(Translated by https://www.hiragana.jp/)
BMWA - Sicherheit
The Wayback Machine - https://web.archive.org/web/20031202202833/http://www.bmwi.de:80/Navigation/Unternehmer/E-Business/sicherheit.html
Logo des Bundesministeriums für Wirtschaft und Arbeit. Link zurück zur Startseite.
Die folgende Navigation überspringen
 		 Lexikon  Benutzerhinweise  Sitemap  Kontakt  Impressum  English  Strich  Warenkorb  Zum Warenkorb 
Rubrik Unternehmer: Der Mittelstand ist die Jobmaschine unserer Wirtschaft.
  SUCHE in  :   
Wirtschaft
Arbeit
Außenwirtschaft und Europa
Technologie und Energie
 
Unternehmer
Förderdatenbank
Unternehmensführung
Unternehmensübergabe
Aus Fehlern lernen
Auslandsgeschäfte
E-Business
Information / Beratung
Erfolgreicher Einstieg
Wissen per Internet
Einkauf / Verkauf
Marketing
Organisation der Netze
Sicherheit
E-Commerce und Recht
E-Commerce und Steuern
Industrie
 
Existenzgründer
Beruf und Karriere
Presse
 
Ministerium
Service
 
 

Sicherheit
  Vorteil: Das Internet ist ein offenes Netz, an dem jeder teilnehmen kann. Nachteil: Es gibt keine Aufsicht oder Kontrollinstanz, die für Sicherheit sorgt. Für die Sicherheit ist jeder Nutzer selbst verantwortlich. Dabei geht es nicht nur um den sicheren Transport von Daten. Auch die angeschlossenen Rechner können in Mitleidenschaft gezogen werden, und zwar nicht nur von außen, sondern auch von innen, also z.B. durch das Unternehmen selbst. Dies wird immer wieder übersehen.

Allgemeine Risiken

Viren
Ein Computer-Virus ist ein Programm, das z.B. durch E-Mail, Download, Austausch von Disketten in einen Computer gelangt, sich dort festsetzt und meist Datenbestände verändert oder löscht. Der Virus "I-Love-You" und seine Varianten haben gezeigt, wie groß ein solcher Schaden sein kann, sowohl bei privaten PCs, als auch in großen Unternehmensnetzen.

Trojanische Pferde
Ein Trojanisches Pferd ist ein Programm, das in ein möglichst attraktives "Wirtsprogramm" verdeckt eingebettet ist. Dieses "Wirtsprogramm" wird beispielsweise zum Download angeboten oder als Anhang an E-Mails verschickt. Öffnet man dieses "Wirtsprogramm", wird die verdeckte Software gestartet und richtet Schaden auf der Festplatte oder im Netz eines Nutzers an.

Fehlendes Bewusstsein, mangelnde Information

Fast immer kommen mehrere Gründe dafür zusammen, dass Viren und Trojanische Pferde tatsächlich Schäden anrichten können: fehlendes Bewusstsein für die IT-Sicherheitsproblematik allgemein sowie mangelnde Informationen seitens der Benutzer über konkrete Gefährdungen.

Technische Sicherheitslücken
Diese betreffen vor allem Netzwerke von Rechnern z.B. in Unternehmen (Client-Server-Netze), die an jeder Stelle mit derselben Standardsoftware (z.B. für E-Mail) ausgestattet sind. Dazu kommt, dass die Sicherheitslücken dieser Software womöglich auch noch bekannt sind. Dabei wird solche Standardsoftware nicht selten unnötigerweise dadurch zur "Zeitbombe", dass durchaus vorhandene Sicherheitsoptionen nicht aktiviert sind (z.B. eine Voreinstellung für die automatische Nachfrage, ob ein Cookie, das ein Internet-Kommunikationspartner anlegen will, wirklich angelegt werden soll).

