BLOG

Datenschutz ist wichtig

Lori MacVittie Miniaturbild
Lori MacVittie
Veröffentlicht am 28. November 2016
lieber John

Es sind zwei „Ps“, die den Verbrauchern heutzutage am Herzen liegen: Leistung und Datenschutz. Ersteres wird durch eine zunehmend mobile Welt vorangetrieben, eine Plattform, auf der die Ressourcen – Speicher, Rechenleistung und Netzwerk – begrenzt sind. Letzteres ist auf die Besorgnis zurückzuführen, die durch Sensationsmeldungen über Datenschutzverletzungen ins Bewusstsein der Verbraucher gerufen wurde und unweigerlich zu einem dieser Briefe (oder E-Mails) führt. Sie sind wie „Lieber John“-Briefe und man fühlt sich innerlich genauso krank, wenn man einen bekommt.

Verbraucher möchten die Gewissheit haben, dass die Marken, mit denen sie interagieren, alles tun, um ihre Privatsphäre und die Sicherheit ihrer Daten zu gewährleisten. Wir wollen es schneller, aber wir wollen es auch sicherer.

Allerdings sind die meisten Verbraucher mit sicheren Protokollen und Kryptografie nicht besonders vertraut. Die meisten IT-Leute können den Unterschied zwischen ihnen nicht einmal erkennen. Sie müssen jedoch nicht verstehen, dass bestimmte Chiffren unsicher sind (oder überhaupt, in welchem Zusammenhang Chiffren mit sicherem HTTP stehen), wie CA-Vertrauen funktioniert oder wie Man-in-the-Middle-Angriffe tatsächlich funktionieren. Sie müssen lediglich wissen, dass Sie alles in Ihrer Macht Stehende tun, um sicherzustellen, dass niemand ihre sicheren Transaktionen stört und dass niemand jeden Buchstaben beobachtet, den sie eingeben.

Geben Sie PFS ein. Perfekte Vorwärtsgeheimnis.

PFS ist natürlich keine Chiffre oder ein Algorithmus, sondern vielmehr eine Methode zur Handhabung von Schlüsseln. Es basiert auf flüchtigen (d. h. Wegwerf-)Schlüsseln, die nur einmal pro Sitzung generiert werden. Im Kontext der App-Sicherheit wurde dies nach der Bekanntgabe von Heartbleed bedeutsam, da es nun möglich wurde, private Schlüssel zu „stehlen“ und potenziell Transaktionen zu entschlüsseln.

PFS ähnelt in vielerlei Hinsicht den einmaligen Passwörtern pro Person für eine Party. Anstatt dass jeder dasselbe Passwort verwendet, erhält jeder sein eigenes, persönliches, privates Passwort, dessen Echtheit nur Sie als Gastgeber bestätigen können. Das heißt, selbst wenn Bob Alice sein Passwort mitteilt, wissen Sie, dass sie nicht eingeladen wurde, weil sie ein Passwort wiederverwendet.

viel Spaß

Dabei ist nicht die Mechanik wichtig, sondern die Gewissheit für den Verbraucher, dass Sie es mit dem Schutz Ihrer Daten ernst meinen.  Betrachten Sie eine 2016 vom Baymard Institute zu diesem Thema durchgeführte Umfrage. 18 % der genannten Gründe für den Abbruch des Bezahlvorgangs lauteten, sie hätten „der Site ihre Kreditkarteninformationen nicht anvertraut“. Dieselbe Umfrage untersuchte die Vertrauenswahrnehmung verschiedener auf Websites angebrachter „Siegel“ und stellte überrascht fest, dass im Jahr 2016 die Siegel, die das meiste „Vertrauen“ erweckten, Vertrauenssiegel und nicht SSL- Siegel waren. Diese Siegel entsprachen nicht unbedingt dem Industriestandard oder waren anerkannt. Viele davon dienten lediglich als symbolische Darstellung der Bemühungen des Unternehmens, die Sicherheit der Verbraucherdaten und -transaktionen zu gewährleisten.

Perfect Forward Secrecy (PFS) ist ein technisches Verfahren, das aufgrund seines „persönlichen“ Charakters für mehr Sicherheit bei Transaktionen sorgt. Indem Sie PFS einführen und Verbraucher wissen lassen, dass Sie Schritte unternommen haben, um die Sicherheit von Transaktionen durch Technologie zu erhöhen, schaffen Sie ein höheres Maß an Vertrauen und verringern möglicherweise die negativen Auswirkungen von Abbrüchen auf das Endergebnis.

Auf Unternehmensseite besteht natürlich die Befürchtung, dass eine Erhöhung der Sicherheit häufig auf Kosten einer Verringerung der Leistung geht. Schließlich kann das Generieren von Schlüsseln auf Sitzungsbasis eine Belastung für die Infrastruktur und die Application darstellen. Das Ergebnis sind oft langsamere Apps, die für die Verbraucher ebenso frustrierend sind und zudem zu Umsatzeinbußen führen.

Um dem entgegenzuwirken, empfiehlt es sich, PFS mit dem richtigen Dienst zu implementieren; einem Dienst, der den Servern vorgelagert ist und eine höhere Skalierbarkeit und Leistung bietet, da er speziell für die Durchführung der anspruchsvollen kryptografischen Berechnungen entwickelt wurde, die zur Gewährleistung der Verbrauchersicherheit erforderlich sind. Solche speziell entwickelten Sicherheitsdienste sind darauf ausgelegt, die Vorteile spezieller Hardware (sowohl kundenspezifische als auch kommerzielle Hardware) zu nutzen, die die Berechnungen beschleunigt und die Leistung verbessert, um sicherzustellen, dass die Verbraucher ein sichereres und schnelleres Erlebnis haben.

PFS ist eine gute Möglichkeit, nicht nur Verbraucher, sondern auch Unternehmensvermögen zu schützen. Dadurch erhöhen sich die Kosten für den Erhalt privater Informationen und Sie werden für Angreifer zu einem weniger attraktiven Ziel. Gleichzeitig können Verbraucher davon ausgehen, dass Ihnen die Sicherheit ihrer persönlichen, privaten Daten so sehr am Herzen liegt, dass Sie die neueste Technologie nutzen, um diese Daten privat und persönlich zu halten.

Datenschutz ist wichtig, aber Leistung auch. Sicherheit muss nicht auf Kosten der Geschwindigkeit gehen. Die Leistung kann auch bei der Einführung höherer Sicherheitsstandards aufrechterhalten werden, wenn bei der Implementierung darauf geachtet wird, die richtigen Dienste am richtigen architektonischen Standort auszuwählen.