Erforschen Sie, wie eine fortschrittliche Exposure-Management-Lösung einen großen Einzelhandelskunden vor schwerwiegenden Konsequenzen aufgrund eines Fehlers in der Cookie-Verwaltungspolitik gerettet hat. Es handelte sich dabei um keinen böswilligen Angriff, aber aufgrund der Komplexität von modernen Webumgebungen können Fehler passieren und Verstöße gegen die Bestimmungen können nur einen Schritt entfernt sein. Hier können Sie die vollständige Fallstudie herunterladen. Als Kind haben Sie vielleicht schon einmal Ärger bekommen, weil Sie heimlich in die Keksdose gegriffen haben. Nun, selbst wenn Sie sich noch daran erinnern können, wie Sie als „Cookie Monster“ entlarvt wurden, sind die Strafen für heutige Datendiebe noch schlimmer. Millionen von Dollar schlimmer.
Cookies sind ein wesentlicher Bestandteil moderner Web-Analytik. Ein Cookie ist ein kleines Stück Text, das die Vorlieben und Verhaltensweisen der Website-Besucher aufzeichnet und dazu dient, das Browsing-Erlebnis zu personalisieren. Genauso wie Sie früher die Zustimmung Ihrer Eltern brauchten, um sich an der Keksdose bedienen zu dürfen, muss Ihr Unternehmen nun die Zustimmung der Benutzer einholen, bevor es Cookies in den Browser eines Benutzers injiziert und Informationen über ihre Browsing-Gewohnheiten speichert oder teilt.
Als Verwalter der Keksdose der Website kann Ihr Unternehmen nicht wie mit sechs Jahren einfach hineingreifen. Sie müssen in beiden Situationen um Erlaubnis bitten, aber heutzutage können die Strafen hohe Geldbußen von Datenschutzbehörden und teure Klagen von Benutzern sein.
Eine neue Fallstudie von Reflectiz, einem führenden Unternehmen für Website-Sicherheit, zeigt, wie seine fortschrittliche Exposure-Management-Lösung einen großen Einzelhandelskunden vor schwerwiegenden Konsequenzen aufgrund eines Fehlers in seiner Cookie-Verwaltungspolitik bewahrt hat. Es handelte sich dabei um nichts Böswilliges wie einen Web-Skimming- oder Keylogging-Angriff, aber aufgrund der Komplexität moderner Webumgebungen und der Tatsache, dass Unternehmen wie dieses Hunderte von Websites verwalten müssen, können Fehler passieren und Verstöße gegen die Bestimmungen können nur einen Schritt entfernt sein.
Für die vollständige Geschichte können Sie die Fallstudie hier herunterladen.
Ein wenig über Tracking-Cookies
Tracking-Cookies gibt es schon seit den Anfangstagen des Internets. Im Jahr 1994 entwickelte Lou Montulli, ein Programmierer, der für das Vorgängerunternehmen von Netscape arbeitete, eine E-Commerce-Anwendung für MCI, einen seiner Kunden, der einen virtuellen Einkaufswagen angefordert hatte. Er erfand Cookies, um festzustellen, ob Benutzer die Website zuvor besucht hatten, und um ihre Präferenzen zu speichern.
Es wurde über Cookies in den Medien berichtet und die potenzielle Verletzung der Privatsphäre diskutiert, aber trotz dieser Bedenken erließ die Europäische Union erst im Jahr 2011 eine Gesetzgebung, um sicherzustellen, dass Websites die ausdrückliche Zustimmung der Benutzer einholen, bevor sie Cookies verwenden.
Unbefugtes Tracking ohne Cookie-Zustimmung
In dieser neuen Fallstudie wollte ein globaler Einzelhandelskunde die verschiedenen Benutzerpfade auf seinen Websites kontinuierlich überwachen und entdeckte, dass 37 Domains Cookies injizierten, ohne die ordnungsgemäße Zustimmung der Benutzer einzuholen. Die herkömmlichen Sicherheitstools des Einzelhandelsunternehmens waren aufgrund von Einschränkungen durch das VPN der Organisation blind für dieses Problem und hatten begrenzte Sichtbarkeit. Darüber hinaus wurden die betrügerischen und fehlerhaften Cookies in iFrame-Komponenten eingefügt, was für herkömmliche Sicherheitskontrollen wie WAF eine Herausforderung darstellte, um effektiv zu überwachen. Laden Sie die vollständige Fallstudie hier herunter.
