Ein Online-Handel, der auf der minimalen Nutzung von Daten beruht, könnte es E-Commerce-Unternehmen ermöglichen, ihre Kosten strukturell zu senken. Sie können ihre Cybersicherheitskosten einsparen, den durch Datenschutzverletzungen verursachten Reputationsschaden minimieren und das digitale Vertrauen erhöhen, während sie das gleiche Nutzererlebnis und Umsatzpotenzial wie heute bieten. Vincent Jansen, Leon Kluiters und Constantijn Molengraaf von Innopay erklären, wie.
Die Vorteile des Sammelns und Verbreitens persönlicher Daten liegen auf der Hand, aber der Schutz dieser persönlichen Daten wird für E-Commerce-Unternehmen aus Sicht der Informationssicherheit immer kostspieliger.
Trotzdem scheinen E-Commerce-Unternehmen den Status quo nicht in Frage zu stellen, indem sie aktiv nach Alternativen suchen, die es ihnen ermöglichen, das gleiche Maß an Funktionalität beizubehalten, ohne personenbezogene Daten zu erfassen. Dies ist umso erstaunlicher, als eine geeignete Alternative bereits existiert: Near-Zero-Knowledge (NZK) E-Commerce.
Inhalt des Artikel
Datenschutzverletzungen
Im Jahr 2013 führte ein Cyberangriff auf das US-Einzelhandelsunternehmen Target zum Verlust von Kreditkarten- und persönlichen Daten von 110 Millionen Kunden. Anfang dieses Jahres kam es in den Niederlanden zur bisher größten Datenpanne, bei der das E-Commerce-Unternehmen Allekabels die persönlichen Daten von 3,6 Millionen niederländischen und belgischen Nutzern verlor.
Es könnte verschiedene betriebliche Gründe dafür geben, warum Target und Allekabels von diesen Sicherheitsverletzungen betroffen waren (z. B. mangelnde Cybersicherheit, Missmanagement, Unwissenheit), aber letztlich sind sie nur deshalb aufgetreten, weil die gesammelten Kundendaten sie zu interessanten Zielen für Cyberkriminelle machten. Und da Target und Allekabels bei weitem nicht die einzigen sind, die persönliche Daten über ihre Kunden sammeln, ist der nächste große Verstoß nur eine Frage der Zeit.
Tatsächlich erheben E-Commerce-Unternehmen jeder Größe derzeit personenbezogene Daten, um das breite Spektrum der E-Commerce-Funktionen auszuführen und die damit verbundenen Risiken zu bewältigen.
Personenbezogene Daten
Personenbezogene Daten wie Name und Adresse werden beispielsweise zur Abwicklung von Sendungen verwendet, Zahlungsdaten werden genutzt, um Transaktionen für wiederkehrende Kunden zu erleichtern, und das Geburtsdatum eines Kunden könnte genutzt werden, um ihm ein personalisiertes Geburtstagsgeschenk wie einen Gutschein zu schicken. Personenbezogene Daten könnten auch verwendet werden, um umfassende Kundenprofile für Marketingzwecke zu erstellen, Zahlungsprodukte und andere Mehrwertdienste anzubieten sowie Zahlungs-/Betrugsrisiken zu verwalten.
Da die Unternehmen des elektronischen Geschäftsverkehrs mit zahlreichen spezialisierten Partnern und Anbietern zusammenarbeiten, werden die von ihnen gesammelten personenbezogenen Daten häufig gemeinsam genutzt und somit vervielfältigt. So könnte beispielsweise Amazon persönliche Informationen mit einer ganzen Reihe von Drittanbietern austauschen.
Steigende IT-Sicherheitskosten
Die Sammlung und Verbreitung personenbezogener Daten bringt zwar offensichtliche Vorteile mit sich, doch der Schutz dieser Daten ist einer der Hauptfaktoren für den Anstieg der Kosten im Zusammenhang mit der Informationssicherheit für E-Commerce-Unternehmen. Denn wenn Unternehmen die persönlichen Daten, die sie von ihren Kunden gesammelt haben, verlieren – sei es durch undichte Stellen, Datenschutzverletzungen oder Hackerangriffe – können sie von den Aufsichtsbehörden mit hohen Geldstrafen belegt werden (z. B. sieht die EU-Grundverordnung Geldstrafen von bis zu 4 % des weltweiten Umsatzes für Rufschädigung vor).
