NEWS: Warum Sie S/MIME automatisieren sollten
News & Events

Wie Extended Validation SSL direkt zum Online-Geschäft beiträgt und warum ist das wichtig?

by 8. Mai 2018

Wir haben bereits erwähnt, wie Extended Validation (EV) SSL eine wichtige und wirksame Komponente im Kampf des Online-Geschäfts gegen Phishing darstellt . Diese Zertifikate sind jedoch nur von Bedeutung, wenn sie von Websites verwendet werden.

Es lohnt sich also, einen Blick darauf zu werfen, warum Websites EV-SSL-Zertifikate verwenden . Es ist allgemein bekannt, dass diese Zertifikate in Bezug auf Budget und Implementierungszeit teurer sind als Domain Validation (DV) -ZertifikateWenn also ein IT-Team keinen guten Grund hat, sich für EV zu entscheiden, sollten wir von ihm erwarten, dass er ein wenig Geld und Zeit spart. Obwohl die Kosten und die Unannehmlichkeiten von Elektrofahrzeugen im Vergleich zu anderen Teilen des Sicherheitsstapels unbedeutend sind, sind die Mitarbeiter grundsätzlich effizienz- und budgetorientiert. Wenn es keinen Grund gibt, etwas anderes zu tun, entscheiden sie sich für die billigste und einfachste Lösung.

Vorteile von EV SSL

Wenn wir von Vorteilen sprechen, ist es wichtig, sich daran zu erinnern, dass die Authentifizierung nicht für die zu authentifizierende Entität gilt. Lesen Sie das noch einmal und denken Sie einen Moment darüber nach: Die Authentifizierung gilt nicht für die zu authentifizierende Entität. 

Eher ist es für alle anderen. Nehmen wir als Beispiel einen Personalausweis wie einen Führerschein oder einen Reisepass. Wenn Sie zum Flughafen gehen, müssen Sie einen amtlichen Ausweis mit sich führen. Das liegt nicht daran, dass Sie Zweifel an Ihrer eigenen Identität haben. Vielmehr tragen Sie Ihren Reisepass bei sich, da die TSA und die Zollbeamten am Flughafen diesen benötigen. Dein Reisepass ist nichts für dich; es ist für sie.

Warum tragen Sie Ihren Reisepass auf Reisen? Weil sie dich sonst nicht ins Flugzeug lassen. Mit anderen Worten, in das System ist eine Motivation für die Authentifizierung von Personen eingebaut. Wenn wir fliegen wollen, müssen wir authentifiziert sein. Unsere Motivation ist es, nicht auf unsere eigene Identität zu vertrauen. Wir alle wissen, wer wir sind. Es ist vielmehr unsere Motivation, im Flugzeug erlaubt zu sein. 

Gleiches gilt für die Authentifizierung von Online-Sites und -Diensten. IT-Profis werden ihre Zeit und Mühe nicht darauf verwenden, sich selbst als echt zu bezeichnen, weil sie das bereits wissen. Um in Authentifizierung zu investieren, brauchen sie einen Motivator. Lassen Sie uns einige der möglichen Motivatoren untersuchen.

EV ist sicherer

Eine mögliche Motivation besteht einfach darin, ein sichereres Erlebnis anzubieten. Mit EV SSL erhaltenWebsite-Besucher mehr Informationen, um echte von gefälschten Websites zu unterscheiden, was den Erfolg von Social-Engineering-Angriffen untergräbt. In einer idealen Welt, die alle Motivation wäre, würde jeder EV SSL verwenden müssen. 

Genau aus diesem Grund setzen viele Unternehmen EV ein. Manchmal liegt es nur daran, dass sie glauben, dass der Schutz der Website-Besucher ein guter Kundenservice ist, und das ist Grund genug. Manchmal liegt es daran, dass sie selbst potenzielle Opfer von Spear-Phishing-Angriffen sind, die sich gegen ihre eigenen Mitarbeiter, Lieferanten, Lieferanten oder andere Ökosystempartner richten. Manchmal liegt es daran, dass sie versuchen, die Kosten für die Kontoübernahme oder andere Serviceprobleme aufgrund von Angriffen zu minimieren.

Online-Finanzdienstleistungen, die von Zahlungen an Banken über Kreditkarten bis hin zu Wertpapiergeschäften reichen, eignen sich verdammt gut für die Verwendung von EV SSL. Dies liegt daran, dass sie möglicherweise auf der Hut sind, um Kunden gesund zu machen, wenn sie dieser Art von Angriff zum Opfer fallen. Daher sind diese Online-Finanzdienstleistungen direkt von der Gewinn- und Verlustrechnung motiviert, diese Problemklasse zu minimieren.

