E-Commerce

Internet-Shops im Visier der Cybergangster

13.06.2012
Von Uli Ries
Uli Ries ist freier Journalist in München.

Passwörter nicht im Klartext abgespeichern

Eine Maßnahme ist das Verschlüsseln der Datenbanken, in denen die Informationen gespeichert werden.
Eine Maßnahme ist das Verschlüsseln der Datenbanken, in denen die Informationen gespeichert werden.
Foto: MEV Verlag

"Eine Studie belegt, dass sich Kunden von Online-Shops Sicherheitsmaßnahmen wünschen, mit denen sie personenbezogene Daten beziehungsweise Kreditkartendaten vor ungewünschtem Zugriff schützen können", sagt Jochen Klotz, Senior Technical Consultant beim Verschlüsselungsspezialisten RSA. "In der Praxis gehen Kunden aber doch eher den einfachen Weg und verwenden Passwörter anstelle von sicheren Tokens oder Chipkarten. Es sind also Sicherheitsmaßnahmen gefordert, die Zahlungsdaten vor Betrug schützen, das Kaufverhalten aber nicht beeinträchtigen."

Eine dieser Maßnahmen ist das Verschlüsseln der Datenbanken, in denen die Informationen gespeichert werden. Jede gängige Datenbank lässt sich codieren. Passwörter sollten zudem niemals im Klartext gespeichert werden, sondern nur ihr Hash-Wert. Zum Erzeugen des Hash wird oft der MD5-Algorithmus verwendet, der inzwischen jedoch nicht mehr zeitgemäß ist. Durch Hinzufügen einer vom Anwender eingegebenen, zufälligen Zeichenkette (Salt) lässt sich aber auch eine Brute-Force-Attacke auf MD5-Hashes spürbar verlangsamen. Werden zu kurze Passwörter zudem durch Key Stretching künstlich verlängert, erhöht sich der Aufwand für den Cracker noch einmal. Aus Tagen können so Jahre werden, die zum Knacken der Passwörter oder anderer Datenbankeinträge nötig sind.

Eine weitere Möglichkeit ist das Verschlüsseln und Virtualisieren von Kundendaten, kurz "Tokenization". "Hierbei werden die sensiblen Daten durch Ersatzwerte verschlüsselt, die dann für Transaktionen genutzt werden. Die Kreditkartendaten befinden sich nur kurze Zeit verschlüsselt im System des Händlers. "Sollten Unbefugte an diese Daten gelangen, können sie sie nicht auf die ursprünglichen Zahlungsdaten eines Kunden zurückführen", erklärt RSA-Mann Klotz. Sein Arbeitgeber hat mit dem "RSA SafeProxy" ein Produkt im Angebot, das sich um die Tokenization der kritischen Daten kümmert.

Zwar ist SSL (Secure Sockets Layer) im vergangenen Jahr durch die spektakulären Angriffe auf schlecht gesicherte Zertifizierungsstellen (Certificate Authorities = CAs) ins Gerede gekommen. Grundsätzlich ist SSL aber immer noch das Mittel der Wahl. Wer im Jahr 2012 mit Kunden- oder Kreditkarteninformationen hantiert und deren Transfer nicht per SSL verschlüsselt, handelt verantwortungslos und sollte von Käufern gemieden werden. SSL sichert nicht nur den Datentransfer zwischen Client und ServerServer ab, es stellt auch die Authentizität des Shop-Betreibers sicher. Wer seinen Kunden ein noch größeres Gefühl der Sicherheit vermitteln will, lässt sich ein Extended-Validation-(EV-)Zertifikat ausstellen und wählt eine renommierte CA wie Verisign oder Thawte. Alles zu Server auf CIO.de

Zur Startseite