Diese Kosten und Schäden werden höchstwahrscheinlich weiter steigen, da der E-Commerce-Markt und der Markt für Informationssicherheit weiter wachsen.
Ein wachsender E-Commerce-Markt, sowohl in Bezug auf die Anzahl der Unternehmen als auch auf den Umsatz pro Unternehmen, erhöht die Reputationsrisiken und die Höhe der Geldbußen und macht den E-Commerce-Markt im Allgemeinen zu einem attraktiveren Ziel für Cyberangriffe.
Der Markt für Informationssicherheit weist ebenfalls ein starkes Wachstum auf, sowohl in Bezug auf die Kosten im Zusammenhang mit Datenschutzverletzungen als auch auf die Ausgaben der Unternehmen für die Cybersicherheit.
Da das derzeitige System des elektronischen Geschäftsverkehrs das Sammeln personenbezogener Daten fördert, scheinen die Unternehmen des elektronischen Geschäftsverkehrs nicht in der Lage zu sein, diese Kosten und Risiken strukturell zu verringern. Alternativen, die keine Erhebung personenbezogener Daten erfordern, werden wenig bis gar nicht genutzt, und da die Unternehmen des elektronischen Geschäftsverkehrs den Status quo nicht aktiv in Frage stellen, indem sie nach solchen Lösungen suchen, werden auch keine neuen Alternativen entwickelt.
Die Alternative: Fast-Null-Wissen
Dies wirft die Frage auf, ob es überhaupt möglich ist, das E-Commerce-Paradigma in Richtung eines Systems zu verschieben, das dieselben Vorteile bietet und gleichzeitig die Erhebung und Weitergabe von personenbezogenen Daten drastisch reduziert, um die sicherheitsbezogenen Kosten strukturell zu senken. Wir bei INNOPAY glauben, dass dies möglich ist.
Die Lösung heißt Near-Zero-Knowledge-E-Commerce: ein Paradigmenwechsel, bei dem die Sammlung, Verteilung und der Aufwand für den Umgang mit persönlichen Daten von E-Commerce-Unternehmen auf spezialisierte Dritte, so genannte Identitätsdienstleister, verlagert wird, die die digitalen Identitäten der Kunden verwalten.
Beim wissensnahen elektronischen Geschäftsverkehr hätten alle Unternehmen im Ökosystem des elektronischen Geschäftsverkehrs nur noch Zugang zu den personenbezogenen Daten, die für das Angebot ihrer Dienste erforderlich sind. Vereinfacht könnte dies folgendermaßen funktionieren: Auf Antrag des Kunden erstellt der Identitätsanbieter ein Token, das im Ökosystem des elektronischen Geschäftsverkehrs verwendet werden kann. Dieses Token ermöglicht es dem E-Commerce-Unternehmen und anderen Dienstleistern, den Kunden zu erkennen und vom Identitätsanbieter die persönlichen Informationen anzufordern, die für die Erbringung ihrer Dienstleistung erforderlich sind.
Die vom Identitätsanbieter weitergegebenen persönlichen Daten werden ausschließlich zur Erbringung des Dienstes verwendet und anschließend gelöscht. In diesem Szenario muss nur der Identitätsanbieter die personenbezogenen Daten speichern und schützen, so dass die Unternehmen des elektronischen Geschäftsverkehrs und ihre Diensteanbieter ihre Kosten für die Informationssicherheit strukturell senken können.
Bei dem Identitätsdienstleister könnte es sich um eine kleine, spezialisierte Drittpartei handeln, aber auch große E-Commerce-Unternehmen könnten diese Rolle übernehmen. In den Niederlanden beispielsweise tut Bol.com dies bereits teilweise, indem es Kunden die Möglichkeit bietet, sich mit ihren Bol.com-Anmeldedaten bei den Webshops von Albert Heijn und Waardijk anzumelden.
Die Voraussetzungen für die Entwicklung solcher Lösungen sind bereits weitgehend vorhanden. Tragen Sie dazu bei, diesen Paradigmenwechsel voranzutreiben, und erforschen Sie gemeinsam mit uns den NZK-E-Commerce weiter. Denn je weniger Sie wissen, desto mehr wachsen Sie…
