Mehr Sicherheit mit Tokens auf Softwarebasis
Noch mehr Sicherheit verspricht Zwei-Faktor-Authentisierung, wie sie im Unternehmensumfeld schon seit Jahren durch die RSA-Tokens bekannt ist. Nachdem die Tokens aber vielen Kunden zu umständlich sind - Paypal gab die Passwort-Generatoren einige Zeit lang aus - kam beispielsweise Symantec auf die Idee eines softwarebasierten Tokens. Unter dem Namen Symantec Validation and ID Protection Service (VIP) bietet das Unternehmen einen Cloud-Dienst, der nicht nur von Größen wie Ebay oder Paypal genutzt werden kann. Laut Thomas Hemker, Sicherheitsstratege bei Symantec Deutschland, ist VIP auch für kleinere Shop-Betreiber interessant. Bezahlt wird pro registrierten Kunden, und es muss lediglich eine Gateway-Lösung installiert werden. Den Rest erledigt der Cloud-Service. Die Kunden des Shops können die Einmal-Passwörter entweder per Smartphone-App generieren oder auch vom PC aus. Der Dienst steht den Käufern kostenfrei zur Verfügung.
Symantecs Informationsdienst Deepsight liefert zudem auch IP-Adressen, von denen Attacken ausgingen. Per SCAP (Security Content Automation Protocol)-Feed oder XML-Datei können diese Informationen automatisch in entsprechende Firewall- oder IPS-/IDS-Komponenten eingespeist werden. Symantec-Mann Hemker weiß, dass vor allem Komponenten zum Absichern der Infrastruktur wie Web-Application- Firewalls oder leistungsfähige IPS-/IDS-Komponenten sehr teuer und kaum für kleinere E-Commerce-Anbieter tauglich sind. Seine Empfehlung lautet daher: "Am besten ist es, wenn der Hoster des Shop-Systems entsprechende Komponenten betreibt und sie zum Teil des Hosting-Angebots macht." (hi)