Ungeschützte Kommunikation
Alle Arten der Kommunikation über das Internet sind anfällig für "Lauscher": aus technischen Gründen, vor allem aber auch wegen der Sorglosigkeit der Kommunikationspartner. E-Mails werden heutzutage gerne als das moderne Pendant zur Briefpost genutzt. Dabei kann eine E-Mail aber eigentlich nur mit dem Versenden von Postkarten gleichgesetzt werden, die mit Bleistift geschrieben sind. Gründe: Die Technik macht es möglich, dass jeder sie mitlesen und verändern, womöglich sogar aufhalten kann, ohne das dies nachweisbar wäre.

Fehlende Identifikation
Woher wissen Sie, wer Ihr Gegenüber - bei E-Mails oder im Internet - ist? In offenen Netzen wie dem Internet stehen hinter Namensangaben nicht unbedingt die damit assoziierten Personen oder Institutionen. Beispiel: Unter www.xy-bank.com findet sich nicht unbedingt die XY-Bank. Ebenso sind Absenderangaben bei E-Mails leicht zu fälschen.



Problemfelder für Unternehmen

Wer E-Commerce betreibt, will in der Regel ein breites Publikum erreichen. Das bedeutet: Auch im Internet stehen die "Türen" für Kunden weit offen. Folge: Ein E-Commerce-Anbieter muss auch immer mit unerwünschten Besuchern rechnen. Dabei werden meistens die Gefährdungen von außen als größtes Sicherheitsproblem gesehen. Darüber dürfen aber auch die weniger spektakulären, aber meist häufigeren internen Sicherheitsprobleme nicht vernachlässigt werden.

Gefährdungen von außen
Über Hacker-Angriffe wird immer wieder in der Presse berichtet, insbesondere dann, wenn die Sicherheitsvorkehrungen großer Unternehmen von Einzeltätern überwunden wurden (Goliath- bzw. Robin-Hood-Effekt) und sich dies auch noch eindrucksvoll präsentieren lässt. Hierzu gehören beispielweise Angriffe, bei denen

  • Webserver gezielt überlastet werden (Denial-of-Service-Attacken),
  • das Web-Angebot manipuliert wird, also die Internet-Darstellungen eines Unternehmens verändert werden (oft mit ehrverletzenden, rassistischen oder sexistischen Aussagen),
  • auf internen Servern gespeicherte Kundendaten gelesen und missbraucht werden,
  • Dienstleistungen unberechtigt in Anspruch genommen werden.

Gefährdungen von innen: Mängel
Es wird gern verdrängt, dass ein Großteil aller Sicherheitsprobleme hausgemacht ist und auf technischen Defekten, Irrtümern, Fahrlässigkeit und Fehlern eigener Mitarbeiter inklusive Management, aber auch externer Dienstleister beruhen. Dazu kommt: Tagtäglich fallen Betriebssysteme aus, die weniger stabil sind, als die Hersteller versprechen, weil Anwendungen nicht miteinander kompatibel sind oder Benutzer oder gar Administratoren ungenügend geschult sind für den Umgang mit den hochkomplexen IT-Systemen.

Gefährdungen von innen: Manipulation
Leider kommt auch die Manipulation von IT-Systemen durch die eigenen Mitarbeiter immer wieder vor. Daten oder Systeme können aus verschieden Motiven manipuliert werden: aus Rachegefühlen, um einen Schaden mutwillig zu erzeugen, um sich persönliche Vorteile zu verschaffen oder schlicht zur persönlichen Bereicherung. Manipulationen werden dadurch erleichtert, dass die organisatorischen bzw. technischen Hürden niedrig sind und gleichzeitig das Risiko, entdeckt zu werden, gering ist.

Gefährdungen von innen: mangelndes Sicherheitsbewusstsein
Ein mangelndes Sicherheitsbewusstsein führt schnell zu einem mangelhaften Umgang mit IT-Sicherheit. Es betrifft dann oft nicht nur einzelne IT-Sicherheitsprozesse, sondern nicht selten auch den gesamten IT-Betrieb. Häufig ist zu beobachten, dass zwar eine Vielzahl von organisatorischen oder technischen Sicherheitsverfahren vorhanden ist, diese jedoch durch den sorglosen Umgang mit der Technik wieder ausgehebelt werden. Ein typisches Beispiel hierfür sind die fast schon sprichwörtlichen Zettel am Monitor, auf denen alle Zugangspasswörter notiert sind.

