Joachim Gebauer, Regional Technical Manager bei VeriSign, gibt Tipps, wie man einen Online-Shops sicher und benutzerfreundlich macht:
1. Denken Sie zuerst an den Kunden und Anwender, wenn Sie Sicherheitsmaßnahmen für Ihre Website planen - die Seite muss sicher UND einfach zu bedienen sein. Komplizierte Sicherheitsfeatures schrecken Kunden ab und wirken sich negativ auf die Besucherzahlen aus.
2. Informieren Sie sich, was Ihre Kunden über Ihre Services denken. Bieten Sie Ihren Kunden die Möglichkeit, Feedback zu geben und ihre Meinung zu äußern, was verbessert werden könnte. Sicherheitsunternehmen und Hersteller von Sicherheitssoftware können hier zum Beispiel von Fluglinien, Hotels und anderen Dienstleistern lernen, die genau das permanent machen.
3. Nicht alles passt für jeden. Seien Sie sich bewusst, dass eine junge Frau, die schon ihr ganzes Leben im Netz surft, andere Erfahrungen mit Sicherheit hat als beispielsweise eine 50jährige Kundin, die erst seit kurzem online ist. Deshalb sollten Absicherungsmaßnahmen so intuitiv und verständlich wie möglich sein.
4. Investieren Sie in die Bereiche, die sich finanziell auszahlen: Unternehmen sollten ihre meistgenutzten Services am stärksten absichern. Online-Zahlungen von Rechnungen oder Bestellungen gehören zu den populärsten Services und sollten durch ein mehrstufiges Sicherheitssystem geschützt werden. Der Durchschnittsnutzer nimmt aber andererseits nur wenige Online-Zahlungen pro Jahr vor. Daher lohnt es sich nicht, teure Sicherheitssysteme ausschließlich für neue Zahlungsprozesse zu implementieren.
5. Finden Sie heraus, wann und wo Ihre Kunden online gefährdet sind.
Firmen müssen ausführliche Profile des typischen Online-Verhaltens ihrer Kunden entwickeln: wie hoch sind typische Transaktionssummen, wie viel Zeit verbringen sie online, wie oft nehmen sie Überweisungen vor? Mithilfe von automatischen Suchroutinen können dann untypische Online-Aktivitäten identifiziert werden und Firmen können bei untypischem Verhalten gegebenenfalls sofort eingreifen.
6. Arbeiten Sie mit einem vertrauenswürdigen Team. Anbieter müssen sich über alle Mitarbeiter informieren, die nicht direkt zum eigenen Unternehmen gehören. Durch das Outsourcing von Kundendienst und Support gelangen sensible Kundeninformationen in die Hände von… - ja, von wem eigentlich? Es hat bereits Fälle gegeben, in denen Identitätsdiebe Call Center Unternehmen gegründet haben, um an Kundendaten zu gelangen und sie auf dem Schwarzmarkt weiterzuverkaufen. Kaum etwas zerstört das Kundenvertrauen so nachhaltig wie die Erkenntnis, dass die eigenen Daten von Unternehmen missbraucht oder nicht ausreichend geschützt wurden.
7. Setzen Sie nicht nur auf Passwörter. Einfache Log-in-Namen und -kennwörter bieten Kunden keinen ausreichenden Schutz. Fortschrittlichere Technologien wie zum Beispiel Tokens, die nur einmal gültige Passwörter erzeugen oder die Passwortübermittlung per SMS, bieten einen höheren Schutz und erschweren es Betrügern, an wichtige Informationen zu gelangen. In Zukunft sind zudem Techniken wie Spracherkennung, biometrische Verfahren oder andere Systeme denkbar, um heute gängige Sicherheitslösungen zu ergänzen.
8. Denken Sie mobil. Obwohl die meisten Online-Services noch vom PC zu Hause oder vom Büro aus genutzt werden, steigt die Zahl der Online-Käufe oder Banktransaktionen über mobile Geräte an. Mitarbeiter nutzen sensible Unternehmensdaten zudem verstärkt auf PDAs oder Handys - das heißt, Firmen müssen eine zusätzliche Sicherheitsebene für diese mobilen Geräte in ihre IT-Infrastruktur einbeziehen, um Missbrauch zu verhindern.
9. Wägen Sie Risiken sozialer Netzwerke ab. Jüngere Mitarbeiter und Kunden nutzen zunehmend soziale Netzwerke wie Xing oder StudiVZ. Die meisten Unternehmen haben bisher noch nicht untersucht, ob das eine Sicherheitsbedrohung für ihre internen IT-Systeme darstellt. Kundendaten würden besser geschützt sein, wenn Unternehmen sich über mögliche Sicherheitslücken durch diese Netzwerke bewusst werden, und Vorschriften zum Umgang mit ihnen erlassen.
10. Machen Sie IT-Sicherheit zur Chef- oder Vorstandssache. Vorstände und Geschäftsführer sind für alle Aspekte des Unternehmensrisikos verantwortlich. Trotzdem wird das Top-Management noch nicht immer aktiv in Fragen der IT-Sicherheit mit einbezogen. Und das, obwohl sie den operativen Betrieb, das Risikomanagement und Kundenbeziehungen direkt beeinflussen. Wird dies geändert, so wird eines der schwächsten Glieder in der Kette von Verantwortlichkeiten innerhalb des Unternehmens geschlossen. (haf)