Kontakt


Wir verwenden HubSpot CRM, um Kontakt- und Informationsanfragen zu bearbeiten und zu verwalten. Bitte akzeptiere die "Funktionalen Cookies" und lade die Seite erneut, um das Kontaktformular zu laden.

Insights / Blog / Business

Zu mehr Sicherheit im E-Commerce in 5 Schritten

05. Mai 2021
Autor:in Steffen RitterSteffen RitterCommercial Director Cybersecurity

Nicht nur der Onlinehandel hat durch COVID-19 in den vergangenen Monaten Auftrieb erhalten. Es ist kein Geheimnis, dass Angriffe auf E-Commerce-Angebote mindestens im gleichen Maße zugenommen haben. Die nicht unerheblichen Risiken können aus dem vermeintlichen Heilsbringer Onlinehandel schnell einen Fluch werden lassen. Dennoch ignorieren Dienstleister wie Betreiber sie nicht selten. Wie Händler ihr Risiko für einen Sicherheitsvorfall in nur 5 Schritten nachhaltig reduzieren, zeigen Steffen Ritter und Steven Bailey in diesem Beitrag auf etailment.de.

Besonders Einzelhändler, kleinere Hersteller von Waren sowie Gastronomen haben im letzten Jahr erstmals den Vertriebsweg E-Commerce für sich entdeckt. Dass Angriffe auf E-Commerce-Angebote mindestens im gleichen Maße zugenommen haben wie der Onlinehandel, ist kein Geheimnis. Expert:innen gehen darüber hinaus von schwindelerregenden Dunkelziffern aus.

Sicherer E-Commerce ist mehr als nur ein Thema technischer Software- und Hosting-Infrastruktur. Auch in betriebswirtschaftlicher Hinsicht gibt es Einiges zu beachten. Die Risiken, die aus dem vermeintlichen Heilsbringer E-Commerce schnell einen Fluch werden lassen, sind nicht unerheblich. Dennoch: Dienstleister wie Betreiber verharmlosen oder ignorieren diese nicht selten.

Betreiber von E-Commerce-Angeboten brauchen ein nachhaltiges Risiko-Management, um im Fall eines Sicherheitsvorfalls nicht das Nachsehen zu haben.

5 Schritte, wie Händler das Risiko langfristig im Blick behalten

1. Überblick über Risiken, Gefahren und Status quo verschaffen

Darunter fallen bspw. die Fragen, wie ihr Shop oder Webportal persönliche Daten speichert, wo technische Schwachstellen existieren (könnten), wo mögliche Ziele eines Angriffs liegen und worin der Mehrwert eines Angriffs bestünde. Desweiteren sollten sich Händler informieren, welche (rechtlichen) Pflichten sie als Betreiber überhaupt haben.

Die Dokumentation der technischen Komponenten unter Sicherheitsapekten sowie eine Schulung der beteiligten Mitarbeiter:innen können oft bereits einen großen Teil der Risiken kontrollierbar machen. Viele Angriffsvektoren werden in diesem Zuge häufig sogar ohne identifizierbaren Handlungsbedarf erfasst. Diese dennoch zu dokumentieren, ist dabei keinesfalls Zeitverschwendung, sondern führt allen Beteiligten vor Augen, was für den zukünftigen Betrieb, aber auch eine mögliche Weiterentwicklung hilfreich sein könnte. Diese Art von beiläufiger Awareness-Schulung hilft auch dabei, die bei redaktionellen Arbeiten typischen Fehler zu vermeiden.

Möchte ein Betreiber sich einen Überblick über seine eigene Plattformsicherheit verschaffen, sollten auch die folgenden Aspekte betrachtet werden:

  • Werden regelmäßige Updates durchgeführt? Wer führt diese in welchen Intervallen durch? Bestehen Wartungsverträge und Service-Level-Agreements (SLAs)?
  • Wie ist die Lösung gehostet? Welche SLAs liegen dort vor und welche Vereinbarungen existieren hier für Sicherheitsupdates, Back-ups oder Ähnliches?
  • Teilt sich die Plattform einen Server mit anderen Diensten?
  • Ist das Portal mit automatisierten Schnittstellen an andere Dienste angebunden (unabhängig, ob eingehend oder ausgehend) und wurde diese Verbindung unter IT-Sicherheitsaspekten geplant und umgesetzt? Sind diese Datenquellen vertrauenswürdig oder könnten sie manipuliert werden?
  • Habe ich das Gefühl oder Wissen, dass meine Mitarbeiter:innen/Kolleg:innen wie auch beauftragte Dienstleister sich der Sicherheitsrisiken, Abwehrmaßnahmen und Folgen bewusst sind und sich regelmäßig weiterbilden?
  • Ist aus einem Provisorium eine Dauerlösung geworden oder eine längst nicht mehr gewartete Lösung nicht ersetzt worden? Sind die eingesetzten Softwarestände noch im Lebenszyklus der Hersteller in Betreuung?
  • Mussten Änderungen, Erweiterungen oder gar der ganze Launch kurzfristig umgesetzt werden, um zum Beispiel eine Werbemaßnahme zu unterstützen, einem unerwarteten Ansturm gerecht zu werden oder um auf externe Faktoren zu reagieren?

