Im ersten Teil der Artikelserie hatten wir überlegt, welchen hohen Wert die Daten haben, die Händler über Dienstleister aggregieren — und wie schlimm es daher wäre, wenn diese Daten fahrlässig oder zufällig in falsche Hände kommen (oder gar böswillig missbraucht werden) würden. Der zweite Teil widmete sich der juristischen Situation rund um solche Daten, die ja nicht zu den vom Gesetz besonders geschützten „persönlichen Daten“ eines Händlers gehören, aber dennoch als Geschäftsgeheimnis schützenswert sind.
Das alles sollte dem einen oder anderen Händler doch zu denken geben, der bislang bei der Auswahl seiner Dienstleister auf die Thematik Datenschutz noch wenig geachtet hat. Doch es gibt noch ein ganz anderes Problem — und das hat Potential zum Supergau!
Im Zuge unserer Recherchen zu dieser Artikelreihe sprachen wir mit einigen Fachleuten. Darunter war auch Michael Gabrielides von AMALYZE. AMALYZE ist ein Tool für Amazon, das umfangreiche Recherchen zu Keywords & Ranking sowie Produktnischen etc. ermöglicht. Wie andere Dienstleistungs-Tools reichert somit auch AMALYZE Produkt- und Performancedaten für Händler an. Umso spannender war es für uns, einmal nachzufragen, wie Michael Gabrielides die Problematik Datensicherheit aus Sicht eines spezialisierten Dienstleisters einschätzt.
Tatsächlich hält Michael Gabrielides die Gefahr, dass Dienstleister Daten von Kunden veruntreuen könnten, z.B. auch durch schlecht geschulte oder befristete Mitarbeiter, für nicht sehr groß. Selbstverständlich sollte bei Dienstleistern hier ein entsprechendes Sicherheitsbewusstsein herrschen, schließlich sei der Umgang mit Geschäftsgeheimnissen nichts Neues. Man brauche nur einmal an die Datev zu denken, auch diese erhält ja regelmäßig sehr umfangreiche Geschäftsdaten.
Zudem hätten die Mitarbeiter der Dienstleister ja genügend eigenes Know-how, so dass sie fremde Performancedaten überhaupt nicht benötigten. Dennoch sollte eine Verschwiegenheitsklausel selbstverständlich auch bei Dienstleistern rund um Marktplatz-Tools zum Standard gehören.
Die eigentlich Gefahr liegt im API-Schlüssel
Die eigentliche Gefahr sieht Michael Gabrielides ganz woanders:
AMALYZE aggregiert lediglich öffentlich zugängliche Daten. Wir haben uns bislang gegen die Nutzung der MWS API von Amazon entschieden. Das ist zwar schon etwas, das wir für die Zukunft auf dem Zettel haben — doch aus meiner Sicht müssen dafür ganz andere Voraussetzungen vorhanden sein, als sie bei Dienstleistern landläufig gegeben sind: Ich bin der Meinung, dass wenn ich den API-Schlüssel von Händlern benutze, eine Sicherheitsumgebung vorhanden sein sollte, die dem PCI-PSS-Level entspricht!
Ich habe mir vor einiger Zeit einmal angesehen, wie die API-Keys bei verschiedenen Dienstleistern gespeichert werden. Die einen speichern ihn in der Datenbank, andere gar im Quellcode des Tools. Das ist in meinen Augen gefährlich.
Denn mit dem API-Key halten Kriminelle den Zugang zum Amazonkonto in der Hand. Entsprechend attraktiv ist es, in den Besitz dieser Daten zu kommen und darum muss der Schutz dieser Daten auch dieser Gefahr angemessen sein. Denn wenn ein Dienstleister hier angreifbar ist und Keys werden gestohlen, dann ist das tatsächlich ein Super-GAU für die betroffenen Händler.
Mit dem Key hat man vollen Zugriff auf alle Daten des Dienstleisters und vor allem auch die aller seiner Kunden, da Amazon eine Untergliederung der Zugriffsrechte leider nicht vorsieht. Wer den Key hat, kann also nicht nur sämtliche Daten aus den Konten auslesen, er kann auch die Konten beliebig manipulieren, Preise verändern und beispielsweise hochpreisige Artikel zu 0,01 Euro-Artikeln machen.
Und dabei spricht man dann auch nicht mehr von Schäden, die eine Betriebshaftpflichtversicherung auch nur grundlegend abdecken könnte. Michael Gabrielides:
Was tun? Erst einmal ausmisten!
Händler sollten zunächst einmal vor der eigenen Türe zu kehren:
Oft probieren Händler verschiedene Tools aus, beispielsweise wenn diese kostenlose Testphasen bieten. Beim Abschluss der Tests bleiben dann die Zugangsberechtigungen im Marktplatz-Backend jedoch oft „liegen“.
Hier gilt es erst einmal selbst für eine bessere Sicherheit zu sorgen und die Zugangsberechtigungen für alle nicht mehr genutzten Tools sowie Dienstleister, mit denen man nicht mehr zusammenarbeitet, aufzuheben. Denn Sicherheit fängt zuerst einmal beim eigenen Sicherheitskonzept an.
Darüber hinaus sollte man die Dienstleister, welche Zugriff auf die MWS-API für die Durchführung ihrer Tätigkeiten benötigen, konkret fragen wie ihr Sicherheitskonzept aussieht und wie sie im Schadensfall abgesichert sind.
Herzlich aus Hürth
Nicola Straub
Weiterer Lesestoff zur Datensicherheit:
Für Freunde von Horrorszenarien gibt es Abschätzungen der (potentiellen) Schäden von verschiedenen Cyberangriffen bei der Bitkom: Die Berechnungen basieren auf tatsächlichen Vorfällen und zeigen somit die Bandbreite der kriminellen Energie in dem Bereich auf: Kosten eines Cyber-Schadensfalles (PDF, 241,6 kb)
Wer sich einmal inspirieren lassen möchte, welche Themenbereiche zu einem Sicherheitskonzept gehören, findet Anregungen in den Listen zur Daten-Abfrage für eine Cyber-Versicherung der Versicherer Axa (pdf, Abschnitt C ab Seite 6) und The Hanover Insurance Group (PDF, komplett auf Englisch, 71,3 kb).
Welche Anforderungen für eine PCI-PSS-Zertifizierung erfüllt werden müssen, lässt sich hier nachlesen.
Bildnachweis: ©’succo’/Pixabay.de