Skip to main content

R(H)EINPOWER – Datensicherheit erneut zertifiziert

Bei der Vielzahl unterschiedlicher Methoden, die Cyberkriminelle heutzutage für ihre Angriffe auf Computer und Daten einsetzen, sind mehrschichtige Abwehrmechanismen für Unternehmen unerlässlich. Auf Basis des vom TÜV Rheinland entwickelten Standards „Certified Online Shop“, führen Auditoren Vor-Ort-Prüfungen in Unternehmen durch. Ergänzend prüfen sie mögliche Schwachstellen. Dabei werden die Systeme auf Sicherheitslücken untersucht, um das Risiko zu reduzieren, dass diese von Hackern als Eintrittstor in die Unternehmenssysteme genutzt werden können. Dabei werden Prüfkriterien vor Ort bei dem Unternehmen auf Wirksamkeit geprüft und zusätzlich dokumentiert. 


Prüfkriterien in fünf Bereichen

Der Anforderungskatalog, den TÜV Rheinland für die Prüfung von Online Shops seit Oktober 2013 zugrunde legt, umfasst über 200 Kriterien aus fünf Bereichen: 

1. Oberste Leitung und Sicherheit

Zunächst wird die Informationssicherheit geprüft. Eine wichtige Rolle hat das verantwortliche Management bei der Frage, ob es das Thema Informationssicherheit und Datenschutz unterstützt. Die oberste Leitung muss die notwendige Infrastruktur, wie beispielsweise IT, Personal, Gebäude, ermitteln und zur Verfügung stellen. 

2. Compliance

Der TÜV Rheinland prüft ferner, ob der Anbieter die Gesetze einhält. Beispielsweise wird geprüft, ob bei der Aufgliederung von Preisen Endpreise hervorgehoben werden, der Endpreis also eindeutig ersichtlich ist. 

3. Der Bestellprozess

Bei dem Bestellprozess erfolgt eine Prüfung auf Sicherheit, Klarheit und Transparenz der Darstellung und darauf, inwiefern dem Kunden Widerrufsmöglichkeiten geboten werden. Bestandteil der Prüfung ist beispielsweise, ob wirklich nur jene Daten vom Kunden abgefragt werden, die zur Erfüllung des Auftrages notwendig sind. Die Auditoren führen Testbestellungen durch, prüfen die Sicherheit bei der Übertragung von Daten und bewerten alle wichtigen Informationen. 

4. Datenschutz

Die Prüfung erfolgt auf Basis des Bundesdatenschutzgesetzes und Telemediengesetzes. Unter anderem schauen sich die Auditoren an, ob das Unternehmen einen Datenschutzbeauftragten hat, sofern es gesetzlich dazu verpflichtet ist. Außerdem wird überprüft, ob alle Mitarbeiter, die mit personenbezogenen Daten in Kontakt kommen, auf das Datengeheimnis verpflichtet sind.

5. Datensicherheit

Beim Thema Datensicherheit erfolgt eine Prüfung des Informationssicherheitskonzeptes (auf Basis der ISO 27001 und des BSI-Grundschutzes des deutschen Bundesamtes für Sicherheit in der Informationstechnik). Der TÜV Rheinland untersucht, ob ein Angreifer den Online Shop durch den Einsatz von öffentlich erhältlichen Instrumenten und durch Ausnutzung öffentlich bekannter Schwachstellen potenziell kompromittieren könnte. Die Kompromittierung umfasst sowohl den unerlaubten Zugriff auf sensible Daten, etwa Kreditkarten- oder Kundeninformationen, als auch die Datenmanipulation beispielsweise bei Transaktionsdaten.

 

Wir haben uns nach 2015 auch in 2016 wieder überprüfen lassen und wurden erneut durch den TÜV Rheinland mit dem Siegel „Certified Online Shop“ zertifiziert. Wieder ein Beweis dafür, dass Datensicherheit und Datenschutz einen hohen Stellenwert bei R(H)EINPOWER haben.