modified eCommerce Shopsoftware Sicherheit

[p3e]

[...]
Soll und kann man hier systemseitig etwas verbessern ?

Ja, die Bankverbindungen sollten eigentlich bei bestimmter Statusänderung (z.B. bei "Versendet") unbrauchbar gemacht werden (aus Kto.-Nr. 123456789 wird 12345xxxx).
Zusätzlich finde ich es wichtig, dass Stammkunden nicht immer wieder die Bankverbindung eingeben müssen. Theoretisch kann der Shop mit der Bankverbindung aus der letzten Bestellung die Formularfelder bereits vorbelegen. Wenn diese durch xxxx für Dritte unbrauchbar gemacht wurden, muss dann lediglich die Überprüfung der Bankverbindung übersprungen werden (wenn rechter Teil von Konto-Nr = "xxxx" dann Bankverbindung = OK oder besser noch: wenn Konto-Nr = Konto-Nr der letzten Bestellung dann Bankverbindung = OK). Der Shopbetreiber hat die vollständige Bankverbindung ja sowieso in seinem Fakturierungsprogramm und benötigt diese nicht immer neu.

Den größten Teil dazu hat RolandG im letzten Jahr vorgelegt: Kontodaten für Lastschrift im Kundenaccount
Fehlt nur noch das verfremden der Konto-Nummer bei Statusänderung.

[Ceciro]

Macht das nicht Sinn eine weitere Checkbox in die "checkout_payment.php" einzubinden "Meine Bankdaten liegen bereits vor"? Ähnlich wie bei "Einzugsermächtigung wird per Fax bestätigt".

Dann muß der Kunde nicht jedes Mal die Bankdaten neu eingeben und es entsteht ein Gefühl der Sicherheit "die fragen so wenig Daten wie nötig ab.".

Funktioniert natürlich nur, wenn mit einem Warenwirtschaftssystem gearbeitet wird, in dem die Daten hinterlegt sind.

[speedy]

Warum nicht einfach so wie bei Amazon, dort wird dem Kunden die Kontonummer nach der ersten Eingabe nur noch mit *** + die letzten 2 Ziffern angezeigt. Wie das in der Datenbank gespeichert wird, ob Klartext oder verschlüsselt weiß ich natürlich nicht. Ebenso bei Kreditkarten.

[p3e]

Speedy, genau so meine ich das ja.

[web28]

Wenn die Kontonummer einmal mit *** geändert wurde kann sie bei einer neuen Bestellung nicht mehr verwendet werden. Es sei denn sie ist noch woanders gespeichert.

[speedy]

Warum, Amazon und andere könnens ja auch.
Es geht ja in erster Linie mal um Anzeige, sodass man nicht schon mit einem gehakten Admin-Account oder Kunden-Account auf die schnelle an alle möglichen Daten kommt. Sofern etwas per Mail verschickt wird, sollte man das auch nur in der gekürzten Art machen.
In der Datenbank ist das natürlich weiterhin komplett gespeichert, man speichert es ja nicht mit den *** in der Datenbank, sondern das wird nur in der Ausgabe so neutralisiert.
Zusätzlich sollte es wohl ein "Sicherheitsgefühl" beim Kunden schaffen, da man es nunmal inzwischen so von den Großen gewohnt ist.

Wenn man es jetzt optimal machen möchte, dann speichert man es wie beim Passwort eben verschlüsselt.
So macht mans dem Datenklauer zumindest möglichst schwer.
Gibt es eigentlich Vorschriften darüber was alles verschüsselt gespeichert muss, sprich z.B. Bankdaten ?

So die Theorie ... programmiert sich natürlich alles nicht von alleine.

[web28]

Amazon zeigt das mit **** an, das stimmt. Ob das auch in der Datenbank gesichert wird, entzieht sich meiner Kenntnis.

Sicher ist es nur, wenn in der Datenbank die letzten 4 Stellen gelöscht. Bei einer Neubestellung müsste der Kunde nur diesen Stellen neu eingeben, eine andere Lösung fällt mir nicht ein

[Matt]

Warum, Amazon und andere könnens ja auch.

