E-Commerce ohne eine Bestellung am Ende der Shoppingtour ist wie Rauch ohne Feuer. Bei 64,1 Prozent der Online-Shopper führt jedoch mangelndes Vertrauen zum Online-Shop zum Abbruch des Kaufvorgangs. Nicht ganz ohne Grund, denn der fahrlässige Umgang mit sensiblen Kundendaten gerät immer wieder in die Negativschlagzeilen. Die Stiftung Warentest fand im Oktober letzten Jahres heraus, dass die Postbank rund 4.000 freien Handelsvertretern Einblick in die Kontenbewegungen ihrer Kunden gegeben hatte. Im Mai verhängte der nordrhein-westfälische Landesbeauftragte für Datenschutz ein Bußgeld in Höhe von 120.000 Euro. Ebenfalls im Mai reichte der Bundesverband der Verbraucherzentralen beim Landgericht Kiel Klage gegen die Handelskette Famila ein. Kunden, die bei der Handelskette mit EC-Karte bezahlten, genehmigten durch die Unterschrift auf dem Beleg, dass Famila ihre Kontodaten an andere Firmen weiterleitete. Ein Verstoß gegen das Bundesdatenschutzgesetz.
Um Missbrauch beim E-Commerce vorzubeugen, sollten Online-Händler dafür Sorge tragen, dass ihre Kunden sensible Daten nur auf gesicherten Seiten eingeben. Das gilt vor allem dann, wenn es ums Bezahlen geht. Gesichert sind HTTPS-Seiten, die der Kunde an dem kleinen Schloss in der unteren rechten Ecke des Bildschirms erkennt. Bei den Bezahlverfahren dominieren nach den Ergebnissen der aktuellen Studie „Internet-Zahlungsverfahren aus Sicht der Händler“ (IZH) des ECommerce Center Handel (ECC) noch die klassischen Bezahlverfahren wie Überweisung (auf Rechnung nach der Lieferung oder als Vorkasse), Lastschrift und Bargeld bei Lieferung (Nachnahme) die Zahlungsströme im E-Commerce. Die Zahlung per Kreditkarte erreichte jedoch erstmals eine Verbreitung von über 50 Prozent und Verfahren wie Sofortüberweisung.de, PayPal, Giropay und ClickandBuy holen auf. Durchschnittlich bieten die Händler im Moment 4,4 Zahlungsverfahren an, wollen jedoch bis Ende 2010 im Schnitt noch 1,8 neue Zahlungsverfahren einführen. Davon profitieren vor allem die speziellen Internet-Zahlungsverfahren sowie die Kreditkarte. Wie sicher die angebotenen Bezahlverfahren sind, dafür bürgen nicht zuletzt die Gütesiegel, mit denen Online-Shops sich zertifizieren lassen können.
Gütesiegel sind anerkannt
Im April 2010 befragten die GfK-Marktforscher 1.026 Internetnutzer zu Gütesiegeln im Internet. Für 62,1 Prozent der Befragten sind Gütesiegel „wichtig“ oder sogar „sehr wichtig“. Unter den Gütesiegeln lag das der Trusted Shops GmbH, die über 7.000 Onlinehops zertifiziert hat und europäischer Marktführer ist, mit 59,5 Prozent Bekanntheitsgrad an der Spitze. Das Gütesiegel des TÜV kannten 49,3 Prozent. Als „unverzichtbar“ werden Gütesiegel dann eingeschätzt, wenn der Verbraucher unsicher ist. Das trifft besonders dann zu, wenn der potenzielle Kunde den Onlineshop gar nicht kennt (66,3 Prozent) oder Zweifel an dessen Seriosität hat (64,7 Prozent). Gütesiegel sind geradezu ein Muss, wenn der Shop seinen Unternehmenssitz im Ausland hat (55,4 Prozent). Grundsätzliche Bedenken gegen Vorkasse haben 60,1 Prozent der Online-Shopper, wenn der Internetshop kein Gütesiegel hat. 43,5 Prozent gaben an, von der Geld-zurück-Garantie eines Gütesiegels profitieren zu wollen. Und was die Studie ebenfalls an den Tag brachte: Gerade bei kleineren Händlern stiften Gütesiegel und Zahlungsverfahren Vertrauen und erhöhen den Umsatz. So soll die Anzahl der Käufe bei einem Anbieter mit einem Trusted-Shops Gütesiegel um 43,4 Prozent höher sein als bei einem vergleichbaren Anbieter ohne dieses Gütesiegel.
