privacy service   a-cert e-rating.at
e-commerce News | Bewertungsmethoden | Shop anmelden | Benutzer registrieren | Mitglied werden | Hilfe
2005/01/19 Online-Sicherheit - Österreichs Webauftritte hinter dem Stand der Technik
Die EG-Richtlinie 2002/58/EG verpflichtet Anbieter von Onlinediensten zur sicheren Übertragung persönlicher Daten - Keine ausdrückliche Umsetzung dieser Bestimmung in Österreich - seit 1.11.2003 jedoch direkt anwendbar - Ein Jahr danach hat die ARGE DATEN einen repräsentativen Querschnitt von österreichischen Websites in Hinblick auf sichere Datenübertragung analysiert

Sichere Datenübertragung verpflichtend

Mit der Richtlinie über die "Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation)" werden Betreiber von Onlinediensten verpflichtet Sicherheitsmaßnahmen zu ergreifen die "unter Berücksichtigung des Standes der
Technik und der Kosten ihrer Durchführung ein Sicherheitsniveau gewährleisten, das angesichts des bestehenden Risikos angemessen ist."

Im Zusammenhang mit Datenübertragung im Internet hat sich die 128bit-SSL Verschlüsselung als "Stand der Technik" herauskristallisiert und bewährt. Internet-Benutzer erkennen diese SSL-Verschlüsselung durch das "https" vor einer URL bzw. durch ein geschlossenes Schlosssymol bei manchen Webbrowsern.


Auch Datenschutzverordnung des Bundeskanzleramts schreibt SSL-Verschlüsselung vor

In mehreren Fällen war auch die Datenschutzkommission mit der Datenübertragung im Internet befasst, unter anderem bei den Abrechnungen der Apotheken mit den Sozialversicherungen. In diesen Fällen wurde die 128bit-Verschlüsselung ausdrücklich vorgeschrieben. Auch als Standardverordnung des Bundeskanzleramts wird SSL-Verschlüsselung vorgeschrieben.

Österreich hat es jedoch verabsäumt diesen Teil der EG-Richtlinie angemessen in ein Gesetz umzusetzen. Damit gilt seit 1.11.2003 dieser Teil der Richtlinie direkt. Für Online-Betreiber entstand dadurch erhebliche Rechtsunsicherheit, wie diese Richtlinie umzusetzen ist.


128bit-SSL Verschlüsselung defacto-Internet-Sicherheitsstandard

Die weite Verbreitung der SSL-Technik, die leichte Implementierbarkeit und die äußerst geringen Kosten (SSL-Zertifikate kosten weniger als 80 EUR/Jahr) waren für die ARGE DATEN Anlass genug, nach mehr als einem Jahr heimische e-commerce-Anbieter bezüglich der Sicherheit der Datenübertragung zu analysieren.


Schwache Ergebnisse in Österreich

Analysiert wurden 2004 422 e-commerce-Anbieter, praktisch durchwegs Online-Shops. Als Referenzstichprobe wurden auch 210 ausländische Anbieter (meist mit Sitz Deutschland) herangezogen, die in Österreich aktiv sind.

Nur 18,7% (79 Anbieter) verwenden die sichere SSL-Verschlüsselung, 343 (oder mehr als 80%) ignorieren den gesetzlichen Auftrag zur sicheren Onlinekommunikation. Damit sind die Daten eklatant schlechter als die Vergleichsstichprobe der ausländischen Anbieter. Hier verwenden immerhin 43,9% sichere Datenübertragung, der Anteil ist mehr als doppelt so hoch wie in Österreich.

Hans G. Zeger: "Nach unseren Erfahrungen dürfte EU-weit in noch in keinem Land die sichere Datenkommunikation die Mehrheit darstellen, Österreich dürfte mit seinen Daten jedoch im letzten Drittel liegen."


Keine Verbesserungen gegenüber Vergangenheit

Die aktuellen Daten wurden auch mit Analysen aus den Jahren 2002 und 2003 verglichen. Auffällig und geradezu ernüchternd ist die Tatsache, dass es trotz Geltung der EG-Richtlinie keine Verbesserungen gab. Auch in den vergangenen Jahren lag die Rate der sicheren Online-Angebote bei rund 20% und damit sogar eher über den aktuellen Werten.

Hans G. Zeger: "Offenbar liegt hier ein mehrfaches Versagen vor. Neben fehlender Information über die Verschlüsselungs- und Zertifizierungstechnik, dürften auch geeignete Anreize zur Installation von sicherer Datenübertragung und eine wirksame Kontrolle der Einhaltung der EU-Bestimmungen fehlen".


Relativ große branchenspezifische Unterschiede

Analysiert wurden die Webangebote quer über alle Branchen hinweg, wobei sich zum Teil erhebliche Unterschiede zeigten.

So wiesen die Angebote der Verlage und Buchhändler mit einem Anteil von 32,1% an sicherer Datenübertragung das beste Ergebnis auf.

Überraschend war die relativ geringe Verbreitung sicherer Kommunikation im Bereich der IT-Anbieter (also Computerhändler, Internet- und Telekomanbieter, IT-Dienstleister). Mit gerade 24,6% ist der Wert kaum besser als beim sonstigen Einzelhandel (23,3%). Gerade aus dem IT-Sektor hätte man sich Impulse und eine gewisse Vorbildwirkung erwartet.

