Information

E-Commerce-Sicherheit

E-Commerce-Sicherheit

Sicherheit - der Schutzzustand vor möglichen Schäden, die Fähigkeit, gefährliche Einflüsse einzudämmen oder abzuwehren sowie den verursachten Schaden schnell zu kompensieren. Sicherheit bedeutet, dass das System Stabilität, Stabilität und die Möglichkeit der Selbstentwicklung beibehält. Eines der beliebtesten Diskussionsthemen ist die E-Commerce-Sicherheit.

Trotz aller wertvollen Meinungen und Aussagen gibt es bisher keinen praktischen, "irdischen" Leitfaden für das, was immer noch Gegenstand der E-Commerce-Sicherheit ist. Dieser Artikel bietet einige Standpunkte zu diesem Thema und versucht, den Mythos von der Realität zu trennen. Lassen Sie uns versuchen, einige grundlegende Fragen zu beantworten, die für Experten offensichtlich sind.

Systeme können sicher gemacht werden. Systeme können nur vor bekannten Bedrohungen geschützt werden, wobei die Anzahl der damit verbundenen Risiken auf ein akzeptables Maß reduziert wird. Nur Sie können das richtige Gleichgewicht zwischen dem gewünschten Grad an Risikominderung und den Kosten der Lösung bestimmen. Sicherheit im Allgemeinen ist einer der Aspekte des Risikomanagements. Informationssicherheit ist eine Kombination aus gesundem Menschenverstand, Geschäftsrisikomanagement und grundlegenden technischen Fähigkeiten unter der Kontrolle eines angemessenen Managements, dem klugen Einsatz spezialisierter Produkte, Fähigkeiten und Fachkenntnissen sowie den richtigen Entwicklungstechnologien. Gleichzeitig ist eine Website nur ein Mittel, um einem Verbraucher Informationen zu liefern.

Die Sicherheit der Website ist ein rein technisches Problem. Zu oft ist Sicherheit eher eine Kontrolle über den Entwicklungsprozess, eine ordnungsgemäße Verwaltung der Betriebssystemkonfiguration und eine allgemein konsistente Standortverwaltung. Die eigentliche Sicherheit liegt in Ihrer direkten Kontrolle. Was bei der Entwicklung interner Systeme akzeptabel ist, ist möglicherweise nicht für Dienste geeignet, die vollständig gemeinsam genutzt werden. Systemprobleme, von denen nur wenige vertrauenswürdige Mitarbeiter in einem Unternehmen betroffen sind, treten beim Wechsel in gemeinsam genutzte Umgebungen auf.

Die Medien berichten regelmäßig über alle Sicherheitslücken und -risiken. Oft berichten die Medien nur über jene Probleme, die die Aufmerksamkeit aller auf sich ziehen können und keine besonderen Fähigkeiten erfordern, um das zugrunde liegende Problem zu verstehen. Solche Nachrichten spiegeln aus Sicherheitsgründen selten echte Bedrohungen für das Unternehmen wider und haben häufig überhaupt nichts mit Sicherheit zu tun.

Kreditkarteninformationen im Internet sind nicht sicher. Tatsächlich sind Kreditkarteninformationen bei der Übertragung über das Internet viel weniger anfällig für Diebstahl als in einem nahe gelegenen Geschäft oder Restaurant. Ein skrupelloses Unternehmen ist möglicherweise an der unbefugten Verwendung solcher Informationen interessiert, und wie Sie damit arbeiten - über das Internet oder nicht - ist nicht mehr so ​​wichtig. Es ist möglich, die Sicherheit der tatsächlich übertragenen Informationen durch Verwendung sicherer Übertragungskanäle und zuverlässiger Standorte zu erhöhen. Ein wesentlicher Bestandteil vieler E-Commerce-Systeme ist die Notwendigkeit einer zuverlässigen Verbraucheridentifikation. Die Methode der Identifizierung wirkt sich nicht nur direkt auf den Grad des Risikos aus, sondern auch auf die Art der strafrechtlichen Verfolgung.

Passwörter identifizieren Personen. Kennwörter bieten nur eine grundlegende Überprüfung, ob eine zur Verwendung eines bestimmten Systems berechtigte Person eine Verbindung herstellt. Menschen neigen dazu, ihre Passwörter nicht zu sehr vor anderen zu verbergen - insbesondere vor nahen Verwandten und Kollegen. Eine ausgefeiltere Authentifizierungstechnologie kann wesentlich kostengünstiger sein. Die verwendete Authentifizierungsstufe sollte das Risiko des Zugriffs zufälliger Personen auf Informationen widerspiegeln, unabhängig von der Zustimmung des tatsächlichen Eigentümers.

