Etwa 10% der amerikanischen Konsumenten haben ihre Einkäufe im Internet aus Sicherheitsgründen reduziert, so eine 2006 durchgeführte Studie des Marktforschungsinstituts Gartner unter 5000 US-Amerikanern. Um das Vertrauen der Konsumenten in die elektronische Bezahlung international zu stärken, haben sich grosse Kreditkartenfirmen wie Visa International, MasterCard Worldwide und American Express zusammengeschlossen und den Payment Card Industry Data Security Standard (PCI DSS) ins Leben gerufen. Mittlerweile umfasst er zwölf Empfehlungen für die beim Zahlungsvorgang involvierten IT-Systeme.
Konfiguration einer Firewall: Für Web-basierte Zugriffe auf vertrauliche Daten sollten ausschliesslich die Protokolle SSH (Secure Shell) und SSL/TLS (Secure Socket Layer/Transport Layer Security) sowie VPN-Verbindungen (Virtual Private Network) verwendet werden.
Keine voreingestellten Passwörter benutzen: Häufig sind bereits ab Werk Passwörter voreingestellt. Diese sind oft allgemein bekannt und bieten deshalb keinen ausreichenden Schutz.
Verschlüsseln gespeicherter Daten: Es empfiehlt sich, die in einer Datenbank oder auf dem Server gespeicherten Kundendaten stets durch eine Verschlüsselungslösung unlesbar zu machen.
Verschlüsseln mobiler Daten: Eine Verschlüsselung aller Daten, einschliesslich der Applikationen und des Betriebssystems auf Festplatten von Laptops/Notebooks, PCs und Servern verhindert, dass unautorisierte Personen Einblick in Informationen auf mobilen Geräten erhalten.
Verschlüsselte Übertragung in öffentlichen Netzen: Informationen, die unverschlüsselt über Hochgeschwindigkeitsnetze wie WANs versendet werden, sind ungeschützt und können unterwegs abgefangen werden. Vertrauliche Kundendaten sollten deshalb ausschliesslich chiffriert übertragen werden.
Schutz vor Viren und Würmern: Antivirenlösungen unterstützen dabei, Schadsoftware wie Viren und Würmer abzuwehren. Diese Lösungen müssen allerdings regelmässig aktualisiert werden, da sie sonst nicht vor den neuesten Schädlingen schützen können
und somit auch nicht mehr greifen.
Geregelter Zugriff auf das Netzwerk: Zur Authentifizierung im Unternehmensnetzwerk sollten Passwörter, Smartcards, Tokens oder biometrische Lösungen wie Fingerabdruck und Irisscan eingesetzt werden.
Eigene ID für jeden Mitarbeiter mit Rechnerzugriff: Sogenannte digitale Identitäten auf gesicherten Geräten wie Smartcards oder Tokens zu speichern, ist die bevorzugte Methode für die Mitarbeiteridentifikation. Diese Methode schliesst durch eine doppelte Absicherung aus, dass private Informationen in die Hände Dritter gelangen.
Physikalische Zugangsbeschränkung: Verwendet das Unternehmen Smartcards, lassen sich diese sowohl zur digitalen Authentifizierung als auch für eine physikalische Zugangsberechtigung verwenden. Dann erhält der Mitarbeiter mit seiner persönlichen Smartcard nicht nur Zugriff auf
das Unternehmensnetzwerk, sondern kann damit auch das Gebäude betreten. Noch mehr Sicherheit lässt sich mit einem biometrischen Chip erreichen.
Überwachen aller Zugriffe auf das Netzwerk: Damit das Unternehmen im Falle von Datenmissbrauch gegebenenfalls nachvollziehen kann, wer Zugriff auf die vertraulichen Daten hatte, sollten Lösungen eingesetzt werden, die nachvollziehen, wer von welchem Arbeitsplatz aus zu welcher Zeit auf welche Datei zugegriffen hat.
Regelmässige Kontrolle der Sicherheitssysteme: Auch Sicherheitslösungen können versagen.Deshalb empfiehlt es sich, Sicherheitsrichtlinien zu implementieren, die eine regelmässige Überprüfung aller Sicherheitssysteme und Prozesse vorsehen.
Aufklärung der Mitarbeiter und Dienstleister: Damit alle von den Prozessen betroffenen Personen über die Sicherheitsrichtlinien informiert sind, sollte eine umfassende und regelmässige Aufklärung die Regel sein.

------
Ansgar Dodt, Director of Sales Embedded Systems EMEA, SafeNet, Zürich.