Datenschutzproblem Dienstleister? – Teil 3

Von: | 11. Juli 2017
Datenschutzproblem Dienstleister? - Teil 3, 5.0 out of 5 based on 1 rating
GD Star Rating
loading...

Im ersten Teil der Artikelserie  hatten wir überlegt, welchen hohen Wert die Daten haben, die Händler über Dienstleister aggregieren — und wie schlimm es daher wäre, wenn diese Daten fahrlässig oder zufällig in falsche Hände kommen (oder gar böswillig missbraucht werden) würden. Der zweite Teil widmete sich der juristischen Situation rund um solche Daten, die ja nicht zu den vom Gesetz besonders geschützten „persönlichen Daten“ eines Händlers gehören, aber dennoch als Geschäftsgeheimnis schützenswert sind.

Das alles sollte dem einen oder anderen Händler doch zu denken geben, der bislang bei der Auswahl seiner Dienstleister auf die Thematik Datenschutz noch wenig geachtet hat. Doch es gibt noch ein ganz anderes Problem — und das hat Potential zum Supergau!

Im Zuge unserer Recherchen zu dieser Artikelreihe sprachen wir mit einigen Fachleuten. Darunter war auch Michael Gabrielides von AMALYZE. AMALYZE ist ein Tool für Amazon, das umfangreiche Recherchen zu Keywords & Ranking sowie Produktnischen etc. ermöglicht. Wie andere Dienstleistungs-Tools reichert somit auch AMALYZE Produkt- und Performancedaten für Händler an. Umso spannender war es für uns, einmal nachzufragen, wie Michael Gabrielides die Problematik Datensicherheit aus Sicht eines spezialisierten Dienstleisters einschätzt.

Anzeige

Mehr Erfolg mit AdWords – was Sie wissen müssen, um sofort Kosten zu sparen

AdWords zählt zu den Marketingmaßnahmen, mit denen das meiste Geld unnötig verbrannt wird. Der größte Fehler ist, kein Reporting oder ein schlechtes Reporting zu haben. Dicht gefolgt von der falschen, nur sehr oberflächlichen Betrachtung der Kennzahlen. Dabei kann alles so einfach sein.

Unser kostenloser Ratgeber gibt wertvolle Handlungsempfehlungen an die Hand, wie Onlinehändler ganz einfach deutlich mehr aus ihren AdWords-Kampagnen herausholen können.

Jetzt kostenlos runterladen

Tatsächlich hält Michael Gabrielides die Gefahr, dass Dienstleister Daten von Kunden veruntreuen könnten, z.B. auch durch schlecht geschulte oder befristete Mitarbeiter, für nicht sehr groß. Selbstverständlich sollte bei Dienstleistern hier ein entsprechendes Sicherheitsbewusstsein herrschen, schließlich sei der Umgang mit Geschäftsgeheimnissen nichts Neues. Man brauche nur einmal an die Datev zu denken, auch diese erhält ja regelmäßig sehr umfangreiche Geschäftsdaten.

Zudem hätten die Mitarbeiter der Dienstleister ja genügend eigenes Know-how, so dass sie fremde Performancedaten überhaupt nicht benötigten. Dennoch sollte eine Verschwiegenheitsklausel selbstverständlich auch bei Dienstleistern rund um Marktplatz-Tools zum Standard gehören.

Die eigentlich Gefahr liegt im API-Schlüssel

Die eigentliche Gefahr sieht Michael Gabrielides ganz woanders:

AMALYZE aggregiert lediglich öffentlich zugängliche Daten. Wir haben uns bislang gegen die Nutzung der MWS API von Amazon entschieden. Das ist zwar schon etwas, das wir für die Zukunft auf dem Zettel haben — doch aus meiner Sicht müssen dafür ganz andere Voraussetzungen vorhanden sein, als sie bei Dienstleistern landläufig gegeben sind: Ich bin der Meinung, dass wenn ich den API-Schlüssel von Händlern benutze, eine Sicherheitsumgebung vorhanden sein sollte, die dem PCI-PSS-Level entspricht!

Ich habe mir vor einiger Zeit einmal angesehen, wie die API-Keys bei verschiedenen Dienstleistern gespeichert werden. Die einen speichern ihn in der Datenbank, andere gar im Quellcode des Tools. Das ist in meinen Augen gefährlich.

