verwaltet und überwacht werden.

Praktisch sieht das beispielsweise so aus: in jedem der angeschlossenen Restaurants, Kaffeebars oder Ladengeschäfte existiert ein Netzwerk-management-Device, welches das WiFi-Signal transportiert. Genau dort sitzt auch das SSL-Zertifikat. Es sichert den Datenstrom in zweierlei Weise: zum einen zwischen dem Online-Shopper im Buchladen und dem Netzwerkknoten und zum anderen zwischen dem Netzwerknoten und dem Back-End des jeweiligen Providers.

Auf der sicheren Seite: nur, wie lange?

Dabei kommt ein enormes Volumen an ausgestellten Zertifikaten zustande, die alle einem begrenzten Lebenszyklus unterworfen sind. Wenn sich der Lebenszyklus eines Zertifikats dem Ende zuneigt, es neu ausgestellt und ausgebracht werden muss, trägt Trusted Root dazu bei, diese Prozesse zu vereinfachen. Und auch hier ein praktisches Beispiel: Angenommen man geht von 40 - 50.000 Hotspots aus, die ein global agierender Provider verwaltet und davon, dass die Zertifikate in etwa alle zehn Tage (!) aus Sicherheitsgründen erneuert werden müssen...Dann bedeutet das pro Jahr eine Zahl von einer Million auszutauschender Zertifikate. Das passiert dann entweder über die APIs der Zertifizierungsstelle oder, was bei Trusted Root möglich ist, über ein individuell definiertes Set-up beim Provider.

Auf der sicheren Seite: Perspektive Verbraucher

Ein Benutzer, der gerade beim Latte Macchiato in der Kaffeebar eine Onlinebestellung abschickt bekommt von dem Ganzen nur wenig mit. Aber auch der Endnutzer kann einiges tun, um sich abzusichern:

Er kann bewusst nach “Secure-Site”-Indikatoren suchen: Käufer sollten immer auf das grüne Sicherheitsschloss in Browsern achten. Dies zeigt an, dass eine Webseite SSL verwendet - eine Verschlüsselungstechnologie, die garantiert, dass die an den Händler gesendeten Daten verschlüsselt und sicher sind. Eine Website, die ein SSL-Zertifikat verwendet, ist zusätzlich an der URL der Website zu erkennen: Sie beginnt mit "https" statt mit dem Standard "http" einer nicht gesicherten Website.

Privatsphäre und Identität schützen: Privatsphäre ist wichtig und ein Identitätsdiebstahl kann unabsehbare Folgen haben. Man sollte also bei Websites, für die Benutzername und ein Passwort als Teil des Kaufvorgangs eingerichtet werden müssen, andere Kombinationen benutzen als die, die man schon für Banking, Web-Mail oder andere Konten verwendet. Zusätzliche Details, die mit dem Kauf nichts zu tun haben, sollte man möglichst nicht angeben (oder auf den Kauf über eine solche Seite schlicht verzichten).

Augen auf bei Scam: Phishing- und Scam-Attacken haben seit Anfang diesen Jahres wieder enorm zugenommen. Derartige Mails, die sich entweder aktuelle Ereignisse wie ein Trittbrettfahrer zunutze machen oder sich als bekannte Unternehmen und Marken tarnen, werden täglich millionenfach versendet.

Eine sichere Zahlungsmethode benutzen: Die meisten Kreditkarten bieten Käuferschutz, Debit-Karten und andere Zahlungsmethoden bieten in der Regel weniger Sicherheit; hier muss der Verbraucher einen möglicherweise entstehenden Schaden aus eigener Tasche zahlen.

Wenn der Händler keine Kreditkarten akzeptiert, sollte man zumindest andere abgesicherte Zahlungsmethoden wählen, wie zum Beispiel PayPal.

Informieren anhand von zusätzlichen Details, Unterlagen aufbewahren: Informationen wie eine vollständige Händleradresse, Versandkosten, und Rückerstattungsbedingungen helfen, wenn Probleme bei der Lieferung der gekauften Artikel auftreten.

Es sind also immer beide Seiten gefragt will man mobiles Online-Shopping so sicher wie möglich machen.

Artikel teilen