Aldi verkauft Müsli für nen Euro das Kilogramm. Möchte mal wissen, warum das der Bioladen um die Ecke nicht kann.

Es geht ja in erster Linie mal um Anzeige, sodass man nicht schon mit einem gehakten Admin-Account oder Kunden-Account auf die schnelle an alle möglichen Daten kommt.

Mit einem gehackten Admin-Account ziehe ich dir mal alles raus, was irgendwie nicht verschlüsselt in der Datenbank steht - inklusive Bankdaten. Einfach Backup erstellen und runterladen.

In der Datenbank ist das natürlich weiterhin komplett gespeichert, man speichert es ja nicht mit den *** in der Datenbank, sondern das wird nur in der Ausgabe so neutralisiert.
Zusätzlich sollte es wohl ein "Sicherheitsgefühl" beim Kunden schaffen, da man es nunmal inzwischen so von den Großen gewohnt ist.

Security by Obscurity hat noch nie funktioniert.

Wenn man es jetzt optimal machen möchte, dann speichert man es wie beim Passwort eben verschlüsselt.
So macht mans dem Datenklauer zumindest möglichst schwer.

Wenn man es optimal machen möchte speichert man den Kram gar nicht, sondern überlässt das einem Dienstleister, der darauf spezialisiert ist. Ich weiß, dass da bei ELV die Hemmschwelle ziemlich hoch ist, aber wer nicht PCI-DSS zertifiziert ist und Kreditkartendaten speichert sollte schnellstens schauen, wie er die Kuh vom Eis bekommt.

[speedy]

In der Datenbank von Amazon bzw. deren ggf. angebundenen Zahlungsdienstleister wirds sicher nicht gekürzt / neutralisiert, sondern nur in der Anzeige, wie sollen die sonst die Zahlungen von Stammkunden abwickeln können ? Dort ist doch alles bis aufs letzte automatisiert. Würde ja auch keinen Sinn machen, wenn sie es an einer Stelle löschen / kürzen und dann irgendwo sonst noch im Klartext speichern.
Bleibt also nur, dass Sie es in der Ausgabe kürzen und hoffentlich in der Datenbank verschlüsselt speichern.

Wenn mans verschlüsselt speichert ist es genau so sicher oder unsicher wie ein ebenso dort gespeichertes Passwort.

Was jetzt auf alle Fälle mal interessant wäre, ob es hierzu Regelungen gibt ... in Deutschland wird einem ja sonst auch alles vorgeschrieben.

@Matt
Deswegen sagte ich ja auch, am besten verschlüsselt speichern. Klartext geht aber mal eben nicht mehr heutzutage, wie du mit dem DB-Dump per Shop-Admin beschrieben hast. Einfacher gehts ja gar nicht mehr an Daten zu kommen, das Werkzeug wird gleich mitgeliefert.

Die Anzeige zu kürzen bringt eigentlich im Allgemeinen nur etwas, wenn man z.B. über ein Internetcafe bestellt und sich nicht ausloggte. Ein Kunden-Account gehakt wird usw. - braucht man eigentlich nicht groß zu erklären. Auf jeden Fall besser als Klartext. Scheinbar und auch nachvollziehbar hat sichs auch bewährt, sonst würde mans nicht überall machen und wenns wie gesagt nur ein "Sicherheitsgefühl" beim Kunden produziert und der deswegen gerne und oft dort bestellt.

Und mit einem externen Zahlungsdienstleister ist das Problem gelöst ? Nur die Haftung wurde damit outgesourct. Hackt jemand den Zahlungsdienstleister, dann lohnt es sich für die auf jeden Fall ordentlich Zeit und Technik zu investieren, damit man die Daten verwerten kann, da man dann gleich Millionen Daten auf einmal bekommt. Ob das also zwangsläufig sicherer sein muss, je verlockender das Ziel, desto höher die Energie.

[web28]

Verschlüsselt speichern bringt gar nichts, weil das Entschlüsselungstool ja bekannt ist (der Shop muss das ja entschlüsseln können). Und ohne Entschlüsselung hat man die Kontonummer nicht.

