Video Screencast Help
Symantec Appoints Michael A. Brown CEO. Learn more.
Website Security Solutions

Auf dünnem Eis …

Created: 03 Jul 2013 • Updated: 08 Jul 2013 • Translations available: English, Français
Andy Horbury's picture
0 0 Votes
Login to vote

Vorige Woche rief mich eine Freundin an. (Meine Freunde halten mich für ihren persönlichen IT- und Sicherheitsberater.) Diesmal wollte sie meine Meinung zu der unten abgebildeten Nachricht hören, die sie noch nie gesehen hatte. Wie Sie sehen, weist die Nachricht darauf hin, dass die aufgerufene Seite aufgrund eines abgelaufenen SSL-Zertifikats möglicherweise nicht mehr sicher ist.

expired-certificates.jpg

Meine prompte Antwort war, dass sie auf keinen Fall auf „Proceed anyway“ klicken sollte. Ich riet ihr, notfalls eine andere Website aufzurufen, ein Ladengeschäft des Anbieters zu besuchen oder sich telefonisch oder per E-Mail an ihn zu wenden. Die Website würde ich jedenfalls meiden. Etwas später meldete sich meine Freundin erneut. Was sie mir diesmal erzählte, fand ich, gelinde gesagt, erstaunlich. Sie hatte sich über Twitter erkundigt, was es mit dieser Nachricht auf sich hatte, und wurde von einem Vertreter des Unternehmens, dem diese Website gehört, beschwichtigt: „Über diese Warnung brauchen Sie sich keine Sorgen zu machen.“ Nach reiflicher Überlegung kann ich diese Antwort nur als grauenhaft bezeichnen. Warum würde der Betreiber einer seriösen, vertrauenswürdigen Website eine so absurde Empfehlung geben?

Grund Nr. 1: Die Betreiber der Website wollen keine Kunden verlieren.

Grund Nr. 2: Die Betreiber der Website haben nicht einmal ansatzweise verstanden, wie man bei seinen Kunden Vertrauen schafft, und geben ihnen deshalb fragwürdige Empfehlungen.

Grund Nr. 3: Die Betreiber der Website haben nicht darüber nachgedacht, welche Folgen derartige schlechte Ratschläge für ihre Kunden haben könnten.

Grund Nr. 3 schien mir am wahrscheinlichsten, also beschimpfte ich die Websitebetreiber. Dann sah ich mir die Website und deren Betreiber genauer an, um herauszufinden, was geschehen war. In diesem Fall hatte das für die E-Commerce-Website zuständige Team den Ablauf eines Zertifikats nicht rechtzeitig bemerkt. Zur Schadensbegrenzung wollte man diesen Fehler nun unter den Teppich kehren. Der Rat, die Warnung zu ignorieren, verstößt allerdings gegen alle Best Practices. Würden die Vertreter des Unternehmens auch zu Sorglosigkeit raten, wenn einer ihrer Kunden in einer E-Mail aufgefordert würde, seine Kreditkartendaten und seine Adresse preiszugeben? Ich hoffe nicht! Und wenn ihre Website mit Malware infiziert wäre? Bekanntermaßen sind 61 Prozent aller Malware verbreitenden Websites seriöse Websites, die gehackt und mit Malware infiziert wurden.  Websites von Unternehmen, mit technischen Inhalten und von Online-Shops gehörten 2012 zu den fünf Website-Kategorien mit dem größten Anteil von mit Malware infizierten Seiten. Dies geht aus dem „Symantec Internet Security Threat Report 2013“ hervor (nur in englischer Sprache verfügbar). Sollte ich mir auch „keine Sorgen machen“, wenn das Antivirenprogramm auf meinem PC Malware auf einer Website findet und diese blockiert? Würden Sie eine solche Warnung ignorieren und die Website trotzdem aufrufen?

Diese Beispiele mögen extrem erscheinen, aber ich bin der Meinung, dass es eine schlechte Idee ist, Benutzern zu empfehlen, Warnmeldungen zu ignorieren. Die Betreiber von Online-Shops sollten nichts tun, was das Vertrauen ihrer Kunden in das Internet untergraben könnte. Die Empfehlung, eine zum Schutz der Benutzer gedachte Warnmeldung zu ignorieren, ist ein Schritt in die falsche Richtung.

Was würde ich meiner Freundin und Verbrauchern im Allgemeinen also raten?  Beschweren Sie sich, und zwar nachdrücklich. Beschweren Sie sich per Live-Chat oder telefonisch, wenn Sie anderswo auf der Website die entsprechenden Kontaktdaten finden. Nutzen Sie soziale Medien, um die Betreiber von Websites anzuprangern, die Ihr Vertrauen missbrauchen und möglicherweise Ihre Sicherheit gefährden. Verlangen Sie, dass die Betreiber von Websites sich Ihr Vertrauen verdienen. Sie sollten ein Vertrauenssiegel wie das Norton Secured-Siegel anzeigen und ihren Benutzern zeigen, dass ihre Website durchsucht wurde und keine Malware enthält. Machen Sie deutlich, dass Sie nicht zu Geschäften über eine Website bereit sind, die Sicherheitswarnungen in Ihrem Browser auslöst. Als Verbraucher haben wir großen Einfluss. Wenn wir uns beschweren und dann zur Konkurrenz abwandern, zeigen wir nachlässigen Websitebetreibern, dass sie etwas ändern müssen. Selbstverständlich würden viele Verbraucher eine Website sofort schließen, wenn sie eine Warnung sehen. Viele andere sind sich jedoch nicht so sicher, und diese Verbraucher werden mit der unsachlichen Aussage, dass sie sich keine Sorgen über eine berechtigte Sicherheitswarnung zu machen bräuchten, rücksichtslos in die Irre geführt.

Wenn Vertreter unserer Branche Benutzern immer wieder raten, Warnungen zu ignorieren, untergraben wir möglicherweise alle Bemühungen um Vertrauen und Sicherheit im Internet. Angesichts der hervorragenden Absatzchancen im Internet (Blogbeitrag in englischer Sprache) erscheint es mir widersinnig, ein solches Risiko einzugehen. Fachleute in der Internetsicherheitsbranche tun ihr Bestes, um die Tools, die wir zur Ausführung unserer Geschäftstätigkeiten benutzen, sicher zu gestalten und die dazu nötigen Warnmeldungen einzurichten. Niemand, der in dieser Branche tätig ist, sollte jemals empfehlen, diese Warnungen zu ignorieren. Wenn die Betreiber von E-Commerce-Websites ihren Kunden schlechte Ratschläge geben, haben sie es verdient, diese Kunden zu verlieren. Denn einmal verlorenes Vertrauen lässt sich kaum zurückgewinnen und das schadet der gesamten Branche.