Bundesamt für Sicherheit in der Informationstechnik

M 5.95 Sicherer E-Commerce bei der Nutzung von Internet-PCs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Das Internet wird heute nicht nur zur Informationsgewinnung und Kommunikation, sondern auch intensiv als Plattform für die Abwicklung von Geschäfts- oder Verwaltungsvorgängen genutzt. Beispiele hierfür sind Online-Bestellungen, Konto- oder Wertpapiertransaktionen und E-Government-Anwendungen.

E-Commerce- und E-Government-Anwendungen haben in der Regel höhere Sicherheitsanforderungen als die reine Informationsgewinnung über das World Wide Web. Insbesondere muss sichergestellt werden, dass Online-Transaktionen und -Bestellungen bei der Verarbeitung auf dem Internet-PC und bei der Übertragung über das Internet nicht manipuliert werden. Falls ein Internet-PC auch für E-Commerce oder E-Government-Anwendungen genutzt wird, sollten daher die nachfolgenden Empfehlungen berücksichtigt werden.

Bevor eine Geschäftsbeziehung mit einem Anbieter über das Internet aufgenommen wird, sollte geprüft werden, ob dessen Grundsätze in Bezug auf Datenschutz und Datensicherheit mit den eigenen Anforderungen vereinbar sind. Der Anbieter sollte hierzu Informationen auf dem Webserver bereitstellen.

Zum Schutz vor Computer-Viren, Trojanischen Pferden und anderen Schadprogrammen muss ein Viren-Schutzprogramm installiert werden, dessen Datenbank regelmäßig aktualisiert wird. Weitere Empfehlungen hierzu finden sich in Baustein B 1.6 Schutz vor Schadprogrammen und Maßnahme M 4.3 Einsatz von Viren-Schutzprogrammen .

Die für die E-Commerce- bzw. E-Government-Anwendungen erforderlichen Datenbestände und Konfigurationseinstellungen müssen regelmäßig gesichert werden (siehe auch M 6.79 Datensicherung beim Einsatz von Internet-PCs ). Andernfalls besteht die Gefahr, dass die Anwendung beim Ausfall des Internet-PCs oder bei versehentlicher Löschung nicht zeitnah wiederhergestellt oder getätigte (Trans)aktionen nicht nachvollzogen werden können.

Falls für die Anwendung spezielle Software-Komponenten, z. B. Online-Banking-Programme, benötigt werden, sollten diese ausschließlich von vertrauenswürdigen Quellen bezogen werden, möglichst direkt vom Anbieter bzw. Hersteller. Für diese Software-Komponenten muss regelmäßig geprüft werden, ob sicherheitsrelevante Patches oder Updates existieren. Diese müssen eingespielt werden. Software und Updates sind vor der Installation auf Schadprogramme zu prüfen.

Falls ein Internet-PC regelmäßig für E-Commerce- oder E-Government-Anwendungen genutzt wird, sollte er einem festen Benutzer zugeordnet und ausschließlich für diese Anwendungen verwendet werden. Anderenfalls besteht die Gefahr, dass später nicht nachvollziehbar ist, welcher Benutzer eine bestimmte Aktion vorgenommen hat.

Bei vielen Anwendungen im E-Commerce und E-Government wird der WWW-Browser als Client-Programm verwendet.

Als Schutzmechanismus für die Übertragung kommt dabei in der Regel das TLS/SSL-Protokoll zum Einsatz. Dabei werden Vertraulichkeit und Integrität der Daten mit Hilfe kryptographischer Verfahren geschützt. Eine TLS/SSL-Verbindung erkennt man im Browser daran, dass die Adresse (URL) mit https: statt mit http: beginnt, und bei den gängigen Browsern auch an einem besonderen Symbol, z. B. einem geschlossenen Schloss.

Webbasierte E-Commerce- und E-Government-Anwendungen sollten ausschließlich über TLS/SSL genutzt werden. Der Anbieter sollte die gesamte Web-Anwendung über TLS/SSL bereitstellen. Es ist darauf zu achten, dass ein Browser verwendet wird, der starke kryptographische Verfahren unterstützt, insbesondere 128 Bit Schlüssellänge. Dies ist bei einigen älteren Browsern aufgrund von Export-Restriktionen nicht der Fall.

Für die Authentisierung des WWW-Servers kommen beim TLS/SSL-Protokoll Zertifikate zum Einsatz. Bei der Nutzung von E-Commerce- oder E-Government-Anwendungen über TLS/SSL sollten die Benutzer sporadisch überprüfen, ob das Server-Zertifikat gültig ist und ob sie tatsächlich mit dem gewünschten Server verbunden sind. Hierzu ist es erforderlich, dass die Benutzer für die Bedienung des WWW-Browsers geschult werden und ihnen Hinweise zur Verfügung gestellt werden, wie sie die Überprüfung bei der konkreten Installation und Konfiguration vornehmen.

Prüffragen:

  • Ist sichergestellt, dass Online-Transaktionen und -Bestellungen bei der Verarbeitung auf dem Internet- PC und bei der Übertragung über das Internet nicht manipuliert werden?

  • Sind die allgemeinen Geschäftsbedingungen des E-Commerce-Dienstleisters mit den Anforderungen der Institution vereinbar, insbesondere im Bereich Datenschutz und Datensicherheit?

  • Wird eine regelmäßige Sicherung der Datenbestände und Konfigurationseinstellungen der E-Commerce-Anwendungen durchgeführt?

  • Ist sichergestellt, dass E-Commerce- und E-Government-Anwendungen ausschließlich über TLS / SSL genutzt werden?

  • Wird die Gültigkeit der eingesetzten Server-Zertifikate von E Commerce-Anbietern überprüft?

Stand: 13. EL Stand 2013