[speedy]

Verschlüsselt ist immer noch besser als Klartext. Oder anders formuliert es erschwert zumindest einfach alles.
Ohne Verschlüsselung kann jeder Tölpel die Daten missbrauchen, der von mir aus mit irgendeiner Anleitung geschafft hat eine Sicherheitslücke zu nutzen.
Sicher ist heutzutage mal gar nichts mehr, mit entsprechender Technik, Wissen, Zeit ist so ziemlich alles hackbar.

Das Prinzip sollte mal sein, es einem möglichst schwer zu machen. Nur weil es keine absolute Sicherheit gibt nichts zu tun, ist auch nicht besser ...

[p3e]

Speedy, es sind keine Tölpel, die sich da die Bankdaten holen. Das ist ein riesiges Geschäft das professionell organisiert ist. Wenn die Bankdaten verschlüsselt sind, schaffen die das auch diese zu entschlüsseln.

Du kannst die Bankdaten leider nicht so verschlüsseln wie Du ein Passwort verschlüsselst. Das Passwort wir mit einer Methode verschlüsselt, die sich bei entsprechender Länge nicht mit heutiger Rechenpower entschlüsseln lässt. Der Trick dabei ist, dass das verschlüsseln sehr leicht und schnell geht, die Zeit für das Entschlüsseln aber abhängig von der Länge des Wortes extrem ansteigt.

Ich gehe eigentlich davon aus, dass die Bankdaten im Fakturierungsprogramm (oder Warenwirtschaft oder was immer man für die Rechnungen benutzt) gespeichert werden. Eigentlich ist modified eCommerce Shopsoftware nicht dazu geeignet ein Rechnungswesen zu ersetzen. Eine Firma, die im Lastschriftverfahren Beträge einzieht, arbeitet heute mit entsprechender Software. Ich kenne niemanden, der Lastschriftaufträge noch per Hand ausfüllt. Normal ist solche Software auch für Folgeabbuchungen ausgelegt.
Das bedeutet, dass die Bankdaten für Folgeaufträge lokal auf irgendeinem Rechner gespeichert sind (bei guter Software auch verschlüsselt). Das ist deutlich sicherer als auf einen öffentlichen Server. Mir reicht also völlig aus, wenn ich nur die ersten Ziffern der Kontonummer erhalte, wenn es sich um einen Folgeauftrag handelt.
Da jeder Shopbetreiber für die Daten, die er auf dem Server speichert, auch die Verantwortung trägt, lösche ich die Bankdaten bei mir in regelmäßigen Abständen per Cronjob. Im Falle eines Missbrauchs, können hohe Kosten auf einen zukommen. Für die Banken ist es relativ einfach den Shop dem die Bankdaten geklaut wurden ausfindig zu machen. Hier wir einfach überprüft, welcher Shop bei allen Geschädigten bereits in der Vergangenheit einen Lastschriftauftrag durchgeführt hat. Nicht ohne Grund veröffentlichen Firmen wie Sony einen solchen Fall um weiteren Schaden möglichst abzuwenden. Dennoch sind die Schadensersatzforderungen der Banken enorm.

Toll fände ich, wenn der Shop in Zukunft diese Daten selber unkenntlich macht.
Das muss aber unbedingt auf Datenbankebene passieren! Alles Andere ist Augenwischerei.

[speedy]

Mit Tölpel meinte ich halt irgendwelche Skriptkiddies, die sich z.B. anhand irgendwelcher Anleitungen mal eben am Shop probieren und dann auch noch Erfolg haben und Unsinn machen.
Profis, die etwas wollen, schaffen es immer. In einer bestimmten Liga, organisierte Kriminalität, ist ja auch jede erdenkliche technische Ausstattung vorhanden.

Warum aber ist es nicht möglich die Bankverbindung, sprich Kontonummer und BLZ so zu verschüsseln wie das Passwort ? Eine Kontonummer ist maximal 10-stellig, eine BLZ maximal 8-stellig in BRD.
Ich verwende Passwörter die auch mal 12-stellig sein können, damit klappt das verschlüsseln und entschlüsseln ja auch.