Daten im Hochsicherheitstrakt
Als wichtigstes Gesetz regelt das Bundesdatenschutzgesetz (BDSG) die Voraussetzungen der Datenerhebung, Weitergabe und Verarbeitung. Werden personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt und gelangen Dritten unrechtmäßig zur Kenntnis, ist dies der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Zuwiderhandlungen werden selbstverständlich bestraft. Soweit die Gesetzeslage für Unternehmen und Behörden. Um für E-Commerce-Transaktionen einen solchen Worst Case auszuschließen, sollten die Dateneingaben beim Online-Shopping auf jeden Fall den üblichen Sicherheitsstandards entsprechen. Den höchsten Sicherheitsanforderungen der Banken und Kreditkarteninstitutionen genügt, wer eine Zertifizierung nach dem „Payment Card Industry Data Security Standard“ (PCI DSS 1.2) für seinen Shop hat. Die PCI-Zertifizierung setzt neben besonderen Anstrengungen im Datenschutz ein umfangreiches und wiederholtes Testverfahren zur Überprüfung der IT-Infrastruktur, des Netzwerkes, der Software und der Anwendungen voraus. In Deutschland sind längst nicht alle Shop auch nach deutschem Recht datenschutzkonform. Sicher sind Daten in einem Rechenzentrum, das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt wurde. Das Rechenzentrum OpenIT beispielsweise ist vom BSI bestätigt und nach IT-Grundschutz zertifiziert. Das bedeutet: höchstmögliche Verfügbarkeit, optimaler Schutz vor Angriffen von außen (Hacker, DOS-Attacken etc.), optimale Sicherheit und Einbindung des Kundenprojekts in die IT-Infrastruktur des Zentrums.
Wer sich bei seiner E-Commerce-Lösung für einen Software-as-a-Service-Anbieter entscheidet, muss sich in der Regel um die Sicherheit seines Shops keine Gedanken machen. Denn um die PCI-Compliance zu erreichen und dauerhaft zu sichern, müssen bei dem E-Commerce-Dienstleister sowohl die Rechenzentren, sämtliche Server als auch die redundanten Firewalls der demilitarisierten Zone, die Software und die Schnittstellen vorzertifiziert sein. Alle Online-Shops, die Kreditkarten speichern, verarbeiten oder weiterleiten, werden dann von dem Software-as-a-Service-Anbieter zusätzlich noch einmal einzeln zertifiziert. Dadurch sind sie von vorneherein „PCI ready“ und erfüllen mit minimalem eigenem Aufwand die strengen PCI-DSS-Richtlinien.
Fazit
Um einen sicheren Umgang mit Kundendaten zu garantieren, sollten diese bei der Datenübertragung im Netz stets verschlüsselt werden. Die Verschlüsselung der digitalen Zertifikate über das Protokoll SSL sollte dabei mindestens 128 bit betragen, besser 256 bit. Die Daten in der Datenbank sollten nach einem symmetrischen Kryptosystem verschlüsselt werden (AES = Advanced Encryption Standard). Neben einer zusätzlichen Sicherung der Daten in einem zweiten Rechenzentrum sollte der Shop-Betreiber sich auch bei seinem E-Commerce-Lösungsanbieter nach der Absicherung der Räumlichkeiten des Rechenzentrums im Brandfall und bei Naturkatastrophen erkundigen. Shops nach den PCI DSS-Richtlinien erfüllen alle diese Sicherheitsvorkehrungen – nicht nur zum Schutz der Kundendaten, sondern auch zum Schutz der Online-Händler. Denn läuft bei den Bezahlvorgängen trotzdem etwas schief, übernehmen bei den zertifizierten Shops die Kartenorganisationen die Folgeschäden.
