Die Sicherheit der eigenen IT-Infrastruktur und Website wird immer wichtiger. Nicht nur, weil Ausfälle teuer sind, sondern auch, weil die Kundschaft hinsichtlich der eigenen Daten immer sensibler wird. So hat erst kürzlich Adobe in einer Umfrage herausgefunden, dass fast die Hälfte der Befragten sich von einem Unternehmen abwenden, wenn sie zu diesem kein Vertrauen mehr hinsichtlich des Datenschutzes und der Sicherheit mehr haben.
Allein das subjektive Gefühl eines Datenmissbrauchs kann somit Kunden kosten.
Von den drei identifizierten Gründen, warum Kunden sich abwenden, haben allein zwei einen Bezug auf die Verarbeitung von Daten:
Insbesondere bei den jüngeren Generationen ist das Bewusstsein für die persönlichen Daten stark ausgeprägt: In dieser Gruppe sind es 72 Prozent (Gen Z) bzw. 64 Prozent (Millennials), die sich bei Datenmissbrauch vom Unternehmen abwenden.
Für diese Wahrnehmung der Käufer spielt die eigene Website und die digitalen Services, mit denen der Kunde in Berührung kommt, eine wesentliche Rolle. Die Folgen: Wer an der Datensicherheit spart oder intransparent mit Daten umgeht, der schadet langfristig seinem Geschäft und das mühsam aufgebaute Vertrauen leidet erheblich.
Gleichzeitig steigen damit die Risiken für die Marke immer mehr, weil IT-Strukturen immer komplizierter und kleinteiliger werden. Aus diesem Grund ist es wichtig, ein Bewusstsein für die Sicherheit der Infrastruktur und gespeicherten Daten zu entwickeln und rechtzeitig Maßnahmen zu ergreifen, um diese möglichst umfassend zu schützen. Auch in dem Hinblick, ob alle erfassten Daten überhaupt benötigt werden. Denn Daten, die nicht gespeichert werden, können auch nicht bei einem Datendiebstahl entwendet werden.
Die Sicherheit einer Website ist ein komplexes Thema, in dem verschiedenste Bereiche eine Rolle spielen:
Dabei gilt immer: Die Sicherheit des Gesamtsystems wird vom schwächsten Glied in der Kette bestimmt.
Eine moderne Website bietet heutzutage eine Vielzahl an Funktionen und Möglichkeiten. Oft ergänzt mittels Modulen, Plugins und anderen Drittkomponenten. Dies wirkt sich jedoch nicht nur negativ auf die Sicherheit, sondern oft auch auf die Performance aus. Demzufolge profitieren Sie mehrfach davon, wenn sie diese möglichst sparsam einsetzen.
Eine WordPress Website mit 20 verwendeten Plugins ist im Durchschnitt 3x anfälliger für einen Sicherheitsvorfall, als eine Installation, die mit nur 5 Plugins auskommt. Dies betrifft jedoch nicht nur auf das CMS zu, sondern alle Bereiche, die im Zusammenhang mit der Website stehen. Ein Klassiker sind hier auch die unzähligen Javascript-Bibliotheken, welche heutzutage bei einem modernen Website-Design zum Einsatz kommen.
Daher gilt: Verwenden Sie möglichst wenige Plugins, Module und Drittkomponenten wie möglich.
Sowohl für Drupal als auch WordPress gibt es verschiedene Module bzw. Plugins, welche eine Website automatisch auf bestimmte Schwachstellen hinsichtlich der Sicherheit und Konfiguration aufmerksam machen.
Hier sollte jedoch der Nutzen immer mit den Kosten (jedes Modul erhöht das prozentuale Risiko) individuell abgewogen werden.
Je weniger Plugins oder Module verwendet werden, desto geringer ist auch die Trefferfläche von möglichen Sicherheitslücken und damit dem Bedarf an Sicherheitsupdates. Denn diese sind elementar wichtig für den sicheren Betrieb einer Website.
Insbesondere wenn gängige und beliebte Systeme oder Plugins eingesetzt werden, dauert es - nach Entdeckung einer Sicherheitslücke - meist nicht lange, bis diese Lücken aktiv und automatisiert ausgenutzt werden.
Aus diesem Grund ist es wichtig, sich aktiv über mögliche Sicherheitslücken bei den eingesetzten Systemen zu informieren und bereitgestellte Updates zeitnah einzuspielen. In manchen Fällen können Stunden darüber entscheiden, ob Ihre Website sicher ist oder bereits gehackt wurde.
Einige Content-Management-Systeme geben direkt einen Hinweis in der Administrationsoberfläche, wenn ein Sicherheitsupdate verfügbar ist. Hier im Beispiels das CMS Drupal.
Tipp: Abonnieren Sie am besten auch eine Mailingliste oder Newsletter, um über aktuelle Sicherheitsprobleme von den verwendeten Systemen informiert zu bleiben. So bietet beispielsweise das Drupal Security Team einen eigenen Newsletter an, indem über alle Sicherheitsupdates informiert wird.
Diesen Ratschlag werden Sie sicherlich nicht das erste Mal bekommen haben: Es unterstreicht jedoch, wie wichtig auch sichere Passwörter für den Betrieb einer Website sind.
Die meisten Websites bzw. dahinterliegenden Content-Management-Systeme kommen mit einem Benutzerkonto daher, welches mittels Benutzername und Passwort gesichert ist. Wer dieses kennt oder erraten kann, ist bereits drin. Besonders großer Schaden kann natürlich angerichtet werden, wenn Accounts mit entsprechend großzügigen Berechtigungen, wie von Administratoren oder Redaktion, betroffen sind.