Geradezu bestürzend sind die Werte bei den Gesundheitsdiensteanbietern im Internet (darunter auch die Apotheken). Mit bloß 6,9% Anteil der sicheren Kommunikation ein beschämendes Ergebnis.

Hans G. Zeger: "Auch wenn Österreichs Apotheken noch keine Medikamente online verkaufen dürfen, werden über viele Gesundheitsportale durch Anfragen, Onlineberatung und Verkauf von Nahrungsergänzungsmitteln gesundheitsbezogene oder zumindest gesundheitsnahe Informationen ausgetauscht. Hier mangelt es eklatant an Sensibilität der Betreiber und am Schutz der Benutzer."


Regional keine eindeutigen Trends

Eine Analyse der Online-Angebote nach der Niederlassung des Betreibers ergab keine eindeutigen Trends. Wien, Salzburg und Niederösterreich mit Anteilen zwischen 23,0% und 25,3% an sicherer Datenübertragung etwas besser als der Bundesschnitt, Öberösterreich mit bloß 8,7% deutlich darunter.

Ein Ost-West-Gefälle läßt sich jedoch aus den Daten nicht herauslesen. Offenbar hängt die sicherheitstechnische Qualität eines Online-Angebots stärker vom Knowhow des realisierenden Webdesignbüros ab, als vom Unternehmensstandort des Betreibers.


Warnung an Konsumenten

Grundsätzlich sollten Konsumenten keine persönlichen Daten bekannt geben und keine Bestellungen oder Anmeldungen (Logins) über nicht verschlüsselte Seiten tätigen. Derartige Online-Angebote sollten gemieden werden.

Neben dem hohen Risiko, dass persönliche Daten oder Logindaten ausgespäht und missbraucht werden, hat der Konsument keine Sicherheit, dass der angegebene Online-Anbieter überhaupt existiert, dass das Angebot unverfälscht ist und die Kontaktdaten des Betreibers richtig sind.

Verwendet der Webanbieter verschlüsselte Datenübertragung, dann kann jeder Benutzer an Hand des ausgestellten Zertifikats auch die tatsächliche Identität des Anbieters feststellen. Die Identität wurde vom ausstellenden Zertifizierungsdienstleister gemäß dem Signaturgesetz geprüft. Der Konsument hat damit die Sicherheit zu wissen, mit welchem Anbieter er es tatsächlich zu tun hat.


Empfehlung an Online-Betreiber

Besonders in Hinblick auf die internationale Entwicklung und auch um ausreichende Akzeptanz bei den Internet-Benutzern zu gewinnen, sollte raschest auf sichere Datenkommunikation umgestellt werden. Dies sollte auch gegenüber dem Webdesignanbieter in der Ausschreibung eines Webportals berücksichtigt werden.

mehr --> EU-Datenschutzrichtlinie für elektronische Kommunikation - Zwi...
mehr --> http://www.e-rating.at/php/cms_monitor.php?q=PUB-TEXT-E-RATING&search=99271cii
mehr --> http://www.e-rating.at
Archiv --> Online-Shopping mit Kreditkarte - nicht immer sicher verbunden


Die angezeigten Informationen sind nur zur persönlichen Nutzung bestimmt. Jede Weitergabe an Dritte ist unzulässig und ausdrücklich untersagt. Alle Angaben und Informationen ohne Gewähr. Trotz sorgfältiger Recherche besteht die Möglichkeit, daß einzelne Informationen veraltet, unklar oder unvollständig sind. Sollten Sie Kenntnis von derartigen Informationen erhalten, ersuchen wir Sie um Rückmeldung, damit wir die Daten raschest korrigieren können. e-commerce Ratingwerte geben die Einschätzung des e-rating-Teams zu der genannten Organisationen und Webshops wider. Diese Einschätzung muss nicht mit Einschätzungen anderer Rating-Organisationen oder mit der Selbsteinschätzung der bewerteten Organisation übereinstimmen. Es liegt in der Verantwortung jedes Benutzers des Informationssystems die Ratingwerte in geeigneter Weise zu interpretieren.

Bei Nutzungsproblemen wenden Sie sich bitte an unseren Support! per fax +43(0)1/5320974 oder per e-mail Online Hilfe
Content Management System developed & powered by e-commerce monitoring gmbh

© e-commerce monitoring GmbH 2002-2016 webmaster
Datenschutz, Privatsphäre, Privacy, Informationsrecht, Datensicherheit, Inhouse-Schulung, Datenschutzbeauftragter, DSB, Österreich, Austria, Wien, Internet, Telekommunikation, Personendaten, Auftraggeber, Dienstleister, datenschutz-seminar.at, privacy-day.at, privacyday.at, Cloud Computing, datenschutz-seminare@at, Vorratsdatenspeicherung, Vorratsspeicherung, datenschutz tag, hacking, hacker, Whistleblowing, RFID, social media, Web 2.0, Web2.0, informationelle Selbstbestimmung, datenschutz tagung, e-government, e-commerce, Identität, phishingdata protection, privacy, data security, data safety, Inhouse, data protection officer, Austria, Vienna, internet, telecommunication, personal data, data retention, privacy protection, privacy protect, Video Surveillance, CCTV