Sich diesen Fragen zu stellen und die Antworten zu dokumentieren, wird zwangsläufig zu weiteren Fragen führen, sodass man Schritt für Schritt potenzielle Problembereiche erkennen wird. Idealerweise lassen Händler diese Selbstanalyse von einem unabhängigen Dritten begleiten. Das verhindert, dass man sich selbst etwas vormacht oder Beteiligte über unangenehme Tatsachen hinwegtäuschen.

2. Juristische Beratung

Es empfiehlt sich grundsätzlich bei jedem Webangebot eine juristische Beratung in Anspruch zu nehmen, die branchen-/dienstleistungs-/produktspezifisch aufzeigt, welche Gesetze, Verordnungen und berufsrechtlichen Regularien im konkreten Tätigkeitsbereich anzuwenden sind und welche Anforderungen sich daraus für ein Onlineangebot ergeben.

Es ist wichtig zu verstehen, dass immer der Betreiber selbst dafür verantwortlich ist, dass sein Onlineangebot rechtskonform umgesetzt wird. Dies muss auch sich verändernde Inhalte oder Rechtslagen berücksichtigen. Der Technologiedienstleister ist (meist) allein für die Umsetzung zuständig und kann weder eine juristische Beratung durchführen noch für die Rechtssicherheit eines Onlineangebots haften. Erst recht nicht für dessen Inhalte.

Der Technologiedienstleisterkann weder eine juristische Beratung durchführen noch für die Rechtssicherheit eines Onlineangebots haften.

3. Wahl der passenden Dienstleister

Zu Beginn eines E-Commerce-Projektes oder Relaunchs bietet es sich an, Cybersecurity-Aspekte gleich in der Ausschreibung zu berücksichtigen. Spätestens wenn es zum ersten Angriff kommt oder sich die gesetzlichen Rahmenbedingungen entsprechemd ändern, werden sich die dadurch steigenden Investitionsausgaben amortisieren. Nicht immer liegt das Themenfeld der Cybersecurity jedoch in der Expertise der IT-Dienstleister. Viele Aspekte betreffen spezialisiertes Fachwissen, welches in weiten Teilen nichts mit der eigentlichen technologischen Einrichtung oder dem Design einer E-Commerce-Plattform zu tun hat.

In der Realität sind aber zum einen natürlich die vielen Bestandsprojekte zu betrachten, zum anderen dürften bei einem großen Teil der KMU-Projekte Umfang und -budget nicht zur Kundenzielgruppe entsprechend qualifiziert aufgestellter Cybersecurity-Anbieter passen. In diesen Fällen kann es ratsam sein, Sicherheitsexpertise in Form von kleineren Einzelberatungen durch Spezialist:innen zu dem Projekt hinzuzuziehen, um das Budget zu schonen.

4. Planen für den Ernstfall

Absolute Sicherheit gibt es nicht. Aber ein Unternehmen kann sich auf einen Angriff durch Hacker:innen vorbereiten, um im Ernstfall bestmöglich und vor allem kurzfristig und koordiniert reagieren zu können. Ein solcher Plan wird am besten von Jurist:innen, IT-Security-Spezialist:innen, dem technologischen IT-Dienstleister und den Betriebsverantwortlichen in der Organisation gemeinsam mit der Geschäftsführung entwickelt.

Er sollte im Minimum Ansprechpartner:innen und Verantwortlichkeiten definieren und gleichzeitig Konzepte zur Kommunikation, Deaktivierung von Diensten und Accounts sowie Kontaktadressen zu nötigen Stellen (zum Beispiel LKA, BKA, Datenschutzbehörden und Partner-Dienstleister) enthalten. Meist sind diese Stellen offen und dankbar dafür, dass man sich mit diesem Plan bereits vor Eintreten eines Sicherheitsvorfalls an sie wendet, sich bekannt macht und sich zum Vorgehen austauscht.

Zwar gilt: Gut geplant ist halb gewonnen! Aber eben nur halb. Für die andere Hälfte bietet die deutsche Versicherungswirtschaft sogenannte Cybersecurity-Versicherungen an, mit denen Anbieter das verbleibende Risiko und somit ihre geschäftliche Existenz absichern können.

Wichtig ist vor allem eins: einfach anfangen und in kleinen Schritten vorangehen. Am besten bevor es zu spät ist.

5. Den ersten Schritt gehen

Die Augen vor den Gefahren zu verschließen und zu hoffen, dass alles gutgeht, scheint, wenn man einer Forsa-Umfrage glaubt, en vogue zu sein. Wer allerdings online langfristig erfolgreich sein will, sollte von Anfang an Verantwortung übernehmen und seine Risiken realistisch abschätzen. Die drastische Zunahme von Cybercrime und die inzwischen einfache Verfügbarkeit von Angriffshilfsmitteln verstärken die Dringlichkeit des Handlungsbedarfs auf Seiten der Onlinehändler nur noch. Gerade kleinere Betreiber verfallen hier gerne in eine Art Schockstarre in Demut vor dem Berg von Herausforderungen.

Wichtig ist aber vor allem eins: einfach anfangen und in kleinen Schritten vorangehen. Am besten gleich, bevor es zu spät ist.

Dieser Artikel erschien zuerst auf "etailment". Wir freuen uns über Ihr Feedback und das Teilen des Artikels.

Originalbeitrag auf etailment