Heartbleed und die Sache mit den Onlineshops

Heartbleed in allen Medien, SSL ist nicht mehr sicher.
Was bedeutet das eigentlich?

Gar nix – zumindest was den Luxad-Onlineshop und Good Vintage angeht.

Denn, ich habe meine Onlineshops so angelegt, dass sie komplett ohne sensible Daten (z.B. Passwörter, Kontoverbindung, Kreditkartendaten) auskommen. Und das funktioniert ganz wunderbar.
Sicher für einige etwas unbequem und merkwürdig, immerhin kann man heutzutage auf jeder Miniseite seine Bankdaten, samt Geburtsdatum, Geburtsort etc. eintragen. Könnten manche Shopbeteiber auch Fingerabdrücke und einen Irisscan speichern, würden sie das auch noch abfragen. Aber wofür müssen die eigentlich wissen, wie meine Mutter mit Mädchennamen heißt, ich wollte doch nur ein paar neue Sneaker bestellen.

Warum habe ich meine Onlineshops so angelegt? Warum muss man jedes Mal seine Adresse neu eingeben? Warum gibt es kein Login? Warum frage ich keine Bankdaten oder Kreditkarten ab?
Weil ich nur die Daten verarbeiten möchte, die ich für die Bestellung brauche. Vielleicht, weil ich selber wenn möglich als Gast bestelle oder Bestellprozesse abbreche, bei denen zu viele sensible Daten abgefragt weden. Mich ärgert es jedes Mal, wenn ich irgendwo etwas bezahlen möchte und ich nach Daten gefragt werde, die in keinem Verhältnis zum Produkt stehen. Woher soll ich wissen ob diese Daten in guten Händen sind? Und wie werden die Daten gespeichert? Und wie lange? Und warum überhaupt? Klar ist es bequem, wenn ich meine Bankdaten nicht jedes Mal eingeben muss, das heißt aber auch, dass diese sensiblen Daten gespeichert, angreifbar und manipulierbar sind.

Meine Onlineshops (Luxad und Good Vintage) sind gute Beispiele, wie es auch ohne sensible Daten prima funktioniert. In Zeiten von Heartbleed, veralteten Betriebssystemen, Viren und manchmal vielleicht auch überforderten Benutzern halte ich das noch immer für eine gute Entscheidung.
Vorkasse, was auch mit einem Überweisungsträger funktioniert, den man direkt in der Bank abgeben könnte und Paypal, einem zuverlässigen un weit verbreitetem Zahlungsmittel.

Denn Sicherheit ist zweifelsohne ein ernstes Thema und Heartbleed dabei nur eine der Schwachstellen. Für Shopbetreiber sollte Heartbleed ein Anlass zum Umdenken sein. Prozesse lassen sich auch ohne Logins umsetzen, wie auch der Zugang zum Projektkatalog von Good Vintage zeigt.
Das heißt nicht, dass man die SSL-Verbindung nicht abhören kann, aber dass keine sensiblen Daten übertragen werden, weil sie für den Prozess einfach nicht gebraucht werden.