Mike Kuketz
1. August 2016 | 17:56 Uhr

Webseiten-Siegel: Eine lohnenswerte Investition?

Letzte Woche wurde der Elektronikversand Pollin gehackt – das allein wäre keine Kurzmeldung wert, daran haben wir uns mittlerweile »gewöhnt«. Vielmehr möchte ich die diversen Siegel und Zertifikate in Frage stellen, mit denen Webseitenbetreiber und vor allem Shops ihre Seite tapezieren. Der Hintergrund ist meist: Vertrauensbildung gegenüber dem Kunden durch eine Zertifizierung.

Auf dem Shop von Pollin finden wir das EHI-Siegel, das European Trustmark, Paypal, Sofortüberweisung und das Siegel für eine »SSL-Verschlüsselung beim Bestellvorgang«. Um bspw. das EHI-Siegel zu erhalten, muss ein Betreiber eine »seriöse Datenschutzpraxis« erfüllen – definiert unter Paragraph §13 der Prüf-Kriterien der EHI Retail Institute GmbH. Scheinbar wird allerdings nicht geprüft, ob ein Shop in ausreichendem Maße gegen Verlust, Manipulationen und andere Bedrohungen geschützt ist. Die Datensicherheit wird demnach vernachlässigt, obwohl eine hinreichende Datensicherheit eine Voraussetzung für effektiven Datenschutz darstellt. Lediglich unter §17 »Angemessene Sicherheit« wird das Thema Datensicherheit kurz gestreift. Ich zitiere mal:

Basissicherheit: Bei der Übertragung von persönlichen Zahlungsinformationen (Kreditkartennummer, Kontodatenetc.) ist (im Rahmen des Protokolls SSL) eine Schlüssellänge von 1024 Bit für den Schlüsselaustausch und eine starke Kryptographie (z. B. Triple DES 168/112 Bit) für die Verschlüsselung der Zahlungsinformationen zu verwenden.

1024-Bit und Triple DES? Vor wieviel Jahrzehnten war das denn aktuell?

Das Siegel beleuchtet folglich lediglich Teilaspekte und nicht das »große Ganze«. Sprich technisch, sowie organisatorisch relevante Prüfungen zur Gewährleistung der Datensicherheit wurden im Fall Pollin offenbar nicht durchgeführt. Insofern ist die Aussagekraft eines solchen Siegels / Zertifikats auf der Pollin Webseite -hinsichtlich der Datensicherheit und damit auch dem Datenschutz- verschwindend gering. Nicht viel anders wird es wohl bei vielen anderen Shops aussehen. Wir müssen uns also nicht wundern, wenn schon morgen der nächste Shop gehackt wird und wieder sensible Kundendaten gestohlen werden.

Der Kuketz-Blog ist spendenfinanziert! Mitmachen ➡
Ähnliche Beiträge
SSL
12. September 2013

NSA abhörsichere SSL-Verschlüsselung für Apache und nginx

Mit den richtigen SSL-Cipher-Suites für Apache und nginx hat die NSA derzeit keine Chance verschlüsselte Kommunikation zu dekodieren.
arkOS
7. Dezember 2013

Projekt arkOS: Installation SSL-Zertifikat

Einrichtung einer SSL-verschlüsselten Kommunikation für arkOS.
GnuPG-Key
10. Juni 2019

GnuPG-Schlüsselerstellung und Smartcard-Transfer – Nitrokey Teil2

Anleitung zur Generierung eines GPG-Schlüsselpärchens inklusive der anschließenden Übertragung auf die sichere Smartcard des Nitrokeys.
Nitrokey
3. Juni 2019

Zwei Schlüssel für alle Fälle – Nitrokey Teil1

Ein Nitrokey unterstützt verschiedene Szenarien wie E-Mail-Verschlüsselung oder Zwei-Faktor-Authentifizierung (2FA).
Postfix
28. Februar 2018

Postfix: TLS-Konfiguration mit ECDSA- / RSA-Zertifikaten

Vorstellung einer sauberen, abwärtskompatiblen aber dennoch modernen TLS-Konfiguration für Postfix mit ECDSA- / RSA-Zertifikaten.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.