07.03.2017 Expertentipps aus der Praxis

Sichere Online-Shops erkennen

Von: Berthold Wesseler

Wie man seriöse Webshops erkennt, erklären die beiden Experten Dr. Helmut Wißmann, Geschäftsführer der Paydirekt GmbH, und Michael Wolf vom Hamburger Magento-Partner Tudock GmbH.

  • Dr. Helmut Wißmann, Geschäftsführer der Paydirekt GmbH, verantwortlich für IT, Operations und Fraud

    Dr. Helmut Wißmann, Geschäftsführer der Paydirekt GmbH, verantwortlich für IT, Operations und Fraud

  • Michael Wolf, Gründer  und Geschäftsführer des Hamburger Magento- Partners Tudock GmbH

    Michael Wolf, Gründer und Geschäftsführer des Hamburger Magento- Partners Tudock GmbH

Auch im vergangenen Jahr ist der Online-Handel wieder zweistellig gewachsen. 2016 haben deutsche Internethändler erstmals mehr als 50 Mrd. Euro umgesetzt, schätzt das Kölner Institut für Handelsforschung. Zu dem Wachstum trägt auch der B2B-Online-Handel bei, weil Unternehmen damit ihre Beschaffungsprozesse optimieren können.

Allerdings schüren Hacker und unseriöse Online-Händler die Sicherheitsbedenken von Anbietern und Kunden gleichermaßen. Dennoch traut sich die Mehrheit der Deutschen durchaus zu, seriöse von unseriösen Online-Händlern zu unterscheiden, zeigt eine aktuelle Studie des Verbandes Bitkom.

Drei von vier Online-Einkäufern (73 Prozent) geben demnach beispielsweise an, Fake-Shops im E-Commerce entlarven zu können. Allerdings gibt es gewichtige Altersunterschiede bei der Selbsteinschätzung: Ältere fühlen sich deutlich unsicherer als Jüngere. Jeder Zweite schaut zur Sicherheit auf das Gütesiegel und ins Impressum der Online-Shops.

Der Bitkom-Tipp an die Surfer: Immer mehrere Kriterien zur Vertrauenswürdigkeit zu Rate ziehen. In IT-MITTELSTAND geben zwei ausgewiesene Experten weitere Tipps aus der Praxis.

ITM: An welchen Anhaltspunkten können Besucher eines Online-Shops erkennen, dass sie dem Betreiber vertrauen können? Gibt es z.B. aussagekräftige Prüf-/Gütesiegel oder Zertifizierungen?
Michael Wolf:
Ja, die gibt es. Allerdings sollten Konsumenten nicht allein auf Gütesiegel vertrauen, da die Zertifizierungskriterien je nach Siegel sehr unterschiedlich ausfallen können und somit nicht zwangsläufig aussagekräftig sind. Aus eigener Erfahrung wissen wir, dass die Tüv-Süd-Zertifizierung Sicherheitsaspekte umfangreich berücksichtigt.

Am besten ist es in der Tat, Besucher achten auf mehrere Anhaltspunkte gleichzeitig. Zu diesen gehört auch der erste Eindruck:

  • Wirkt der Shop hochwertig und übersichtlich?
  • Wie präsentiert der Anbieter sich und seine Produkte?
  • Wirkt das Produktangebot aktuell und authentisch?
  • Sind Texte sorgfältig formuliert oder strotzen diese vor Rechtschreibfehlern?
  • Welchen Eindruck vermitteln Shop- und Kundenbewertungen?

Die Händler selbst müssen das Vertrauen schaffen und natürlich für die nötige Sicherheit sorgen. Das umfasst u. a. auch die rechtlichen Rahmenbedingungen. Gibt es ein Impressum, Informationen zu den Kosten, zum Widerrufsrecht, Datenschutz und den AGB? Auch eine direkte Kontaktmöglichkeit und ausreichend Hilfestellung spielen eine Rolle.

Ein wichtiger Indikator ist zudem die Verwendung eines gültigen SSL-Zertifikats. Der Besucher erkennt dies an dem der eigentlichen Internetadresse vorangestellten „https“ sowie dem grünen Vorhängeschloss. Neben dem gewöhnlichen SSL-Zertifikat existiert noch das so genannte Extended-Validation-Zertifikat, kurz EV-SSL, was eine noch höhere Sicherheit garantiert.

Dr. Helmut Wißmann: Um zu bewerten, ob man in einem Shop sicher einkaufen kann, bieten verschiedene Bewertungssysteme Orientierung. Doch ob Kundendaten wirklich sicher sind oder ob ein Online-Shop insgesamt seriös und verlässlich ist, ist nicht so leicht zu erkennen. Neben gängigen Sicherheitsaspekten, wie der SSL-Verschlüsselung, spielt auch der Bezahlprozess eine Rolle – oder ob ein Käuferschutz angeboten wird.

Gerade hier bieten wir besondere Sicherheit: Sensible Daten wie die Kontonummer verbleiben in der sicheren Bankumgebung. Im Unterschied zu vielen anderen Online-Bezahlverfahren sind keine externen Dritten eingeschaltet. Weder Warenkorbdaten, noch das Käuferprofil werden an Dritte weitergegeben.