Die Sicherheit weiter steigen können Sie, indem Sie den Zugriff auf die Administrationsoberfläche weiter einschränken: Zum Beispiel, indem Sie den Login und auch die Administration selbst nur innerhalb des eigenen VPN (Virtual Private Network) zugänglich machen.
Dies funktioniert jedoch nicht mit allen Content-Management-Systemen bzw. ist manchmal mit Funktionalitäten der Website nicht kompatibel.
Vergessen Sie bei aller Sicherheit der Website nicht Ihren Computer. In einigen Fällen erlangen Angreifern den Zugang nicht über eine Sicherheitslücke Ihrer Website, sondern aufgrund Ihres Computers.
Wenn Ihr Computer von einem Virus infiziert wurde und Sie auf Ihrer Website zugreifen, kann es bereits sein, dass darüber die Website übernommen wird. Manchmal wird auf dem Computer auch eine Keylogging-Software abgelegt, die all Ihre Tastatureingaben aufzeichnet und an den Angreifer übermittelt. Dann helfen auch keine besonders sicheren Passwörter mehr etwas.
Von daher ist der Schutz Ihres Computers, Firmen-Netzwerks und aller angeschlossenen Computer genauso wichtig, wie der Ihrer Website.
Zu einer Website gehört heutzutage auch ein SSL-Zertifikat. Mithilfe des Zertifikats wird die Verbindung zwischen Ihrem Browser oder die Ihres Websitebesuchers und des Servers verschlüsselt. Das sorgt u.a. dafür, dass das Passwort für den Benutzerlogin auch verschlüsselt übertragen und somit nicht mitgelesen werden kann.
Erkennen tun Sie eine verschlüsselte Verbindung natürlich über das „https://“ am Anfang der Internet-Adresse und dem entsprechenden Symbol am Anfang der Adresszeile von Ihrem Internetbrowser.
Für das Vertrauen ist es auch wichtig, dass Sie sich regelmäßig einen Überblick darüber verschaffen, welche Daten Sie erfassen. Dazu gehören auch mögliche Tracker und Analysedienste wie Google Analytics, Matomo (ehemals Piwik) & Co.
Prüfen Sie, ob Sie die Dienste bzw. Daten wirklich noch benötigen und dass Sie dies entsprechend in den Datenschutzbedingungen ausweisen bzw. das entsprechende Einverständnis vom Besucher erfassen und diesen entsprechend aufklären.
Auch hier gilt, wie bei den Plugins, weniger ist mehr: Wenn Sie schon Matomo einsetzen, werden Sie wahrscheinlich kein Google Analytics mehr benötigen bzw. andersherum.
Es macht bei dem Besucher Ihrer Website keinen guten Eindruck, wenn Sie schreiben, dass Sie den Schutz der Daten sehr ernst nehmen und möglichst sparsam erfassen. Gleichzeitig haben Sie aber fünf verschiedene Tracker installiert, um das Besucherverhalten zu erfassen und auswerten zu können.
Daher ist es immer vertrauenerweckender, wenn Ihre Aussagen hinsichtlich der Datenverarbeitung auch mit der Realität übereinstimmen. Nicht nur wegen der DSGVO ist Datensparsamkeit angeraten, sondern auch für ein besseres Gefühl bei Ihren Kunden.
Auch bei den größten Anstrengungen lässt sich ein Datenvorfall nicht vollständig ausschließen. Sorgen Sie für diesen Fall vor.
Dies betrifft auch die Zusammenarbeit und Abstimmung mit Ihrer IT
Wenn Sie proaktiv und aufrichtig kommunizieren, dabei offen sind, können Sie den möglichen Vertrauensverlust gering halten. Damit dies gelingt, sollten Sie sich auf diesen Vorfall vorbereiten und eine entsprechende Strategie in der Schublade haben:
So sollten Sie beispielsweise klären, wer für die Kommunikation gegenüber den Betroffenen und der Öffentlichkeit verantwortlich ist. Dieser Personenkreis sollte so klein wie möglich sein und möglichst auch Entscheider umfassen, damit die Botschaft einheitlich und stark ist.
Versuchen Sie die möglichen Fragen der Presse und Kunden vorauszusehen, damit bereits im Vorfeld mögliche Antworten vorbereitet werden können. Im Ernstfall können Sie dadurch sehr schnell und effektiv kommunizieren, ohne selbst zu sehr unter Druck zu geraten. Bereiten Sie die Antworten auf verschiedene mögliche Cases vor und prüfen Sie regelmäßig, ob Ihre Annahmen und Antworten noch aktuell sind.
Übernehmen Sie in Ihrer Kommunikation Verantwortung. Versuchen Sie sich möglichst nicht als Opfer eines Angriffs (was technisch sogar stimmt) darzustellen, da dies meist negativ wahrgenommen wird. Wer offen, ehrlich kommuniziert und zu seinen Fehlern steht, der wirkt sympathisch und der Vorfall lässt sich einfacher verzeihen.
Bei Datenpannen können Sie nicht nur Vertrauen und Kunden einbüßen, sondern im Optimalfall auch neue Kunden dazugewinnen. Der verantwortungsvolle Umfang wird sich in einer langfristigen und vertrauensvollen Kundenbeziehung auszahlen:
Noch keine Kommentare vorhanden
Was denken Sie?