Denn mit dem API-Key halten Kriminelle den Zugang zum Amazonkonto in der Hand. Entsprechend attraktiv ist es, in den Besitz dieser Daten zu kommen und darum muss der Schutz dieser Daten auch dieser Gefahr angemessen sein. Denn wenn ein Dienstleister hier angreifbar ist und Keys werden gestohlen, dann ist das tatsächlich ein Super-GAU für die betroffenen Händler.

Mit dem Key hat man vollen Zugriff auf alle Daten des Dienstleisters und vor allem auch die aller seiner Kunden, da Amazon eine Untergliederung der Zugriffsrechte leider nicht vorsieht. Wer den Key hat, kann also nicht nur sämtliche Daten aus den Konten auslesen, er kann auch die Konten beliebig manipulieren, Preise verändern und beispielsweise hochpreisige Artikel zu 0,01 Euro-Artikeln machen.

Und dabei spricht man dann auch nicht mehr von Schäden, die eine Betriebshaftpflichtversicherung auch nur grundlegend abdecken könnte. Michael Gabrielides:

Für solche Fälle sollte schon eine Cyberversicherung vorhanden sein, die eine Schadenssumme von mindestens 5 Mio. Euro im Einzelfall deckt.

Was tun? Erst einmal ausmisten!

Händler sollten zunächst einmal vor der eigenen Türe zu kehren:

Oft probieren Händler verschiedene Tools aus, beispielsweise wenn diese kostenlose Testphasen bieten. Beim Abschluss der Tests bleiben dann die Zugangsberechtigungen im Marktplatz-Backend jedoch oft „liegen“.

Hier gilt es erst einmal selbst für eine bessere Sicherheit zu sorgen und die Zugangsberechtigungen für alle nicht mehr genutzten Tools sowie Dienstleister, mit denen man nicht mehr zusammenarbeitet, aufzuheben. Denn Sicherheit fängt zuerst einmal beim eigenen Sicherheitskonzept an.

Darüber hinaus sollte man die Dienstleister, welche Zugriff auf die MWS-API für die Durchführung ihrer Tätigkeiten benötigen, konkret fragen wie ihr Sicherheitskonzept aussieht und wie sie im Schadensfall abgesichert sind.

Herzlich aus Hürth
Nicola Straub


Weiterer Lesestoff zur Datensicherheit:

Für Freunde von Horrorszenarien gibt es Abschätzungen der (potentiellen) Schäden von verschiedenen Cyberangriffen bei der Bitkom: Die Berechnungen basieren auf tatsächlichen Vorfällen und zeigen somit die Bandbreite der kriminellen Energie in dem Bereich auf: Kosten eines Cyber-Schadensfalles (PDF, 241,6 kb)

Wer sich einmal inspirieren lassen möchte, welche Themenbereiche zu einem Sicherheitskonzept gehören, findet Anregungen in den Listen zur Daten-Abfrage für eine Cyber-Versicherung der Versicherer Axa (pdf, Abschnitt C ab Seite 6) und  The Hanover Insurance Group (PDF, komplett auf Englisch, 71,3 kb).

Welche Anforderungen für eine PCI-PSS-Zertifizierung erfüllt werden müssen, lässt sich hier nachlesen.
Bildnachweis: ©’succo’/Pixabay.de

 

Autorenfoto widmet sich 1998 beruflich dem E-Commerce. Seit 2004 arbeitet sie freiberuflich als Beraterin für Webkonzepte und Onlinemarketing sowie Autorin für Artikel und Ratgeber (auch Ghostwriting) und Pressetexte. Besonders gern betreut sie Websites ganzheitlich von der Planung über die Realisierung bis zur fortlaufenden Content-Pflege und gibt Ihre Erfahrung in regelmäßigen Workshops zu Marketingthemen weiter.
Newsletter abonnieren
Ähnliche Artikel zum Thema

Jetzt unseren kostenlosen Newsletter abonnieren und frei Haus wöchentlich alle neuen Artikel, Tipps und Links für Ihr Onlinegeschäft erhalten. Gleichzeitig erhalten Sie Zugang zu unserem Download-Bereich mit wertvollen Ratgebern, Praxisleitfäden und Fachartikeln!

Thematisch passende Anbieter und Dienstleister

Keine Kommentare »

Noch keine Kommentare

RSS-Feed für Kommentare zu diesem Artikel. TrackBack URL


Schreib einen Kommentar