Wird eine Ware nicht geliefert, kann der Paydirekt-Käuferschutz in Anspruch genommen werden. Weist der Händler den Versand der Ware nicht nach, bekommt der Kunde den Kaufbetrag samt Versandkosten direkt auf sein Girokonto erstattet.

Und: Alle Händler, die Paydirekt anbieten, haben als Kunden einer deutschen Bank oder Sparkasse entsprechende Überprüfungen nach deutschen Standards durchlaufen. Insofern lohnt nicht nur ein Blick auf Gütesiegel oder Bewertungen, sondern auch auf die angebotenen Zahlverfahren.

ITM: Was ist die wichtigste Maßnahme, mit der Betreiber von Online-Shops für die nötige Sicherheit der Transaktionen sorgen können?
Wißmann:
Hier gibt es eine Vielzahl konzeptioneller, organisatorischer und logisch-technischer Maßnahmen. Eine der wichtigsten Maßnahmen sehe ich dabei in der Implementierung eines angemessenen Informationssicherheits-Management-Prozesses. Hiermit berücksichtigt man eine Vielzahl von Einzelmaßnahmen, die den sicheren Betrieb eines Online-Shops unterstützen.

Wolf: Wichtig ist vor allem die Verschlüsselung im Shop selbst und natürlich zu den Zahlungsanbietern. Hier sind moderne Verschlüsselungsverfahren zu verwenden. Selbstverständlich sind auch eine aktuelle Software-Basis für Shop, Server und integrierte Applikationen unabdingbar. So sind Shop-Betreiber gesetzlich verpflichtet, sicherheitsrelevante Patches und Updates zeitnah einzuspielen bzw. einspielen zu lassen. Die Passwortsicherheit spielt ebenfalls eine zentrale Rolle. Empfehlenswert ist es beispielsweise, beim Anlegen von Zugängen und Kundenkonten einen Check der Passwortstärke einzubauen und unsichere Passwörter nicht zu akzeptieren.

Es sollten aber auch alle Verantwortlichen für die Themen Sicherheit und Datenschutz sensibilisiert und entsprechend geschult werden! Übrigens können Shop-Zertifizierungen mit regelmäßigen Audits helfen, das notwendige Sicherheitsbewusstsein und Know-how aufzubauen.

ITM: Beispiel Bezahlen: In diesem sensiblen Thema herrschen die größten Sicherheitsbedenken, sowohl bei den Händlern als auch bei den Käufern. Welche Fortschritte sehen Sie hier in punkto Sicherheit – und welche Rolle spielen Zahlungsdienstleister dabei?
Wolf:
Grundsätzlich ist das Ziel beim Bezahlen, den Betrug zu bekämpfen und das Vertrauen der Verbraucher zu stärken. Verschiedene gesetzliche Regelungen versuchen bei der Erreichung des Ziels zu unterstützen. Die Zahlungsanbieter sind dann natürlich in der Pflicht, die gesetzlichen Bestimmungen rechtzeitig umzusetzen. So wie beispielsweise Ende 2015 mit dem Anforderungskatalog Masi (Mindestanforderungen an die Sicherheit von Internetzahlungen) oder dem PSD II (Payment Service Directive II), dessen Anforderungen bis 2018 umgesetzt werden müssen.

Käufer haben beim Bezahlen schon immer den Anspruch nach größerer Bequemlichkeit und mehr Sicherheit. Die nennenswerteste für den Kunden spürbare Entwicklung ist sicherlich die Zwei-Faktoren-Authentifizierung. Diese verlangt, dass bei einer Zahlung im Internet die Identität des Käufers durch zwei verschiedene Merkmale überprüft wird. Aktuell ist gerade im Bereich Mobile Payment die Nutzung biometrischer Merkmale ein heißer Trend.

Leider entpuppen sich die neuen Sicherheitsmechanismen mitunter als Usability-Hürde im Checkout, die zu Kaufabbrüchen führt. Potentielle Käufer schließen einen Kaufvorgang mit höherer Wahrscheinlichkeit nämlich dann nicht ab, wenn das Zahlverfahren zu aufwendig ist.

Wißmann: Die Sicherheit des Bezahlprozesses ist vollkommen zurecht ein wichtiges Thema, was für Käufer und Händler gleichermaßen gilt. Als Käufer möchte ich ein einfaches, intuitiv nutzbares Bezahlverfahren, das Datenschutz und Sicherheit nicht aus den Augen verliert. Und ich möchte mich nicht überall anmelden, sensible Datenspuren, geschweige denn meine Kontodaten hinterlassen. Als Händler möchte ich mich auf meine Kernkompetenz konzentrieren und meinen Kunden höchstmögliche Sicherheit bieten. Sie sollen schließlich wieder bei mir und nicht bei der Konkurrenz einkaufen.

Mit Paydirekt werden exakt diese Bedürfnisse adressiert. Online-Bezahlsysteme sind in Deutschland zwar etabliert – der eigenen Bank oder Sparkasse wird in Sachen Datenschutz und Bankgeheimnis jedoch die höchste Kompetenz zugeschrieben. Auch Payment-Anbieter sollten dem Bedürfnis nach Sicherheit entsprechend Rechnung tragen, damit das Geld auch da landet, wo es hin soll.

Bildquelle: Thinkstock / iStock

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH