Gütesiegel, Datenschutz, Bezahlvielfalt: Sicherheitsaspekte im E-Commerce müssen sichtbar sein
Wer sich zum Einkaufen auf Onlineshopping-Portale begibt, sieht sich zum eigenen Schutz vor Datenmissbrauch mit der Sicherheitsfrage konfrontiert. Wenn Online-Händler Kundendaten durch TLS-Verschlüsselung nicht ausreichend sichern oder ihre Zertifizierungen wie “Trusted Shops“ und “EHI geprüfter Online-Shop“ nicht sichtbar machen, laufen sie Gefahr ihre Kunden an die Konkurrenz zu verlieren. Aber auch die Auswahl an Bezahlmöglichkeiten sollte stimmen, um den Online-Shop für den Konsumenten attraktiv zu machen.
Hackerangriffe verdeutlichen regelmäßig, unzureichende Sicherheitsmaßnahmen von Webbetreibern
Die Frage nach Sicherheit im Netz stellt sich spätestens dann, wenn neue Schwachstellen ans Tageslicht kommen. Jüngstes Beispiel: der Klau von Kundendaten über den Online-Shop der Brauerei König Pilsener, der Nachholbedarf im Sicherheitssystem offensichtlich gemacht hat. Namen, Adressen, Geburtsdaten, verschlüsselte Passwörter und Zahlungsdaten wie Bankverbindungen gerieten dabei in die Hände von Hackern. Wie die WAZ berichtete handelte es sich hierbei nach Unternehmensangaben um 4.300 potentiell betroffene Kunden. Dabei geht es um Daten wie Namen, Wohn- und Mailadressen. Bei 190 weiteren Kunden konnte zudem nicht ausgeschlossen werden, dass Hacker auch Zugriff auf Zahlungsdaten wie Bankverbindungen hatten. Umgehend habe man alle notwendigen Schritte ergriffen um diese Sicherheitslücke zu schließen, so Dr. Werner Wolf, Sprecher der Geschäftsführung der Brauerei, Mitte Juli gegenüber dem Nachrichtenportal.
Beispiele wie dieses zeigen, dass es sich aus der Sicht des Konsumenten lohnt, die angesteuerten Shoppingportale vor dem Produktkauf genauer unter die Lupe zu nehmen. Dass diese Problematik zunehmend in den Fokus rückt, zeigt die aktuelle Studie “Total Retail 2016“ der Wirtschaftsprüfungsgesellschaft PwC. Demnach werden bis 2020 etwa 20 Prozent aller Umsätze des Einzelhandels online generiert. Das verlangt von den Händlern, neben einer guten Marketing-Strategie, vor allem ein schlüssiges Sicherheitskonzept. Damit befasste sich Ingenico Payment Services in seiner Studie “Online-Betrug 2015 – Ein globaler Überblick“. Wie der Anbieter von Zahlungsverkehr-Lösungen herausfand, beläuft sich der geschätzte Verlust durch Online-Betrug für europäische Händler auf 0,3 bis drei Prozent ihres Umsatzes. Doch worauf müssen Konsumenten und Händler achten, um in Sachen Sicherheit auf einen Nenner zu kommen?
Händlerseriosität und Käuferschutz durch Sicherheitszertifikate
Ein Besuch der laut Statista drei größten Online-Shopping-Portale zeigt: Amazon, Zalando und Otto verfügen alle über das Sicherheitszertifikat “Trusted Shops“, das Online-Modehaus Otto darf sich zudem “EHI Geprüfter Online-Shop“ nennen. Die Trusted Shops Garantie ist mit rund 20.000 zertifizierten Händlern die führende Zertifizierung von Online-Shops in Europa und gewährleistet nach eigenen Angaben automatischen Käuferschutz. Dieser gilt bei jedem Kauf in einem Trusted-Shops-zertifizierten Online-Shop, unabhängig von der gewählten Bezahlart. Der Käuferschutz tritt sowohl in Kraft, wenn der Händler die Ware nicht liefert als auch dann, wenn das Geld des Kunden beispielsweise nach einer Warenrücksendung nicht erstattet wird. Ob der anvisierte Online-Shop über dieses Zertifikat verfügt, können Kunden auf der Webpräsenz von Trusted Shops einsehen. Auch das Gütesiegel “EHI geprüfter Onlineshop“ ist ein weiteres Zertifikat für einen seriösen Händler. Das durch das Forschungs- und Bildungsinstitut EHI Retail Insitute e.V. (EHI) vergebene Gütesiegel muss jährlich verifiziert werden und steht für die drei Sicherheitspunkte Seriosität, Datenschutz und Datensicherheit.
Hat der aufgesuchte Online-Shop den ersten Sicherheitscheck bestanden, darf aufgeatmet werden. Bevor es jedoch zum finalen Verkaufsabschluss kommt, sollten neben Seriosität und Wohlwollen des Händlers auch die Datenverschlüsselung und Auswahl an Bezahlmöglichkeiten auf den Prüfstand kommen.
Datenschutz durch TLS-Verschlüsselung
Beim Stichwort Datenschutz rückt der Aspekt der Transport Layer Security (TLS) in den Fokus. Das häufig noch unter der alten Bezeichnung “Secure Sockets Layer“ (SSL) bekannte Verschlüsselungsprotokoll gewährleistet eine sichere Übertragung der Daten im Internet. „Für Onlineshops mit hoher Verantwortung für den Kunden ist die TLS-Verschlüsselung ein absolutes Muss“, thematisiert Philipp Kannenberg, Mitglied der Geschäftsleitung der gaxsys GmbH und verantwortlich für Sales, die Sicherheitsproblematik. Die Notwendigkeit der TLS-Verschlüsselung kommt vor allem bei Online-Bezahlsystemen zum Tragen und sichert durch den Aufbau einer verschlüsselten Online-Verbindung sensible Daten wie Wohnadressen und Bankverbindungen der Kunden. Zudem wird durch das Zertifikat die Vertrauenswürdigkeit des Webservers sichergestellt.
TLS-Zertifikate unterscheiden sich in Validierungsstufen und Bit-Verschlüsselungsraten. Die 256-Bit-Variante ist beispielsweise durch die schnellere Verschlüsselung sicherer als die 128-Bit-Variante. Die TLS-Sicherheitsstufen beginnen bei der Domainvalidierungsstufe, bei der lediglich die E-Mail-Adresse der Domain geprüft wird. Vor Missbrauch wie dem sogenannten “Phishing“, dem Fischen von Kundendaten durch gefälschte Shopping-Seiten schützt das allerdings nicht.
Die zweite Sicherheitsstufe umfasst auch die Validierung, sprich Prüfung des Online-Shops. „Sobald es jedoch um sensible Daten wie Passwörter, Kundenadressen und vor allem Bankverbindungen geht, ist für einen seriösen Betreiber eines Onlineshops die höchste Zertifizierungsstufe, das sogenannte EV-TLS-Zertifikat zu empfehlen“, bringt Kannenberg die Verantwortung der Händler gegenüber ihren Kunden auf den Punkt. Dieses Zertifikat biete zwar keinen höheren Verschlüsselungsgrad, verifiziere den Onlinehändler aber durch aufwendige Verfahren in höchstem Maße. Ist dieses Zertifikat bei dem aufgesuchten Onlineshop vorhanden, gibt ein grünes Schloss-Symbol vor der Adressleiste Aufschluss über die höchste Sicherheitsstufe innerhalb des Webbrowsers. Guten Gewissens darf der Kunde so durch das Shopping-Portal stöbern. Das TLS-Zertifikat gilt je nach Variante 1-5 Jahre und muss danach erneuert werden.
Vielfalt der Bezahlmethoden ist für Online-Shops entscheidend
Ein weiterer Aspekt, der im E-Commerce die Spreu vom Weizen trennt ist die Auswahl an Bezahlmöglichkeiten, die ein Onlineshop dem Kunden anbietet. „Die drei laut EHI Handelsdaten im Online-Handel führenden Bezahlmethoden Kauf auf Rechnung, Onlinebezahlsysteme wie Paypal, und die Zahlung mit der Kreditkarte sind für Onlineshops zwingend notwendig“, so der Geschäftsführer von gaxsys. Bei der Bezahlung auf Rechnung, muss der Kunde je nach Online-Anbieter seine Rechnung zwischen 14 und 30 Tagen nach dem Erhalt der Ware begleichen. „Ein Risiko besteht bei dieser Bezahlart für den Händler nicht. Der Inkasso-Dienstleister kauft ihm die Schulden des Kunden für eine Provisionsgebühr ab und stellt ihm unmittelbar nach dem erfolgreichen Verkaufsabschluss den vollständigen Betrag zur Verfügung“, so Kannenberg.
Spitzenreiter bei den Online-Bezahlsystemen ist laut der Finanz-Seite gevestor, mit 16 Millionen aktiven Nutzern allein in Deutschland, der Anbieter PayPal. Ein Blick auf die Website von PayPal verrät das Erfolgsgeheimnis: „Wir bieten Ihnen den PayPal-Käuferschutz und arbeiten mit modernsten Sicherheitstechniken. Darüber hinaus bestätigt der TÜV die Sicherheit von PayPal“, so der Anbieter auf seiner Online-Präsenz. Kannenberg sieht für Händler und Kunde eine Win-Win-Situation: „Durch vom Kunden veranlasste Zahlungen über Online-Bezahlsysteme wie PayPal erhält der Webshop-Betreiber binnen Sekunden sein Geld, der Kunde profitiert durch den dadurch veranlassten schnellstmöglichen Versand.“
Die Bezahlung mit der Kreditkarte sieht der Geschäftsführer von gaxsys als die wichtigste Option, die auf einem Onlineshop vorhanden sein sollte. Wie bei Online-Bezahlsystemen wird bei dieser Methode unmittelbar nach Abschluss des Bezahlverfahrens der Warenversand eingeleitet. Bei Missbrauch auf Händler- und Kundenseite trägt das Risiko die kreditkartenausstellende Bank. „Für den Händler wie für den Kunden ist das eine sichere und, aus meiner Sicht, die unkomplizierteste Bezahlmethode. Verfügt die Kreditkarte über einen Kreditrahmen, der je nach Solvenz des Inhabers von der Bank festgelegt wird, kann der Kunde für die Zahlung im Online-Shop über diesen frei verfügen. Der Händler erhält fix sein Geld und wird zudem durch die von der Bank automatisch gegebene Versicherung, vor zusätzlichen Kosten bewahrt “, bringt Kannenberg den Vorteil für beide Seiten auf den Punkt.
Sicherheitsaspekte offen kommunizieren
„Gütesiegel wie “Trusted Shops“, die höchste Stufe der TLS-Verschlüsselung sowie eine Auswahl der wichtigsten Bezahlmethoden für den Kunden sind für einen verantwortungsbewussten Online-Händler unbedingt erstrebenswert“, fasst der E-Commerce-Spezialist die Sicherheitsaspekte im E-Commerce zusammen, „zudem empfiehlt es sich, diese auf dem Onlineshop sichtbar zu platzieren.“
Ohnehin bleibt dem Kunden, neben dem dadurch gebotenen Komfort, vor dem finalen Klick des Kauf-Buttons eine Restrecherche: von der Qualität seines Wunschproduktes muss er sich durch Produktbeschreibungen, Kundenmeinungen sowie über Social-Media-Kanälen letztendlich selbst überzeugen.