Problemfelder für Kunden

Kundendaten nicht vertraulich behandelt
Viele potenzielle Kunden sind wegen ihrer Sicherheitsbedenken zurückhaltend beim Thema E-Commerce: Zu den Problemfeldern, auf die Kunden treffen können, gehört der unsichere bzw. unsensible Umgang mit ihren Kundendaten. Viele E-Commerce-Anbieter erfragen sinnvolle, aber auch überflüssige Angaben von ihren Kunden. Auf Seiten der Kunden ist hier das erstaunliche Verhalten zu beobachten, dass sie einerseits (z.B. bei Gewinnspielen) eine Unmenge persönlicher Daten bedenkenlos weitergeben, andererseits aber von Bestellungen über das Internet zurückscheuen, weil sie ihre Adresse angeben müssen. Allerdings haben eben auch viele Kunden gerade beim E-Commerce schlechte Erfahrungen damit gemacht, dass ihre Kundendaten z.B. an andere Unternehmen weitergegeben wurden: dass sie also einmal im Internet bestellt hatten und anschließend sowohl ihr Briefkasten an der Haustür als auch ihr E-Mail-Postfach mit Werbepost überschwemmt wurde.

Kundendaten nicht gesichert
Ein weiteres Problem: Kundendaten werden zuweilen unsicher gespeichert oder unsicher in andere Untersysteme der EDV weiter geleitet (z.B. Rechnungswesen). Einige Händler gehen so fahrlässig mit Kundendaten um, dass diese von Hackern ohne Probleme gelesen werden können.

"Wolf im Schafspelz": "Spoofing"

Viele Kunden, aber auch Anbieter, haben bereits negative Erfahrungen mit den verschiedenen Formen des "Spoofings" gemacht: wenn ein Kommunikationspartner vortäuscht, jemand Anderes zu sein, und dies normalerweise nicht mit guten Absichten.

Bezahlen über das Internet

Es gibt zwar diverse Verfahren, die zur Zahlungsabwicklung über das Internet entwickelt wurden. Die meisten sind auch sehr sicher, befinden sich aber noch im Stadium von Pilotversuchen. Andere, vielversprechende Verfahren wie CyberCash oder ecash wurden bereits wieder eingestellt. Es wird sicherlich noch eine Zeitlang dauern, bis sich die ersten Verfahren "internet-weit" etabliert haben. Bis dahin werden Händler auch Zahlungsverfahren als Übergangslösungen anbieten, die weniger sicher sind als die speziell für den Electronic-Commerce entwickelten Verfahren. Es werden zunächst meist dieselben Zahlungsvarianten wie im herkömmlichen Versandhandel angeboten, also Kreditkarte, Lieferung per Nachnahme, Lastschrift oder Überweisung. Wichtig: Unternehmen sollten ihren Kunden anbieten, personenbezogene Daten verschlüsselt zu senden (SSL).

Missbrauch von kostenpflichtigen Einwahlnummern

Kostenpflichtige Internet-Angebote werden häufig über die Telefonrechnung abgerechnet, indem die Benutzer über spezielle Einwahl-Programme auf kostenintensive Telefonnummern umgelenkt werden. Dies können beispielsweise 0190- bzw. 0900-Nummern sein.

Die dafür benutzten Webdialer sind Programme, die auf dem Rechner einen neuen Internetzugang einrichten. Nach dem Download und der Installation auf dem PC wählt sich der Dialer ins Internet ein. Eine zu dieser Zeit bereits bestehende Internetverbindung wird in der Regel zuvor getrennt. (Dies funktioniert allerdings nur über Wählzugänge, nicht jedoch über DSL oder ähnliche Techniken.

Die kostenpflichtigen Inhalte können dann über diese Verbindung abgerufen werden. Dabei ist die vom Webdialer benutzte Einwahlnummer maßgeblich für die Höhe der anfallenden Kosten. Sowohl pro Einwahl als auch pro Zeiteinheit können hohe Gebühren anfallen.