Nach der Konfiguration und Installation bleibt eine Sicherheitslösung im Laufe der Zeit zuverlässig. Unternehmen installieren Systeme nicht immer wie erwartet, geschäftliche Änderungen und Bedrohungen. Sie müssen sicherstellen, dass die Systeme Sicherheitsprofile verwalten und dass Ihr Profil kontinuierlich für die Geschäfts- und Umweltentwicklung überprüft wird. Technologie ist ebenso wichtig, sollte jedoch als Teil eines breiteren Spektrums von Sicherheitskontrollen angesehen werden. Firewalls werden allgemein als Lösung zum Schutz des Inhalts von E-Commerce-Websites bezeichnet, aber auch diese haben ihre Schwachstellen.

Firewalls sind undurchdringlich. Durch die Implementierung einer Firewall können Sie sich auf Ihre Lorbeeren verlassen und darauf vertrauen, dass Angreifer niemals durchkommen. Das Problem ist, dass sie so konfiguriert werden müssen, dass immer noch Verkehr durch sie fließt, und zwar in beide Richtungen. Sie müssen sorgfältig überlegen, was Sie schützen möchten. Das Verhindern eines Angriffs auf die Homepage Ihrer Site unterscheidet sich erheblich vom Verhindern, dass Ihr Webserver als Pfad zu Ihren Serversystemen verwendet wird, und die Firewall-Anforderungen sind in beiden Fällen sehr unterschiedlich. Viele Systeme erfordern eine ausgefeilte mehrschichtige Sicherheit, um sicherzustellen, dass vertrauliche Daten nur autorisierten Benutzern zugänglich sind. E-Mail ist normalerweise der Schlüssel zu jeder E-Commerce-Website. Es bringt jedoch eine Reihe von Sicherheitsherausforderungen mit sich, die nicht ignoriert werden können und in zwei Hauptkategorien fallen:
Schutz von E-Mail-Inhalten - diese können verstümmelt oder gelesen werden.
Schützen Sie Ihr System vor eingehenden E-Mail-Angriffen.
Wenn Sie vertraulich oder sensibel für die Integrität von E-Mail-Informationen arbeiten möchten, gibt es viele Produkte, die diese schützen.

Viren sind kein Problem mehr. Viren stellen immer noch eine ernsthafte Bedrohung dar. Das neueste Hobby der Virenersteller sind die an Briefe angehängten Dateien, die beim Öffnen ein Makro ausführen, das vom Empfänger nicht autorisierte Aktionen ausführt. Es werden aber auch andere Mittel zur Verbreitung von Viren entwickelt - beispielsweise über HTML-Webseiten. Sie müssen sicherstellen, dass Ihre Antivirenprodukte auf dem neuesten Stand sind. Wenn sie so konzipiert sind, dass sie nach Viren suchen, können sie möglicherweise nur Viren erkennen, nicht aber beseitigen.

Ein Unternehmen, das über ein Public-Key-Zertifikat einer angesehenen Zertifizierungsstelle (CA) verfügt, ist bereits selbst vertrauenswürdig. Das Zertifikat impliziert lediglich Folgendes: "Zum Zeitpunkt der Zertifikatanforderung habe ich, die Zertifizierungsstelle, bekannte Aktionen durchgeführt, um die Identität dieses Unternehmens zu überprüfen. Sie sind möglicherweise zufrieden oder nicht. Ich bin mit diesem Unternehmen nicht vertraut und weiß nicht, ob es vertrauenswürdig ist. und sogar - was genau geht sie etwas an. Bis ich informiert bin, dass der öffentliche Schlüssel diskreditiert wurde, weiß ich nicht einmal, dass er beispielsweise gestohlen oder an eine andere Person übertragen wurde, und es liegt an Ihnen, dies zu überprüfen, nicht ist storniert. Meine Haftung beschränkt sich auf die Bestimmungen der Richtlinienerklärung, die Sie lesen sollten, bevor Sie die mit diesem Unternehmen verbundenen Schlüssel verwenden. "

Digitale Signaturen sind das elektronische Äquivalent zu handschriftlichen Signaturen. Es gibt einige Ähnlichkeiten, aber es gibt viele sehr signifikante Unterschiede, so dass es nicht zumutbar ist, diese beiden Arten von Signaturen als gleich zu betrachten. Ihre Zuverlässigkeit hängt auch davon ab, wie streng festgestellt wird, dass der private Schlüssel tatsächlich individuell verwendet wird. Die Hauptunterschiede sind auch:
- Handschriftliche Signaturen unterliegen vollständig der Kontrolle des Unterzeichners, während digitale Signaturen mit einem Computer und einer Software erstellt werden, die möglicherweise auf eine vertrauenswürdige Weise funktionieren oder nicht.
- Handschriftliche Signaturen haben im Gegensatz zu digitalen ein kopierbares Original.
- Handschriftliche Unterschriften sind nicht zu eng mit dem verbunden, was mit ihnen unterschrieben ist. Der Inhalt der unterschriebenen Papiere kann nach der Unterzeichnung geändert werden. Digitale Signaturen sind eng mit dem spezifischen Inhalt der von ihnen signierten Daten verknüpft.
- Die Möglichkeit, eine handschriftliche Signatur durchzuführen, kann im Gegensatz zu einem privaten Schlüssel nicht gestohlen werden.
- Handschriftliche Signaturen können mit unterschiedlichem Ähnlichkeitsgrad kopiert werden, während Kopien digitaler Signaturen nur mit gestohlenen Schlüsseln erstellt werden können und eine 100% ige Identität der Signatur des tatsächlichen Besitzers des Schlüssels aufweisen.
- Bei einigen Authentifizierungsprotokollen müssen Sie die Daten in Ihrem Namen digital signieren, und Sie wissen nie, was signiert wurde. Sie können gezwungen sein, fast alles digital zu signieren.

