Laut jüngsten Medienberichten ist der Einkauf im Internet wegen der mangelhaften Datenverschlüsselung in auf Open Source basierenden Onlineshops äußerst risikoreich.
Um dieses Risiko auszuschalten empfiehlt Johannes W. Klinger, Vorstandsvorsitzender der Websale AG, Spezialist für Online-Vertriebssysteme, die gezielte Auswahl und Verwendung sicherer Shopsoftware.
Eigenen Angaben nach hat die Fachzeitschrift c`t Tausende von Shop-servern auf ihre Sicherheit hin getestet und dabei erhebliche Schwächen bei der SSL-Verschlüsselung vieler Linux-basierender Shopsysteme festgestellt. Die Folge könnte sein, so das Magazin, dass Dritte unbemerkt nicht nur übertragene Kreditkartendaten mitlesen, sondern in krimineller Weise auch Webseiten fälschen könnten, um diese unter dem Namen seriöser Shopbetreiber zu nutzen.
Johannes W. Klinger, Vorstandsvorsitzender der Websale AG, wundert sich nicht über dieses Testergebnis und seine möglichen Folgen. „Billigstlö-sungen oder Freeware können keine umfassende Qualität in der Datensicherheit haben“, sagt Klinger, Mitglied des Expertenrats im europäischen Berufs- und Fachverband „Webmasters Europe“.
Denn das Charakteristische von Open-Source- bzw. Freeware-Systemen – die Änderung bereits bestehender Softwaremodule durch ständig neue Ent-wickler – entpuppe sich als schwächstes Glied in der Kette, so der Experte, weil die Intentionen der vorhergehenden Entwicklergeneration unbekannt seien. Die Folge seien eingebaute Fehler z.B. in Elementen der Datensicherheit, außer-dem werde mangels Geld oder Zeit Open-Source-Software meist nicht qualifiziert getestet. Schlimmstenfalls komme es durch derartige Fehler in Open-Source-Shopsoftware zu betrügerischen Einkäufen mit fremden Kreditkarten.
Beim Online-Vertriebssystem der Websale AG werden durch Sicherheitskon-zepte und fundierte Entwicklungsmaßnahmen Sicherheitslücken in einem höchstmöglichen Maße ausgeschlossen.
„Wir beschäftigen qualifizierte Mitarbeiter, die aufgrund ihrer Sachkenntnis für unsere Shopbetreiber ein Garant für Datensicherheit sind“, sagt Websale-Chef Klinger. Außerdem seien die Websale-Shops als eine der ersten Lösungen europaweit bereits 2005 durch externe Prüfunternehmen nach dem gültigen PCI-Standard zertifiziert worden. Hierbei finden unter anderem Prüfungen der verwendeten Sicherheitssoftware statt.
Für die Websale AG war die Datensicherheit seit der Unternehmensgründung im Jahr 1996 ein Kernthema. So hat der Spezialist für Online-Vertriebssysteme beispielsweise als erster Anbieter überhaupt bereits vor vielen Jahren die Kauf- und Käuferdaten nicht nur verschlüsselt zum Shopserver übertragen, sondern auch verschlüsselt abgespeichert. Im Gegensatz hierzu werden die Käuferdaten bei vielen Shops nicht verschlüsselt abgespeichert und sind in sträflicher Weise jedem Systemadministrator offen zugänglich.
Websale hingegen hat die komplette End-to-End-Verschlüsselung schon vor zehn Jahren mit „WEBSALE Data Security System™ auf dem Markt einge-führt. Diese Technologie gewährleistet den durchgängigen Datenschutz vom PC des Käufers über den Websale-Server bis hin zum Shopbetreiber.
Der Schlussfolgerung der Fachzeitschriftentester, dass https-Seiten generell nicht getraut werden könnte und daher nur Browser-Hersteller wirksamen Schutz böten, mag Klinger daher nicht zustimmen. Zwar sage ein geschlossenes SSL-Schloss am Browser in der Tat wenig aus, weil es eben nur den Übertragungsweg vom Käufer zum Shopserver beschreibe, nicht aber den Weg zum Händler oder anderen Dienstleistern (Kreditkartenunternehmen, Payment-Provider, Tracking etc.). Shopsysteme allerdings mit durchgängigem Datenschutz während des gesamten Bestell- und Kaufprozesses, wie z.B. die Websale-Technologie „V7“, garantieren bestmögliche Sicherheit.
Johannes W. Klinger empfiehlt daher Shopbetreibern oder solchen, die es werden wollen, dringend darauf zu achten, dass der Hersteller der Shopsoft-ware und der Betreiber der Shopserver auf E-Commerce spezialisierte Unter-nehmen sind, mit denen er auch persönlich kommunizieren kann. Diese An-bieter, so Klinger, müssten dem Shopbetreiber außerdem unbedingt die vor-handenen Datensicherheitsmaßnahmen in nachvollziehbarer Weise darlegen können – vollständig vom Käufer über den Shopserver bis hin zum Händler.
Arbeitet der Shopbetreiber bereits mit einer Open-Source-Lösung, sollten unabhängige Spezialisten Software und Server in regelmäßigen Abständen von höchstens drei Monaten genau hinsichtlich der Datensicherheit prüfen. Vom Lösungsanbieter als Prüfer rät Klinger dabei ab, weil diese meist fachlich nicht in der Lage seien, professionelle Prüfungen durchzuführen und – trotz Produkthaftung – in der Regel auch nicht bereit seien, Garantien für ihre „kostenfreie“ Software zu übernehmen.
Der Onlinekäufer sollte darauf achten, ob der Shophändler nicht nur über verschiedene Datenübertragungsstrecken und Speicherorte, sondern auch zum allgemeinen Datenschutz informieren kann und ob eine vollständige Anbieterkennzeichnung und klare Einkaufsbedingungen vorhanden sind.