Was ursprünglich als einfach und anonyme Zahlungsmethode im Internet gedacht war, wird leider in letzter Zeit zunehmend missbraucht, um auf Internet-PCs vom Benutzer unbemerkt solche Webdialer zu installieren. Solche Webdialer können z. B. über Trojanische Pferde oder beim Aufruf einer Webseite unauffällig installiert werden. Sie verursachen massiv Kosten, ohne dass die Benutzer dies merken und ohne dass dem eine angemessene Leistung gegenübersteht.

Sicherheitsmaßnahmen

Standard-Sicherheitsmaßnahmen für jedes IT-System

Standardsicherheitsmaßnahmen für typische IT-Systeme mit "normalem" Schutzbedarf (betrifft ca. 90 % aller Anwender):

  • Daten regelmäßig sichern,  
  • typische Gefährdungen und Risiken erfassen: Wer weiß, welche Gefahren drohen, ist motiviert, sich dagegen zu wehren,
  • alle vorhandenen Software-Protokolle zu Sicherheitsproblemen nutzen: Welches Problem tritt wie oft auf?
  • ausführlich beschreiben, wie der Prozess aller Sicherheitsmaßnahmen bis zu einem angemessenen IT-Sicherheitsniveaus aussehen soll,
  • ausführlich beschreiben, wie Sicherheitsmaßnahmen umgesetzt werden sollen,
  • alle getroffenen Sicherheitsmaßnahmen dokumentieren,  
  • regelmäßig Sicherheit checken: Sind alle Maßnahmen umgesetzt?
  • ständig über Sicherheitslücken informieren,  
  • Soll-Ist-Vergleich des IT-Sicherheitsniveaus.

Virenschutz

Virenschutzprogramme überprüfen Datenträger auf eventuelle Computer-Viren. Eine solche Überprüfung sollte sowohl die am Arbeitsplatz benutzten Datenträger, als auch sämtliche Datenträgerzugänge (z.B. Internet, E-Mail) umfassen. Vorsicht: Es gibt immer wieder neue und andersartige Computer-Viren, so dass ältere Virenschutzprogramme mit der Zeit ihre Wirksamkeit verlieren, da sie nur die zu ihrem Entstehungszeitpunkt bekannten Computer-Viren berücksichtigen. Daher müssen sie regelmäßig (eigentlich täglich) aktualisiert werden.

Firewalls

Hierbei handelt es sich um einen Rechner, der einem lokalen Netzwerk (z.B. in einem Unternehmen) vorgeschaltet wird. Seine Aufgabe ist, das Netz vor unerlaubten Zugriffen aus dem Internet (z.B. Hacker) abzuschirmen. Dabei ist auch zu prüfen, inwieweit das zu schützende Unternehmensnetz unterteilt werden kann, so dass nicht jeder, sondern vielleicht nur ein geringer Teil mit dem Internet gekoppelt ist.

Intrusion Detection Systeme

Hacker-Angriffe auf ein Netzwerk lassen sich erkennen: in den Zugriffs-Daten, die jede Firewall durch einen Firewall-Administrator protokolliert. Schwierig ist allerdings, eine Attacke in der Fülle der Daten und bei der Vielzahl und Komplexität der verschiedenen Angriffsmöglichkeiten zu entdecken. Intrusion Detection (ID) und Intrusion Response (IR) Systeme können hierbei helfen.

ID-Systeme unterstützen einen durchschnittlichen Firewall-Administrator dabei, einen Angriff aus einer großen Anzahl von Protokolldaten herauszulesen. IR-Systeme dagegen dienen dazu, automatisch Gegenmaßnahmen einzuleiten, sobald ein Angriff erkannt wird. Zur Zeit sind Intrusion Detection Systeme allerdings kein Allheilmittel gegen Angriffe von außen, sondern noch mit diversen Problemen behaftet, so dass sie auf keinen Fall als Ersatz für andere Sicherheitsmaßnahmen, sondern nur als Ergänzung für diese eingesetzt werden sollten.

