Aufgrund der in 2008 / 2009 gemeinschaftlich mit der AGOF geplanten Datenschutz-Zertifizierung, hat INFOnline von einer erneuten TÜV-Rezertifizierung in 2008 vorerst abgesehen.

Selbstverständlich können sich die Kunden von INFOnline - vor allem vor dem Hintergrund der AGOF-Datenschutz-Zertifizierung - nach wie vor auf die Sicherheit des SZM-Systems in Punkto Zählverfahren, Internet-Sicherheit und Verfahrensüberwachung verlassen.

Das SZM-Verfahren wurde im zweiten Quartal 2006 und im Mai 2007 von der zur TÜV Saarland Gruppe gehörenden tekit Consult Bonn GmbH intensiv auf seine programmtechnische Umsetzung, Sicherheit in Bezug auf unbemerkte Datenmanipulationen und unbefugten Zugriff sowie die von INFOnline fortlaufend durchgeführte Verfahrensüberwachung geprüft. Mit dem erfreulichen Ergebnis, dass das Bonner Unternehmen berechtigt ist, für das SZM (Skalierbares Zentrales Messverfahren) die Prüfzeichen "Geprüftes Zählverfahren", "Geprüfte Verfahrensüberwachung" und "Geprüfte Internet Security" zu führen.

Überprüfung von Zählverfahren und Verfahrensüberwachung

Das Zählverfahren wurde von tekit mit verschiedenen Tests durchleuchtet: Dabei wurden unter anderem skript-gesteuert der Besuch einer Web-Seite und das Verweilen unter Abrufen verschiedener Einzelseiten in verschiedenen Variationen (Cookie-Akzeptanz bzw. -ablehnung, verschiedene User-Agents, Java Script zugelassen bzw. nicht zu gelassen) getestet.

SZM-Boxen ermitteln PIs und Visits unabhängig von der Last richtig

In umfangreichen Last-Tests ermittelten die tekit-Experten eine mit 99,26 Prozent sehr zuverlässige Zählung durch die SZM-Box. Die geringe Fehlerquote bleibt auch bei hoher Last konstant und ist somit auf Transportprobleme im Netz zurückzuführen. Werden die für die Ermittlung des Ident zulässigen Parameter variiert, werden PIs und Visits durch das SZM korrekt gezählt, bei ungültigen Parametern erfolgt keine Ermittlung. Da die von INFOnline durchgängig durchgeführte Überwachung zu gleichen Ergebnissen komme, sei diese ebenfalls positiv zu bewerten.

Umfangreiche Tests der Internet Security

tekit richtete für die Prüfung als Testangebot eine reale Web-Seite ein und betrieb zur Zugriffsmessung eine dezentrale SZM-Box. Seitenzugriffe wurden dabei Skript-gesteuert von verschiedenen Hosts generiert. In einem ersten Prüfschritt wurde die SZM-Box einem so genannten „distributed Denial of Service" (dDoS)-ähnlichen Angriff ausgesetzt: Anhand eines Programms wie auch Skript-gesteuert erzeugten die TÜV-Experten gültige Seitenzugriffe, mit denen die Box in die Volllast getrieben werden sollte. Damit sollte geklärt werden, ob man die SZM-Box so mit Anfragen überlasten kann, dass sie nicht mehr alle PageImpressions zählen kann.

Ausschluss von Manipulationsmöglichkeiten

Da die SZM-Boxen hinter der Firewall der Kunden-Angebote „aufgestellt" werden, können Angriffe und eine daraus eventuell resultierende Übernahme der SZM-Boxen nach Ansicht von tekit im Kundennetzwerk keinen Schaden anrichten. Die als PageImpressions anfallenden Rohdaten könnten aufgrund der Art der Zählweise durchaus auch automatisiert erzeugt werden. Solche Daten dürfen jedoch bei der Weiterverarbeitung der PageImpressions nicht berücksichtigt werden. Zum Ausschluss von Manipulationsmöglichkeiten untersuchten die TÜV-Prüfer das SZM daher auf die Kriterien „Vorliegen einer stabilen Version", „Möglichkeit zur bedarfsgerechten Anpassung der Schutzfunktionen", „Protokollierbarkeit sicherheitsrelevanter Vorkommnisse", „Verschleierung der Details der Rechnerinstallation nach außen" sowie „Dokumentation von Anwendereingriffen".

Hoher Manipulationsschutz in Bezug auf Hardware und Netzwerkschnittstellen

Den Manipulationsschutz auf Hardware-/Konsolenebene bewerteten die Sachverständigen als hoch: Der Zugang zum BIOS ist passwort-geschützt, das Booten von anderen Medien unterbunden und der Zugriff auf die Konsole gesperrt. Ohne Öffnen des versiegelten Gehäuses der Box sind keine Eingriffe möglich. Auch bezüglich eines Zugriffs über Netzwerk-Schnittstellen sahen die Prüfer nach Durchführung gängiger Schwachstellen-Audits einen hohen Schutzgrad: Der Web-Server ist entsprechend abgesichert, unnötige Skripte wurden von INFOnline entfernt und auch über die bekannten Schwachstellen auf Protokoll-Ebene ist kein Angriff möglich.

Wippern: TÜV-Prüfung im Sinne unserer Kunden

„Natürlich überwachen wir das SZM-System rund um die Uhr an 365 Tagen im Jahr und testen fortlaufend Funktionsweise und richtige Zählung der Seitenzugriffe", erläutert INFOnline-Geschäftsführer Dirk Wippern. „Wichtig war uns aber, von einem unabhängigen und sachverständigen Dritten das System und unsere Vorgehensweise bei der Verfahrensüberwachung überprüfen zu lassen, um mögliche Schwachstellen aufzudecken. Sehr erfreulich ist, dass die TÜV-Prüfer trotz umfangreicher und intensiver Tests keine Beanstandungen am SZM-System gefunden haben. Unsere Kunden können also zu Recht davon ausgehen, dass die Zugriffszahlen, die wir ermitteln, die tatsächlich richtigen sind." Die von tekit ausgestellten Zertifikate sind ein Jahr gültig, INFOnline will mit dem SZM auch in den kommenden Jahren beim TÜV vorstellig werden.