Leider ist es keine ideale Welt. Viele Online-Unternehmen scheinen die Frage, wie sich der Schutz der Kunden vor Kriminellen lohnt, nicht geklärt zu haben. Einzelhändler, Social-Media-Sites und viele andere Online-Unternehmen spüren keine akuten Auswirkungen der Viktimisierung eines Kunden durch Phisher. Gestohlene Kreditkartendaten werden für alle möglichen Zwecke verwendet und werden möglicherweise nie an den Händler zurückgegeben, der den Diebstahl ursprünglich zugelassen hat. Und während der Kunde durch den Kreditkartendiebstahl belästigt wird, ist es sehr unwahrscheinlich, dass jemals die Schuld auf diesen Einzelhändler fällt.

Das Gleiche gilt für viele andere Websites, bei denen die primäre Phishing-Aktivität darin besteht, Anmeldeinformationen zu stehlen, nicht dieses bestimmte Konto zu übernehmen, sondern andere wertvollere Websites (insbesondere im Finanzsektor) auf ähnliche Namen- / Kennwortkombinationen zu überprüfen. Wenn auf einer schlampigen Website Ihre Anmeldeinformationen von einem Phisher gestohlen werden, der diese Informationen verwendet, um Zugriff auf Ihr Bankkonto zu erhalten, ist die Website niemals direkt von dieser Schlamperei betroffen.

Während die Sicherheitsvorteile von EV für sich allein motivierend sind, profitieren viele wichtige Phishing-Ziele nicht direkt von der verbesserten Sicherheit, die EV bietet. Und das schafft ein gigantisches Gefangenendilemma im Web. Während wir alle besser dran wären, wenn alle Sites EV verwenden würden, sparen viele einzelne Sites, die EV überspringen, Geld und Unannehmlichkeiten, ohne echte Nachteile zu erleiden. Deshalb tun es viele, und wir alle leiden darunter. 

Um eine breite Akzeptanz von Elektrofahrzeugen zu erreichen, brauchen wir daher mehr Motivatoren als nur Sicherheit.

EV hilft bei der Einhaltung

Ein weiterer potenzieller Motivator für eine Untergruppe von Websites ist die Compliance. Viele wichtige Compliance-Standards wie PCI-DSS und HIPAA / HITECH verlangen, dass Websites Maßnahmen ergreifen, um ihre Kunden vor dem Verlust vertraulicher Informationen wie Kreditkartennummern, PII, PHI und dergleichen zu schützen. Da EV einen stärkeren Schutz gegen diese Art von Diebstahl bietet als ein OV- oder DV-Zertifikat, stellen viele Sicherheits- und Governance-Abteilungen fest, dass EV der beste Weg ist, um eine erfolgreiche Überprüfbarkeit dieser Standards sicherzustellen.

Es kommt vor, dass die Überschneidungen zwischen Unternehmen, die stark durch Compliance motiviert sind, und Unternehmen, die stark durch Sicherheit motiviert sind, um ihrer selbst willen, sehr groß sind. Finanzielle Anwendungsfälle fallen fest in diese beiden Lager, daher fügen wir auf diese Weise nicht viele Websites hinzu. Der Hauptvorteil hierbei ist, dass Gesundheitswesen und Pharmaunternehmen strenge HIPAA / HITECH-Konformitätsanforderungen haben und besser als durchschnittliche Benutzer von EV SSL sind. 

Auch hier ist der Fußabdruck von Websites, die dazu motiviert sind, ihre authentifizierten Daten zu präsentieren, noch lange nicht allgegenwärtig. Viele Websites benötigen einen zusätzlichen Motivator.

EV erhöht die Site-Transaktionen und -Nutzung

Das Geschäft ist äußerst pragmatisch. Jeder Unternehmensstandort existiert mit einem bestimmten Endziel. Wenn das Unternehmen ein Online-Händler oder ein SaaS-Unternehmen ist, liegt das Ziel auf der Hand. Sie sind hier, um Waren und Dienstleistungen zu verkaufen oder zu liefern. Aber jeder Unternehmensstandort hat ein Ziel. Andernfalls würde das Unternehmen das Geld, die Mitarbeiterzeit und den Fokus nicht investieren, um es zu erstellen und zu pflegen. 