Verschlüsselung

Bei der Übertragung von Nachrichten über ein Netz sollten sich alle Kommunikationspartner darüber im klaren sein, dass unverschlüsselte Nachrichten während ihres gesamten Weges unbemerkt gelesen, geändert bzw. abgefangen werden können. Daher ist zu überlegen, ob die Nachrichten verschlüsselt und/oder digital signiert werden sollten. Auch innerhalb eines Unternehmens sollten alle sensiblen Geschäftsdaten vor den Augen Dritter durch Verschlüsselung geschützt werden. Besonders wichtig für die Verschlüsselung und z.B. für eine digitale Signatur ist:

  • Das verwendete Verschlüsselungsprogramm (Algorithmus) muss so konstruiert sein, dass es ohne dieses nicht möglich sein darf, einen verschlüsselten Text zu rekonstruieren. "Nicht möglich" bedeutet dabei, dass der erforderliche Aufwand zum "Knacken" des Algorithmus in keinem Verhältnis steht zum Informationsgewinn, den man so erzielen kann.
  • Das Verschlüsselungsprogramm muss gut funktionieren. Leider sind viele der in Unternehmen eingesetzten Verschlüsselungssysteme von zweifelhafter Qualität. Einige Programme haben Konstruktionsfehler oder sind unverständlich.
  • Das Verschlüsselungsprogramm und der verschlüsselte Text dürfen nicht zusammen auf einem Datenträger gespeichert werden. Es bietet sich an, den Schlüssel einzeln aufzubewahren. Dies kann dadurch geschehen, dass er schriftlich fixiert wird und anschließend wie eine Scheckkarte im Portemonnaie aufbewahrt wird. Werden die Schlüssel auf Disketten gespeichert, so sollten die Disketten getrennt vom IT-System aufbewahrt werden.

Digitale Signatur

Sicherheit im Internet

Lösungsmöglichkeiten in Unternehmen

Keine "Monokulturen"
Unternehmens-Netzwerke sollten nicht an jeder Stelle mit derselben Standardsoftware ausgestattet sein: also keine "Monokulturen, in der jeder einzelne Server und jeder PC von einem Virus befallen werden könnte. Dort, wo dennoch bekanntermaßen anfällige Software genutzt wird (z.B. für E-Mail), sollten die bestehenden Sicherheitslücken geschlossen werden. Zu diesem Zweck bieten die Hersteller kostenlose Zusatzsoftware (Patches) an.

Einsatz verbraucher- und datenschutzfreundlicher Technologien
Der Erfolg von E-Commerce-Unternehmungen steht und fällt mit der Gewährleistung von Daten- und Verbraucherschutz. Daher sollten Internet-Händler ihre Internet-Angebote so gestalten, dass diese auf der einen Seite möglichst wenig Risiken für die Benutzer beinhalten, auf der anderen Seite einfach zu bedienen sind. Dazu sollten die folgenden Empfehlungen berücksichtigt werden:

  • Es sollten keine unnötigen Cookies verwendet werden: Dateien also, die vom Internet-Browser automatisch angelegt werden und die einem WWW-Server zur Wiedererkennung eines Online-Besuchers dienen. Wenn dies aber trotzdem geschieht, sollte die Kunden über den Inhalt und den Zweck der Cookies aufgeklärt werden.
  • Es sollten möglichst keine aktiven Inhalte auf Unternehmens-Seiten enthalten sein (z.B. Formulare oder Bilder in Java, JavaScript, ActiveX). Grund: Aktive Inhalte können auf verschiedene Weise Software enthalten, die Schäden verursachen oder Daten auf Kundenrechnern ausspionieren kann und Kunden "vergraulen".
  • Jeder seriöse E-Commerce-Anbieter sollte für die Übermittlung aller personenbezogenen Daten die Möglichkeit anbieten, diese zu verschlüsseln. Hierzu wird häufig SSL (Secure Socket Layer) eingesetzt. SSL hat den Vorteil, dass es in jedem Standard-Browser integriert ist und die Kunden keine weitere Software installieren müssen.
  • SSL bietet aber keine Rundum-Sicherheit und sollte nicht überbewertet werden: So können die Kommunikationspartner zwar davon ausgehen, dass die empfangenen Informationen unverändert bleiben. Aber nicht davon, dass sie auch tatsächlich vom dem Absender stammen, dessen Name zu lesen ist. Oder ob sie inhaltlich korrekt sind. Beispielsweise kann ein Händler nicht sicher sein, ob die übermittelte Kreditkartennummer gültig ist.
  • Die Verwendung dieser Verfahren sagt auch nichts darüber aus, wie die empfangenen Informationen weiterverarbeitet werden, ob z.B. Kundenprofile, also "Karteikarten" von Kunden über deren Surf- und Einkaufsverhalten, deren Vorlieben und deren Zahlungsmöglichkeiten und -moral angelegt oder ob die Informationen vor unbefugten Zugriff gesichert werden. Solange aber die Verbreitung von geeigneten Zahlungsverfahren für den E-Commerce noch gering ist, ist die Verwendung von Transportsicherungsverfahren wie SSL auf jeden Fall besser als die unverschlüsselte Übertragung von Kreditkartennummern.

