Ich hatte heute wieder einmal ein Erlebnis mit einem Onlineshop, dass mein Mitleid mit jenen, die sich bei Online-Käufen und anderen Transaktionen blind auf „Gütesiegel” und andere „Empfehlungen” verlassen müssen, nochmals größer werden ließ.

Ein Online-Shop, nennen wir ihn der Einfachheit halber mal „MeineOrange.at”, unterwirft sich freiwillig den Vorgaben des „EURO-LABEL - Das Europäische E-Commerce-Gütezeichen” und sezt dessen Kriterien um, damit er mit dem Logo auf seiner Shopseite werben und gegenüber technisch/juristisch unversierten Personen signailisieren kann, dass es sich um einen „vertrauenswürdigen” Shop handelt. Prinzipiell ja eine gute Idee.

Na gut, der Preis der Ware ist mehr als OK, ich probier mal Meineorange.at aus. Geh auf die Seite, wähle die Ware aus und – wie das bei diesen Shops halt so üblich ist – lege einen Account im Shop an. Das dazu notwendige neue Passwort wird natürlich 20stellig aus KeepPass heraus generiert – man sollte ja für jede Site ein eigenes Passwort haben. Zu meiner große Freude wurden diese Daten auch über eine SSL-Verbindung übertragen, waren also vor dem Abhören durch einen Passwort- oder Kreditkartennummernsammler sicher.

Soweit war auch alles noch in Ordnung und auch die Bestellung lief ohne Probleme durch. Bis, ja bis ich dann die Bestätigungsmail von MeineOrange.at erhielt, die so aussah:

Sehr geehrter Herr Leyrer,
 
vielen Dank, dass sie bei uns ein Kundenkonto eröffnet haben.
 
Ihre Kundennummer lautet: 123456
 
Ihr Username lautet: leyrer@XXXXXXXXX
Ihr Passwort lautet: meinPWDimKlartext!!!

MyOrange.at erfüllt also die Kriterien des Europäischen E-Commerce-Gütezeichens, überträgt aber meine Kundenkontodaten und insbesondere das dazugehörige Passwort unverschlüsselt im Klartext über das Internet? Das kann es doch nicht sein, oder?

Und dabei heißt es in „Artikel 2 Informationen zum Datenschutz” des europäischen Verhaltenskodex:

1) Persönliche Daten, die in irgendeiner Form automatisch verarbeitet werden, sollen
…
in angemessener und zweckentsprechender Weise sowie unter Rücksicht auf die erforderliche Vertraulichkeit und auf die konkreten Wünsche des Kunden in bezug auf die Verwendung ihrer perönlichen Daten verarbeitet werden, …

Also die Bestellung habe ich bereits wiederrufen. Jetzt mache ich noch eine Beschwerde bei diesem Gütesiegeldingens. Mal schaun, ob dabei was rauskommt. Und das im Jahr 2009, als hätten wir E-Commerce gerade erst erfunden!

Tagged as: gütesiegel, rant, security, sicherheit | Author: Martin Leyrer
[Sonntag, 20091108, 15:17 | permanent link | 0 Kommentar(e)