Hundertprozentige Sicherheit ist eine Utopie. Eine Reihe bewährter Strategien kann die Sicherheit des eigenen Online-Angebots aber deutlich erhöhen.
1. Schließen Sie die Lücken in Ihrer Backup-Strategie
Backups zu erstellen gehört nach wie vor zu den unbeliebtesten, und deshalb häufig vernachlässigten Aufgaben in der IT. Viele Systeme bieten eine Möglichkeit, Backups zu automatisieren. Mehr Sicherheit bieten solche Systeme aber nur dem, der sich die Zeit nimmt, sie gründlich zu konfigurieren. Ein häufiges Problem: Shopsysteme sichern ihre Daten auf demselben physischen Server, auf dem auch der Onlineshop läuft. Im Fall eines Hackerangriffs oder eines schwerwiegenden Software-Fehlers können solche Backups hilfreich sein, bei einer Hardware-Panne wären die gesicherten Daten aber ebenso verloren wie die Originale.
Ein Backup sollte regelmäßig auf seine Funktionsfähigkeit überprüft werden. Es gibt zahllose Geschichten, die alle zum Inhalt haben, dass entweder das Backup solange hinausgeschoben wurde, bis es zu spät war. Oder es existierte zwar ein Backup, aber es funktionierte nicht und ein Restore war somit unmöglich.“
Peter Böhret, Managing Director bei Kroll Ontrack
2. Bieten Sie Ihren Kunden eine Möglichkeit zur Zwei-Faktor-Authentifizierung
Facebook, Google oder Ebay bieten diese Möglichkeit schon lange, viele Online-Banking-Angebote machen ebenfalls davon Gebrauch: Melden sich Nutzer dort mit dem Benutzernamen und ihrem Kennwort an, erhalten sie auf Wunsch eine Nachricht auf ihr Mobiltelefon. Diese Nachricht enthält gewöhnlich einen nur einmal verwendbaren Code, mit dem sie bestätigen, dass sie selbst und nicht ein Identitätsdieb versucht, sich anzumelden. Datendiebe, die die Zugangsdaten Ihrer Kunden erbeutet haben, haben dann ohne deren Mobiltelefon keine Chance, sich unter deren Identität im Shop anzumelden.
3. Speichern Sie nur die Daten, die Sie unbedingt benötigen
Datensparsamkeit gehört zu den Grundpfeilern eines soliden Datenschutzkonzeptes. Grundsätzlich dürfen Unternehmen ihren Kunden nur die Daten abverlangen, die sie benötigen, um ihre Leistungen zu erbringen. Wer also einen kostenlosen Newsletter anbietet, darf in seinem Webformular nur das Feld „E-Mail-Adresse“ zum Pflichtfeld machen. Ein Shopbetreiber benötigt zwar eine Reihe weiterer Informationen, etwa zur Zahlungsabwicklung, sollte solche Daten aber nur so lange aufbewahren, wie er sie sicher benötigt. Merke: Daten, die der Händler nicht speichert, können ihm auch nicht gestohlen werden.
4. Verwenden Sie https-Verschlüsselung
„Nicht sicher!“ melden die meisten Browser inzwischen, wenn ein Nutzer eine Website aufruft, die keine per https verschlüsselte Verbindung bietet. Händler sollten aber nicht nur wegen der damit verbundenen Prangerwirkung auf eine verschlüsselte Kommunikation auf ihrer Website setzen. Mindestens da, wo sensible Daten mit dem Kunden ausgetauscht werden, ist eine https-Verschlüsselung Pflicht, nach Meinung einiger Juristen gilt das aber auch für alle übrigen Seiten einer Website oder eines Online-Shops. Das mag noch nicht endgültig ausgeurteilt sein, Google hat sein Urteil aber bereits gefällt: Websites, die keine verschlüsselte Kommunikation bieten, schneiden in den Suchergebnissen seit einiger Zeit schlechter ab.
5. Lassen Sie Ihren Onlineshop überwachen
Dass Ihr Onlineshop rund um die Uhr geöffnet hat, heißt natürlich nicht, dass Sie ebenfalls rund um die Uhr über dessen Funktionsfähigkeit wachen sollten. Fällt ein ansonsten gutgehender Shop aber gerade in einer Zeit hoher Nachfrage – etwa in der Vorweihnachtszeit – für mehrere Stunden aus, ohne dass der Händler das mitbekommt, können damit erhebliche finanzielle Verluste einhergehen. Spezielle Dienstleister können die Überwachung übernehmen. Serverstate zum Beispiel prüft in Intervallen (je nach Wunsch minütlich bis stündlich), ob der Server erreichbar ist, und benachrichtigt den Betreiber im Falle eines Ausfalls per SMS.
6. Richten Sie ein Fallback-System ein
Ein ernsteres, nicht sofort behebbares Problem mit Shopsystem oder dem zugrundeliegenden Server kann hohe Umsatzeinbußen nach sich ziehen. Wer sich davor schützen will, hält permanent ein zweites Shopsystem auf einem physisch vom Hauptsystem getrennten Server vor, das er in einem solchen Fall schnell online schalten kann. Die Kosten für ein solches Fallback-System scheinen manchen Händlern hoch, vor allem, wenn es über Jahre nicht zum Einsatz kommen muss. Der entgangene Gewinn ist aber in der Regel höher, wenn ein solches System im entscheidenden Moment fehlt.
7. Nutzen Sie das Rechtemanagement Ihres Shopsystems
Nicht jeder Mitarbeiter benötigt vollen Zugriff auf das Shopsystem. Wenn Sie über das Rechtemanagement Ihres Systems jedem Mitarbeiter genau die Funktionen freischalten, die er für seine Aufgaben benötigt, minimieren Sie nicht nur das Risiko einer Sabotage. Auch Fehler und Datenverluste, die durch Unachtsamkeit oder Irrtum entstehen könnten, lassen sich so weitgehend vermeiden. Zeigt sich, dass ein Mitarbeiter für seine Aufgabe tatsächlich weitere Berechtigungen benötigt, erhöhen Sie die Berechtigungen, wenn das Shopsystem es zulässt, jeweils nur so weit wie nötig. (dme)