Identifikation
Unternehmen sollten ihre Kunden Plausibilitätsprüfungen unterziehen: Gibt es den Kunden überhaupt (wäre wenig wahrscheinlich bei einem Kunden "Mickey Maus")? Stimmt die Adresse (kaum möglich bei einer Adresse "Entenhausen")? Etc.

Sicherheitsmanagement
IT-Sicherheit kann nicht ausschließlich mit technischen Sicherheitsmaßnahmen erreicht werden. Wichtig ist, dass der Sicherheits-Gedanke in die Gesamtheit eines Unternehmens eingebettet ist. Hierzu gehört u.a. ein fundiertes IT-Sicherheitsmanagement, das für die sinnvolle Umsetzung und Erfolgskontrolle von IT-Sicherheitsmaßnahmen sorgt. In kleineren Betrieben kann hier ein IT-Sicherheitsbeauftragter ausreichen. In großen Unternehmen kümmert sich sinnvollerweise ein IT-Sicherheitsmanagement-Team um die vielfältigen Aufgaben zur Konzeption und Koordinierung der IT-Sicherheit.

Aufbau einer Sicherheitskultur
Um E-Commerce so sicher wie möglich zu betreiben, sollten verschiedene Vorsichtsmaßnehmen getroffen werden: organisatorischer, personeller, infrastruktureller und technischer Art. Um Schwachstellen auszuschließen, das Zusammenspiel aller Maßnahmen zu garantieren und Fehler zu vermeiden, sollte jedes Unternehmen eine eigene IT-Sicherheitskultur schaffen. Deren Elemente sind:

  • Vollständigkeit: Alle denkbaren Sicherheitseinstellungen für IT-Systeme werden eingerichtet und aktiviert;
  • Erreichbarkeit: Zutritt (in Räume), Zugang (zu PCs oder Netzwerken), Zugriff (auf bestimmte Daten) zu den IT-Systemen werden begrenzt;
  • Zuständigkeit: Wer ist wofür verantwortlich?  
  • Qualifikation: Das Personal wird für IT-Sicherheitsbelange sensibilisiert und so geschult, dass es in seinen Aufgabenbereichen maximale Sicherheit umsetzen kann;  
  • Regelmäßigkeit: Alle wichtigen Daten werden regelmäßig und sorgfältig gesichert (vor Verlust, aber auch vor unbefugtem Zugriff);
  • Standardsicherung: Es wird ein zuverlässiger Schutz vor Viren und Trojanischen Pferden aufgebaut;
  • Verschlüsselung: Alle wichtigen Daten werden verschlüsselt und digital signiert;
  • Isolierung: Jeder Netzanschluss wird gesichert (z.B. durch Firewalls, Intrusion Detection Systeme);
  • Weitsicht: Auch die Telekommunikationssysteme werden in die Sicherheitsbetrachtungen mit einbezogen (z.B. Sicherung von Telefonanlagen gegen Abhören, Sicherung der Datenübertragung per Telefonleitung);
  • Notfallvorsorge: Was tun im Fall von Datenverlust?