Sicherheitsprodukte können genau wie Business-Suiten nach ihrer Funktionalität bewertet werden. Sie erfordern auch eine Bewertung der Sicherheit ihrer Implementierung und der Bedrohungen, vor denen sie nicht schützen können (die möglicherweise nicht dokumentiert sind). Im Allgemeinen werden Geschäftsanwendungen aufgrund ihrer Funktionalität und Benutzerfreundlichkeit ausgewählt. Es wird oft als selbstverständlich angesehen, dass die Funktionen wie erwartet ausgeführt werden (z. B. berechnet das Steuerberechnungspaket die Steuern korrekt). Dies ist jedoch für Sicherheitsprodukte nicht fair. Die größte Frage ist hier, wie die Schutzfunktionen implementiert werden. Beispielsweise bietet ein Paket möglicherweise eine leistungsstarke Kennwortauthentifizierung für Benutzer, speichert jedoch Kennwörter in einer einfachen Textdatei, die fast jeder lesen kann. Und das wäre alles andere als offensichtlich und könnte ein falsches Sicherheitsgefühl erzeugen.

Sicherheitsprodukte sind einfach zu installieren. Die meisten Produkte werden mit Standardeinstellungen geliefert. Unternehmen haben jedoch unterschiedliche Sicherheitsrichtlinien und Konfigurationen aller Systeme, und Workstations stimmen selten überein. In der Praxis sollte die Installation auf die Sicherheitsrichtlinien des Unternehmens und die jeweiligen Plattformkonfigurationen zugeschnitten sein. Die Validierung von Servicemechanismen für eine schnell wachsende Anzahl von Benutzern und andere Attribute zur Schaffung einer sicheren Umgebung für Hunderte vorhandener Benutzer kann ein komplexer und langwieriger Prozess sein.

PKI-Produkte schützen den E-Commerce sofort. PKI-Produkte bieten ein grundlegendes Toolkit zur Implementierung von Sicherheitslösungen, jedoch nur als Teil des gesamten Pakets, das auch rechtliche, verfahrenstechnische und andere technische Elemente enthält. In der Praxis ist dies oft viel schwieriger und teurer als die Installation einer Basis-PKI.

Sicherheitsberater verdienen absolutes Vertrauen. Denken Sie daran, dass Sicherheitsberater Zugriff auf alle Ihre sensibelsten Prozesse und Daten haben. Wenn die eingeladenen Berater nicht für ein seriöses Unternehmen arbeiten, müssen Sie von einer uninteressierten Quelle Informationen über ihre Kompetenz und Erfahrung einholen - sprechen Sie beispielsweise mit ihren früheren Kunden. Es gibt viele Berater, die behaupten, Informationssicherheitsfachleute zu sein, aber tatsächlich wenig oder gar keine Ahnung haben, was es ist. Sie können sogar ein falsches Sicherheitsgefühl erzeugen, indem sie Sie davon überzeugen, dass Ihre Systeme sicherer sind als sie wirklich sind.

Schlussfolgerungen.

Bevor Sie die aktuellsten Sicherheitsbroschüren durchblättern, sollten Sie die wichtigsten Punkte klären:
- Berechnen Sie sorgfältig die Arten von Risiken, die Ihr E-Commerce-Geschäft bedrohen, und was sie Sie kosten würden, und geben Sie nicht mehr für den Schutz aus als diese geschätzten Risikokosten.
- Ein Gleichgewicht zwischen verfahrenstechnischen und technischen Sicherheitskontrollen herstellen.
- Entwicklung eines vollständigen Projekts, bei dem Sicherheit eine der grundlegenden Komponenten darstellt und nach einiger Überlegung nicht post facto eingeführt wird.
- Wählen Sie für dieses Projekt geeignete Sicherheitsprodukte aus.

Schau das Video: Webinar-Aufzeichnung: Crawl Time Teil 5. PDFs, Markups, URLs u0026 Hreflang-Tags (September 2020).