Warum wir nur personalisierte Accounts einsetzen…

Kennen Sie das? Ihre Onlineagentur soll für Ihren Onlineshop eine digitale Zahlungsart wie Amazon Pay einrichten. Damit sie die Zugangsdaten für die Zahlungsabwicklung abrufen kann, geben Sie der Einfachheit halber Ihren Amazon-Pay-Zugang inkl. des zugehörigen Passworts weiter, damit der Dienstleister Ihren Shop entsprechend konfigurieren kann. Wenn Sie das so oder so ähnlich bereits erlebt haben, arbeiten Sie noch nicht mit personalisierten Accounts und sollten unbedingt weiterlesen.

Bei Zugangsdaten gilt: Sicherheit über (vermeintlichen) Komfort

Viele sind sich dabei häufig keines Problems bewusst. Das ist möglicherweise sogar auf den ersten Blick nachvollziehbar. Denn das ursprüngliche Problem ist ja gelöst, der Onlineshop funktioniert, bringt vielleicht sogar den geplanten Umsatz und Sie als Kunde sind zufrieden.

Diese Vorgehensweise birgt jedoch ein sehr hohes Risiko:
Zum einen hat Ihr Dienstleister Einblick in zu viele personenbezogene Daten, zu deren Weitergabe Sie wahrscheinlich gar nicht befugt sind. Er könnte unter Umständen beispielsweise die abgewickelten Zahlungen samt Adressdaten oder, schlimmer noch, Informationen über – warum auch immer – abgelehnte Zahlungen einsehen. Wenn er nicht im konkreten Anwendungsfall gerade technische Probleme analysieren soll, bewegen Sie sich hier juristisch auf äußerst dünnem Eis.

Wie Sie das Problem einfach lösen können

Dabei ist das oft gar nicht notwendig: Fast alle Plattformen bieten die Möglichkeit, mit personalisierten Accounts zu arbeiten. Bei diesem Prinzip hat jeder beteiligte Mitarbeiter – egal ob in Ihrem Unternehmen oder bei einem beteiligten Technologiepartner – seinen eigenen Account mit zugehörigem Passwort. Idealerweise kennt niemand das Passwort seines Kollegen. Je nachdem für welches konkrete System Sie Accounts anlegen wollen, können Sie zudem spezifische Berechtigungen setzen. So dürften nur die Geschäftsleiter beispielsweise die Transaktionen einsehen, der Dienstleister nur die Zugangsdaten für die API sowie die technischen Einstellungen und wer am Projekt nicht beteiligt ist, bekommt erst gar keinen Zugang.

Auch Content-Management-Systeme wie TYPO3 oder Blogsoftware wie WordPress bieten hier schier endlose Möglichkeiten der Zugriffssteuerung. Bonuspunkte bekommt der, der Zugangsrechte firmenweit zentral verwaltet – z.B. mit unserer Extension oauth2.

Weiterer Vorteil: Einfache Skalierbarkeit im Arbeitsalltag

Wer konsequent mit personalisierten Accounts arbeitet, hat noch weitere Vorteile: Es ist jederzeit nachvollziehbar, wer was verändert oder eingesehen hat. Auch personelle Fluktuationen, ob im eigenen Unternehmen oder extern, sind kein Problem. Scheiden Mitarbeiter aus, können Sie die Accounts unproblematisch sperren. Neue Kollegen erhalten nach Bedarf ebenso schnell Zugang. Damit erfüllen Sie in einem Rutsch auch gleich die gesetzlichen Nachweispflichten.

Wie kann die Sicherheit noch weiter gesteigert werden?

Neben der Vergabe von personalisierten Accounts empfehlen wir – wenn möglich – auch den Einsatz der sog. Two-Factor-Authentication, kurz „2FA“.

Dieses Verfahren verlangt zusätzlich zum Passwort noch die Eingabe eines sechsstelligen Einmal-PINs, den z.B. eine Smartphone-App wie der Google Authenticator bereitstellt. Der Vorteil ist hier, dass der Zugang geschützt bleibt, wenn das Passwort in falsche Hände gerät. Man braucht immer gleichzeitig Passwort und Smartphone, um sich anmelden zu können. Alle 30 Sekunden ändert sich der Einmal-PIN und man muss wieder in die App schauen, um den gerade aktuell gültigen zu erfahren.

Die Two-Factor-Authentication erlaubt ein sehr hohes Schutzniveau, bleibt aber gleichzeitig sehr bedienerfreundlich. Sie wird daher erfahrungsgemäß schnell von den Beteiligten angenommen.

Bildquellen

Über Christian Spoo

Zwingt Soft- und Hardware gerne seinen Willen auf. Spricht fließend Meme und Picdump. Bei der Marketing Factory für die Bereiche Entwicklung und technische Konzeption zuständig.

Ein Gedanke zu „Warum wir nur personalisierte Accounts einsetzen…“

  1. Ein paar weitere, typische Anwendungsfälle, wo individualisierte Zugänge für alle Mitarbeiter empfehlenswert sind:
    * Social-Media-Publishing-Tools
    (hier bitte auch nicht Admin-Rechte an einen Fake-Account geben!)
    * Google Analytics
    * Zugang zum CMS-Backend

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.