Achtung: Häufig ist zu beobachten, dass zwar eine Vielzahl von organisatorischen oder technischen Sicherheitsverfahren vorhanden sind, diese jedoch durch den sorglosen Umgang mit der Technik wieder ausgehebelt werden.

Sicherheit im Internet

Aufklärung der Kunden

Ein Kunde will uneingeschränkt im Internet "surfen" können, kennt aber meist nicht alle Gefährdungen und Sicherheitsmaßnahmen. Ob die hierin erfüllen wird, hängt entscheidend davon ab, ob insbesondere die Verbraucher von der Zuverlässigkeit und Sicherheit der neuen Dienstleistungen und Angebote überzeugt werden können. Daher sollten sensible Daten wie Bestellungen oder Zahlungsanweisungen nicht ohne zusätzliche Sicherheitsmaßnahmen im Internet übertragen werden.

E-Commerce-Anbieter sollten ihre Kunden daher darüber aufklären,

  • was das Unternehmen leistet, um den Kunden und seine Daten bestmöglichst zu schützen,
  • welche Möglichkeiten ein Kunde hat, um sich selbst zu schützen.

Kunden-Info: Was tut das Unternehmen?

Insbesondere sollte den Konsumenten erklärt werden, in welchem Umfang und wofür Daten über sie erhoben werden und wie diese vor Missbrauch geschützt werden. Beispiel: Falls Cookies gesetzt werden, sollte beispielsweise der Kunde darüber informiert werden, welchem Zweck die Cookies dienen sollen und wie lange die Informationen gespeichert werden. Dies entspricht übrigens auch den Forderungen des Teledienstedatenschutzgesetzes (TDDSG). Hier heißt es (§3, Abs. 5), dass "der Nutzer vor der Erhebung über Art, Umfang, Ort und Zweck der Erhebung, Verarbeitung und Nutzung personenbezogener Daten zu unterrichten ist."

Kunden-Info: Was kann der Kunde tun?

Kunden sollten immer die Möglichkeit haben, zwischen verschiedenen Alternativen zu wählen: vor allem dann, wenn Techniken oder Methoden eingesetzt werden, bei denen sie die erfahrungsgemäß Sicherheitsbedenken haben. Wenn beispielsweise ein Web-Designer der Meinung ist, einen Auftritt nicht ohne aktive Inhalte gestalten zu können, sollten sicherheitsbewusste Kunden nicht begrüßt werden mit Texten wie "Ihr Browser ist nicht für unseren Internet-Auftritt optimiert (!). Bitte installieren sie einen Browser, der ActiveX verarbeiten kann." Wesentlich kundenfreundlicher ist es, auf den Einstiegsseiten eine Auswahl zu bieten, in der z.B. darauf hingewiesen wird, dass für eine Demonstration JavaScript im Browser eingeschaltet sein muss, aber diese auch ohne JavaScript als einfache Bilderfolge (Screenshots) betrachtet werden kann.

Schutz vor 0190-Dialern

Unternehmen sollten die Kunden darüber aufklären, was Webdialer sind und wie sich solche bösartigen Programme verbreiten. Zu jedem Internet-PC sollten Einzelverbindungsnachweise vom Telekommunikationsanbieter verlangt werden. "Teure" Telefonnummern wie 0190-Nummern sollten gesperrt werden. Aktive Inhalte wie ActiveX sollten deaktiviert werden. Generell sollten keine Programme installiert werden, die angeblich kostenlosen oder schnellere Verbindungen zu Webseiten mit dubiosen Inhalten versprechen.
Weiterführende Informationen
Versicherungen
mehr Pfeilgrafik: weiter zum...
 
 
IT-Grundschutzhandbuch Pfeilgrafik: weiter zum...
 
Service
Druckansicht Druckansicht
   
E-Mail-Abonnement E-Mail-Abonnement
   

 

 
 Wirtschaft   Arbeit   Außenwirtschaft und Europa   Technologie und Energie   Unternehmer   Existenzgründer   Beruf und Karriere   Presse   Ministerium   Service 
 Lexikon   Benutzerhinweise   Sitemap   Kontakt   Impressum   English 
topPfeilgrafik: nach oben