Mir ist schon klar, dass das verschlüsseln nicht die ultimative Lösung ist, und gegen organisierte Kriminalität schon gar nicht. Es wäre halt eben mal ein grundsätzlicher Schutz, damit man nicht einfach alles im Klartext rauskopieren kann, sondern erst einmal etwas Aufwand hat.

Ich bin ja im Internet auch nicht mit total veralteter Software und ohne Firewall und Anti-Virus unterwegs, nur weil selbst die beste Ausstattung für gewisse Personen keine Hürde darstellt.

Und zu "gekürzt" ausgeben, da traue ich mir fast zu behaupten, dass das wie gesagt positive Auswirkung auf den Umsatz hätte (Vertrauen steigt). Jedoch nur bei den Shops, die das überhaupt anbieten und das werden nicht mehr so viele sein.
Die Top-Zahlungsmittel werden ja wohl Sofortüberweisung, Paypal, Kreditkarte, Vorkasse, Rechnung sein.
Direkt Lastschrift findet man nicht mehr so oft bei Shops, wenn man selbst seine Einkäufe so betrachtet.
Bzw. indirekt hat man ja eben z.B. über Paypal Lastschrift.

Auf jeden Fall sollte man nachhaken, ob man die Bankdaten überhaupt noch so in EDV-Systemen speichern darf oder ob es hier Vorschriften gibt.

[web28]

[...]
Warum aber ist es nicht möglich die Bankverbindung, sprich Kontonummer und BLZ so zu verschüsseln wie das Passwort ? [...]

Das Passwort wird verschlüsselt in der DB gespeichert.

Bei der Passworteingabe wird das PW mit dem selben Algorithmus verschlüsselt und das Ergebnis mit dem Eintrag in der DB verglichen.

Es gibt keinen Algorithmus um die Verschlüsselung wieder Rückgängig zu machen. Um ein PW zu knacken, müssen alle möglichen Kombinationen durchgetestet werden, je nach Güte des PWs kann das sehr lange dauern. Deshalb soll das PW auch aus beliebigen Buchstaben/Zahlenkombinationen bestehen.

Gruss Web28

[hendrik]

[...]
Toll fände ich, wenn der Shop in Zukunft diese Daten selber unkenntlich macht.
Das muss aber unbedingt auf Datenbankebene passieren! Alles Andere ist Augenwischerei.

In der Theorie klingt das nicht so schwer. Allerdings wenn ein Server erstmal offen liegt, ist er offen! Und alle genialen Sicherheitmechanismen können außer Kraft gesetzt werden. Neue Verschüsselungssysteme und -mechanismen sind ein ausgesprochen komplexes Thema. Man muß die Daten schließlich wieder lesbar machen, im Gegensatz zur Passwortverifizierung. Das ist ne Achillesferse. Deshalb sind mittels Kryptographie gesicherte Systeme oft dermalen unhandlich, daß die nicht akzeptiert werden. Weiterhin sind zahlreiche Beispiele bekannt wo sich echt kluge Leute geniale Sachen einfallen ließen und hinterher fand dann doch einer ne Schwachstelle. Da war das System schon vielfältig im Einsatz.

Eine nicht zu unterschätzende Gefahr trägt zwei Ohren und sitzt hinter dem Monitor. Neu erdachte Sicherheitsmechanismen, und das ist ein deutlicher Unterschied zu bestehenden die optimiert und upgedatet werden, wiegen den Nutzer in einer vermeintlichen Sicherheit die ihn zu geringerer Sorgfalt, manchmal auch gar keiner, veranlasst.

Aber um dein Stichwort aufzugreifen "Daten selber unkenntlich machen". Diese Funktion gibts schon lange. Externe Zahlungsdienstleister / Zahlungsmodule. Sofortüberweisung, PP, iclear, und wie sie alle heißen. Diese übernehmen auch Lastschriftzahlung. Die sensiblen Kontodaten werden gar nicht auf dem Webserver gespeichert.

Gruß
Hen