1. Januar, 2022

Potenzielle Newsletter-Doppelanmeldungen sicher umschiffen

Online-Händler, -shops und -plattformen müssen sich auch mit potenziellen Newsletter-„Doppelanmeldungen“ auseinandersetzen, da die Preisgabe sensibler Daten und damit Missbrauch droht. Aber es gibt Lösungen, um das zu vermeiden. Was bei Newsletter-Anmeldungen oft sehr stiefmütterlich behandelt wird, sind die Hinweistexte zu den jeweiligen Eingabefeldern. Ist eine E-Mail-Adresse bereits für einen Newsletter registriert und es wird versucht, diese E-Mail-Adresse erneut über das Anmeldeformular zu registrieren, sollte darauf geachtet werden, dass die angezeigten Fehlerhinweise keinerlei sensible Empfängerinformationen enthalten. Mehr noch: Diese sollten rechts- bzw. datenschutzkonform sein.

Regel: Keine vertraulichen Informationen in Hinweistexten

Insbesondere beim Eingabefeld für die E-Mail-Adresse ist der Spagat oft nicht so einfach. Die Herausforderung dabei: einen einerseits aussagekräftigen und nachvollziehbaren Hinweistext für den User zu formulieren und gleichzeitig aber auch keine vertraulichen Benutzerinformationen zu einer E-Mail-Adresse, beispielsweise, ob diese Adresse bereits registriert ist, anzuzeigen. Dieser Fall tritt oft dann ein, wenn ein Newsletter-Empfänger, etwa auf Grund von längerer Inaktivität oder weil Newsletter im Spam-Ordner landen, nicht mehr weiß, dass er bereits registriert ist. Sich unter diesen Voraussetzungen über das Anmeldeformular abermalig zu registrieren, obwohl ja für die E-Mail-Adresse bereits eine gültige Einwilligung vorliegt, wird aufgrund der versuchten Doppelanmeldung nicht funktionieren. Das Formular kann entweder gar nicht abgesendet werden oder es kann keine automatisierte Double-Opt-in-Mail ausgelöst werden.

 

Anmeldeformulare sind oft Ziel von Cyberangriffen

Fakt ist: Registrierungsformulare waren und sind ein häufiges Ziel von Cyberangriffen. Aus diesem Grund sollten dynamisch erzeugte Hinweistexte zu den Eingabefeldern Unbefugten keine sensiblen Informationen darüber liefern, welche E-Mail-Adresse bereits registriert ist. Der Hinweistext sollte unter keinen Umständen lauten wie „Die E-Mail-Adresse abc@xyz.de ist bereits registriert.“ Tatsächlich können Dritte auf diesem Weg – zum Beispiel über Bots – an hochsensible Daten gelangen, die dann für kriminelle Zwecke missbraucht werden können. Denn: Hinter bereits registrierten E-Mail-Adressen verbergen sich in aller Regel sehr hohe Vertrauenswerte in Unternehmen, Online-Händler oder -Shops. Werden Mail-Adressen über unsorgfältige Hinweistexte preisgegeben, öffnet das Dritten, die etwa Pishing- oder Spam-Mails versenden, Tür und Tor.

 

Neutrale Hinweistexte schützen, sind aber oft nicht userfreundlich

Um sich vor dieser Form der Cyberkriminalität zu schützen, empfehlen sich neutral formulierte Hinweistexte. Das könnte zum Beispiel so aussehen:

„Es ist ein Fehler aufgetreten. Bitte prüfen Sie, ob Sie eine gültige E-Mail-Adresse eingegeben haben oder ob Sie bereits registriert sind.“

Aber: Für diese verhältnismäßig langen Hinweistexte bietet das Formularlayout oftmals keinen ausreichenden Platz. Das überrascht keineswegs, weil hier verschiedene Fehlerursachen in einer einzigartigen Fehlermeldung zusammengefasst werden. Für den User ist das wenig aufschlussreich und nicht gerade userfreundlich.

 

Beste Lösung: Versand von Triggermails

Wesentlich komfortabler ist dagegen der Versand einer Transaktions- bzw. Triggermail. Der wird immer dann an die registrierte Adresse ausgelöst, sobald der User versucht, sich trotz bereits aktiver Registrierung anzumelden. Auf diese Weise können Empfänger direkt benachrichtigt werden, falls diese ihre Adresse nicht selbst eingetragen haben und erforderlichenfalls das Unternehmen kontaktieren, sofern ein Verdacht auf Formularmissbrauch vorliegt. Wichtig dabei: Die ursprünglich gespeicherten Anmeldedaten dürfen bei Doppelanmeldungen nicht verändert oder überschrieben werden. Hier besteht die Gefahr, dass die echten Empfängerdaten verfälscht werden oder verloren gehen können.

Eine Triggermail könnte diesen Text enthalten:

„Vielen Dank für Ihr Interesse an unserem Newsletter. Sie sind bereits mit dieser E-Mail-Adresse für unseren Newsletter angemeldet.“

Noch userfreundlicher wäre es überdies, die Kontaktdaten des Kundenservice zu ergänzen, sofern User weitere Fragen haben.

 

Fazit

Versender von Newslettern sollten darauf achten, wie ihr E-Mail-Workflow mit Doppelanmeldungen umgeht. Besonderes Augenmerk gilt dabei den dynamisch erzeugten Hinweistexten. Über sie sollte unter keinen Umständen die Herausgabe sensibler Informationen, wie zum Beispiel die Nennung der E-Mail-Adresse, erfolgen. Hier droht – etwa für kriminelle Zwecke wie Pishing oder Spam – Missbrauch. Automatisierte Triggermails schaffen hier Abhilfe. Dieser elegante „Workaround“ fängt Doppelanmeldungen ab, gibt keine persönlichen Daten preis und gewährleistet dadurch maximalen User-Schutz.