Das Problem des Kunden: Geblendet vom VPN
Obwohl die Plattform des Einzelhändlers bereits andere Sicherheitslösungen hatte, war sie blind für das Problem, nämlich dass auf 37 seiner Websites Cookie-Tracking ohne ausdrückliche Zustimmung der Besucher stattfand. Dies geschah über iFrames (die verwendet werden, um Inhalte von einer Website in eine andere einzubetten), die durch ein VPN verdeckt wurden. Dadurch wurden ihre Aktivitäten maskiert und das Cookie-Zustimmungsproblem für die anderen Sicherheitslösungen unsichtbar gemacht.
Obwohl dies ein schädliches Versehen war, wurden die Daten zumindest nicht an bösartige Akteure gesendet. Stattdessen entdeckte Reflectiz, dass sie an einen legitimen Drittanbieter-Werbungsservice gingen.
Die hohen Kosten der Nichteinhaltung
Für ein Unternehmen mit Kunden in der Europäischen Union gilt die DSGVO, und eine Verletzung der Cookie-Zustimmungsregeln wird als Straftat der Kategorie 2 eingestuft. Nach dieser Verordnung können Unternehmen, die keine gültige Cookie-Zustimmung einholen, mit Geldbußen von bis zu 4% ihres weltweiten Jahresumsatzes oder 20 Millionen Euro belegt werden, je nachdem, welcher Betrag höher ist. Daher ist es wichtig, die Fähigkeit zu haben, das Verhalten jedes mit einer Website verbundenen Assets nachverfolgen zu können, und deshalb war Reflectiz in diesem Fall ein Lebensretter.
Die Lösung
Reflectiz sah, was die anderen Lösungen nicht sahen. Es identifizierte die 37 Domains, auf denen Cookies ohne Zustimmung verwendet wurden, und entdeckte, wohin die Daten gesendet wurden (in diesem Fall an einen legitimen Werbetreibenden). Dadurch konnte der Einzelhändler das Problem beheben, bevor es sich ausweiten konnte.
Die Reflectiz-Plattform bietet Unternehmen im Einzelhandel, Finanzwesen, Medizin und anderen Branchen die Einblicke, die sie benötigen, um die Datenschutzstandards einzuhalten und ähnliche Vorfälle zu vermeiden, die zu Geldbußen, Klagen und Reputationsverlust führen können. Sie wird ferngesteuert, sodass praktisch keine Leistungseinbußen entstehen, und die intuitive Benutzeroberfläche ermöglicht eine schnelle Einarbeitung der Mitarbeiter.
Wichtige Erkenntnisse
Zustimmungsüberwachung: Die Plattform hat bestimmte Cookies, die ohne ordnungsgemäße Zustimmung injiziert wurden, nicht erkannt und Benutzer nicht darüber informiert. Es fehlte ein Zustimmungsfeld auf der Website.
Geheimhaltung des VPN enthüllt: Reflectizs Überwachung deckte 37 Domains auf, die Cookies ohne Zustimmung des Benutzers injizierten und auf einen ursprünglich durch ein organisatorisches VPN versteckten Standort zurückverfolgt wurden.
Kompromittierung von Drittanbieterdaten: Kompromittierte Daten gelangten über unbefugte Cookie-Injektionen, die durch einen bestimmten Benutzerpfad ausgelöst wurden, auf eine externe Domain.
Unbemerkte iFrame-Verfolgung: Nicht überwachtes iFrame-Verhalten trug zur Verletzung der Privatsphäre bei, indem Benutzerdaten ohne Zustimmung verfolgt wurden.
Bedrohung durch fehlerhafte Cookies: Ein fehlerhaftes Cookie erleichterte den Verstoß gegen den Datenschutz und stellte eine erhebliche Bedrohung für die Privatsphäre der Benutzer dar.
Kommunikationsproblem: Eine verbesserte Abstimmung zwischen den Abteilungen für Sicherheit und Marketing ist entscheidend, um Probleme im Zusammenhang mit der Implementierung von Drittanbietercode zu vermeiden.
Kontinuierliche Überwachung wichtig: Der Fall verdeutlicht die dringende Notwendigkeit einer kontinuierlichen Überwachung und Wachsamkeit in der sich ständig weiterentwickelnden Landschaft des Online-Datenschutzes, um das Vertrauen der Benutzer aufrechtzuerhalten und die Vorschriften zum Datenschutz einzuhalten. Für weitere Hintergrundinformationen und eine detaillierte Analyse können Sie die vollständige Fallstudie hier herunterladen.
