GlobalSign Blog

12 Aug 2015

Sichere B2B-Transaktionen mit Authentifizierung

Sowohl Waren als auch Dienstleistungen werden online verkauft. Konsumenten kaufen alles mögliche online, von Filmpostern bis zu Spülmaschinen. Manche dieser Transaktionen reizen das Kreditlimit ziemlich aus. Auch deshalb schauen Kreditkarten-Anbieter ganz genau, wo und für was die Kreditkarte genutzt wird und können verdächtige Aktivitäten schnell erkennen.

Wenn es jedoch um B2B (Business-to-Business) Einkäufe geht, können die Beträge schnell tausende an Euro erreichen. Diese Bestellungen werden meist über ein Online- B2B-Portal erstellt, die per Passwort aufgerufen werden. Und hier ist das Problem – eine schwache und angreifbare Authentifizierungsmethode wird allzu oft genutzt um Bestellungen in beträchtlicher Größenordnung aufzugeben.

Falls man nur Zugang zum B2B-Portal möchte, ist ein Passwort oder eine federated Identity meist genug. Es werden nur Informationen wie z.B. Preise, Ermäßigungen, Produktlisten usw angezeigt. Die Schwachstelle ist sobald eine Transaktion abgeschlossen wird und große Geldmengen Besitzer wechseln. Ein Passwort kann zu leicht in falsche Hände fallen, sei es intern oder extern.

Authentifizierung als neue Norm?

Deshalb sollte es allgemeine Norm sein, dass finanziellen Transaktionen über einem bestimmten Wert zusätzliche Sicherheitsmaßnahmen oder Bestätigungen erfordern. Transaktionen über 5000 € sollten zum Beispiel eine stärkere Identitfikations- und Bestätigungsmethode nutzen, als 50 €.  Indem ein solcher Bestätigungsschritt zwischengeschalten wird, wie zum Beispiel eine sogenannte Step-Up Authentifizierung, kann verhindert werden, dass aus Versehen, oder mit Absicht, vom Einkäufer die Login-Informationen preisgegeben werden. Der Einkaufsprozess ist so sicher gegen hochentwickelte Angriffe und Social Engineering (also Angriffe, die versuchen an vertrauliche Informationen von Ihnen zu gelangen).

Eine starke Authentifizierungsmethode, wie SMS Einmal-Passwörter, ist leicht zu nutzen und kann an die Handynummer vom Einkäufer gebunden sein. Dadurch werden die Authentifizierung selbst, die Transaktionsdaten und Datum & Zeit kombiniert, was die Aktivitäten im B2B-Online-Portale nachvollziehbar und vor allem prüfbar machen. Mit dieser Methode erhält der Einkäufer außerdem eine Meldung per SMS, falls jemand versucht ohne Erlaubnis Bestellungen aufzugeben. Sollte der Einkäufer also nicht gerade selbst eine Bestellung durchführen, kann er sofort sehen, dass die Login-Informationen missbraucht werden. PKI bietet zusätzlich noch besseren Schutz für Transaktionen indem digitale Signaturen als Pflicht für Bestellungen hinzugefügt werden können.

Identity und Access Management (IAM) helfen nicht nur bei der Zugangskontrolle um Firmen-Ressourcen zu schützen, sondern speichern auch vorgeschriebene Audit-Protokolle. Mehr über Globalsigns IAM Angebot und wie Sie sichere Transaktionen durchführen können erfahren Sie hier.

von Lea Toms

Artikel teilen

Jetzt Blog abonnieren