Diese Ziele können sein:

  • Verkauf von Waren oder Dienstleistungen
  • Bereitstellung von Online-Diensten
  • Verbesserter Kundenservice (z. B. Aktivierung der Online-Überprüfung Ihres Telefons oder Ihrer Kreditkartenabrechnung)
  • Höhere Service-Effizienz (z. B. Aktivieren des Online-Self-Service, anstatt mit einem menschlichen Vertreter in einer Telefonbank zu sprechen)
  • Neue Serviceanmeldungen
  • Lead-Generierung
  • Verbrauch von Werbemitteln
  • Herunterladen von Assets oder Anwendungen
  • «Klebrigkeit» für eine Dienstleistung, ein Produkt oder eine Beziehung
  • Marktbildung für Produkte und Marken

Für jedes dieser Ziele können wir den wirtschaftlichen Wert berechnen. Wenn Sie beispielsweise einen überlegenen Kundenservice ermöglichen, erhöhen Sie die Kundenzufriedenheit und die Net Promoter Scores. Dies wiederum führt zu Verbesserungen bei der Erneuerung, einem erweiterten Anteil an Brieftaschen und Mundpropaganda. Höhere Serviceeffizienz ermöglicht die Bereitstellung des gleichen Servicelevels für die gleiche Anzahl von Kunden zu geringeren Kosten. Durch die Verbesserung der Lead-Generierung können die Kosten pro Lead gesenkt und der Umsatz gesteigert werden. Durch die zunehmende Nutzung werbebasierter Websites können mehr Anzeigenblöcke verkauft werden. Und so weiter.

In jedem Fall ist eine Verbesserung der Leistung in Bezug auf dieses Ziel für das Unternehmen direkt vorteilhaft. Und der Sicherheitsindikator der grünen Adressleiste, einschließlich des Firmennamens in Grün, muss in jedem Fall genau das tun. Durch die Verbesserung des Nutzervertrauens wird die Nutzung der Website und die Neigung zur Teilnahme an Transaktionen erhöht, was wiederum alle oben genannten Ziele bestimmt. 

Während die ROI-Berechnung für jeden dieser Anwendungsfälle unterschiedlich ist, weil der Aufwand und das Budget für das Erhalten von EV-SSL-Zertifikaten trivial gering sind, ist der erwartete Return on Investment (ROI) enorm. Für nur ein paar hundert Dollar pro Jahr und ein oder zwei zusätzliche Tage, die auf die Ausstellung eines Zertifikats warten, ist jede messbare Veränderung der Online-Geschäfts-KPIs mehr als gerechtfertigt.

EV verbessert die Online-Markenpräsenz

Ein etwas subtilerer Punkt im Sinne einer erhöhten Nutzung der Website ist der Eindruck, den eine Website bei ihren Besuchern hinterlässt. Durch das Anzeigen eines sichtbaren Sicherheitsindikators signalisiert ein Unternehmen seinen Site-Besuchern mehrere wichtige Fakten. Diese Fakten beinhalten:

  • Dieses Unternehmen investiert in erstklassige Sicherheit.
  • Dieses Geschäft kümmert sich um das Wohl der Kunden.
  • Dieses Geschäft ist operativ wirksam.
  • Das Geschäft mit dieser Firma ist angenehm und sorglos.

Das Signalisieren dieser Nachrichten während eines Online-Erlebnisses hat einen Halo-Effekt auf die Gesamtwahrnehmung der Marke. Angesichts der sehr großen Investitionen vieler Unternehmen in die Erstellung dieser Markenimpressionen ist EV erneut eine äußerst einfache und kostengünstige Möglichkeit, zu diesen Bemühungen beizutragen.

Diese Vorteile hängen von den Konventionen der Browser-Oberfläche ab

Alle diese Vorteile hängen vom Vorhandensein einer visuellen Anzeige im Browser ab.

  • Um Phishing zu bekämpfen, muss ein EV-Zertifikat echte Websites visuell von gefälschten unterscheiden.
  • Um zu den Compliance-Anforderungen beizutragen, müssen EV-Zertifikate als solche erkennbar sein, damit sie Phishing bekämpfen können.
  • Um die Transaktionen und die Nutzung der Website zu erhöhen, müssen EV-Zertifikate für Benutzer auf eine Weise sichtbar sein, die den Konventionen einer sichereren Erfahrung entspricht.
  • Um zu einem positiven Markeneindruck beizutragen, müssen EV-Zertifikate den Nutzern ein positives Signal geben.

Browserhersteller haben die Möglichkeit, die Effektivität von EV zu steigern, indem sichergestellt wird, dass der Unterschied zwischen EV- und Nicht-EV-Zertifikaten klar erkennbar ist und Unternehmensnamen und andere Identitätsinformationen für den Benutzer leicht erkennbar sind. Oder Browser können die Informationen zu EV-Zertifikaten verringern oder verbergen und von diesen Vorteilen profitieren. Um die Sicherheit für die Benutzer und das Internet insgesamt zu verbessern, müssen die Browserhersteller den ersten Weg wählen und den Benutzern helfen, sich vor Online-Fälschungen der Sites, denen sie vertrauen, zu schützen.

Tags: