Navigation path

Wissenswertes zur Sicherheit Ihrer Website

Wissenswertes zur Sicherheit Ihrer Website

Unabhängig davon, ob Sie Ihre Website selbst entwickeln oder Dritte damit beauftragen, sollten Sie sowohl auf ihre Entwicklung als auch auf ihre Pflege sorgfältig achten. Der Umgang mit Vorfällen der Internetsicherheit könnte einen großen Einfluss auf Ihr Unternehmen oder Ihre Marke haben (z. B. nachlassende Markenreputation), da diese Ihre Dienstleistungen unterbrechen, zu einem Vertrauensverlust auf Kundenseite führen und sogar zu behördlichen Sanktionen und Klagen führen könnten. Zu diesen Vorfällen gehören Diebstahl von Kundendaten, Manipulation der Inhalte auf Ihrem Portal, Sperrung Ihrer Website, Offenlegung vertraulicher Unternehmensinformationen usw.

Es ist auch sehr wichtig, dass Sie im Vorfeld eine Bestandsaufnahme machen, noch bevor es zu einer Sicherheitsverletzung kommen kann. Welche Informationen sind für Ihr Unternehmen unternehmenskritisch? Wo befinden sie sich? Wie schnell kann das System wiederhergestellt werden, wenn es bei einem Angriff ausgeschaltet wird? Sie sollten ein komplettes Audit Ihrer Systeme durchführen, die wichtigsten Komponenten aufnehmen und alles nachverfolgen. Stellen Sie sicher, dass Sie nicht die einzige Person sind, die dieses Dokument kennt.

Informationen auf Ihrer Website schützen

Bevor Sie mit Hostinganbietern Kontakt aufnehmen, sollten Sie sich zu den drei Kernthemen der Informationssicherheit Gedanken machen, d. h. zur Bedeutung der Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Website und Dienstleistungen, und Sie sollten die Anforderungen an die Dienstleistungsqualität festlegen.

Damit Ihr Systemdesign sicher ist, benötigen Sie einige wichtige Garantien und müssen sicherstellen, dass folgende Aspekte geschützt sind:
•    Vertraulichkeit: Informationen vor der Offenlegung gegenüber nicht berechtigten Parteien schützen (z. B. Kreditkartennummern und personenbezogene Informationen). Dies erreichen Sie, indem Sie einen angemessenen Authentifizierungsmechanismus einrichten (z. B. Zwei-Faktor-Authentifikationslösungen). Eine weitere Möglichkeit sind verschlüsselte Verbindungen (HTTPS, SSL-Sicherheitsprotokoll), um zu gewährleisten, dass nur die dazu berechtigten Personen auf Informationen zugreifen bzw. sie lesen können.
•    Integrität: Informationen vor der Änderung durch Unbefugte schützen und so deren Richtigkeit und Zuverlässigkeit sicherstellen. Tägliche Kontrollen, um geänderte Dateien zu finden, die Planung von Sicherheitstests für Ihre Website und Dienstleistungen (um sämtliche einfache Angriffe auf Ihre Website wie SQL-Injection abzuwenden) oder ein Intrusion-Prevention-System können dazu beitragen, dies zu erreichen. 
•    Verfügbarkeit: sicherstellen, dass Ihre Website rund um die Uhr verfügbar ist. Die Einrichtung einer Notstromanlage und eine penible Wartung der gesamten Hardware sind dabei zwei wichtige Schritte. 

Der Zugriff auf alle Datensysteme sollte nur nach dem „Need-to-know-Prinzip” erteilt werden, um so die Einhaltung der drei o. g. Kriterien zu gewährleisten.

Auf Sicherheitsvorfälle reagieren

Sobald es zu einem Sicherheitsvorfall kommt, steht das Vertrauen Ihrer Kunden auf dem Spiel und Sie müssen schnell reagieren, um den Schaden zu begrenzen. Es ist wichtig, dass Sie Ihre Kunden über den Vorfall informieren. Wenn beispielsweise die Passwörter betroffen sind, müssen Sie dies Ihren Kunden mitteilen, damit sie neue anlegen können, denn oft werden diese nicht nur für Ihre Website verwendet. 

Sobald Sie wissen, was das Wichtigste ist, stellen Sie sicher, dass alle relevanten Akteure ebenfalls informiert sind. Zu diesem Zweck ist es ratsam, im Falle eines Sicherheitsproblems eine Person als IT-Beauftragten zu benennen. Diese Person muss im Notfall jederzeit verfügbar sein und die vielen internen technischen Komponenten handhaben können, die für die Wiederherstellung nach einer Störung erforderlich sind. Es empfiehlt sich hierbei, ein Benachrichtigungsverfahren im Falle einer Verletzung des Datenschutzes (das in Ihre Datenschutzerklärung aufgenommen werden könnte ) zu schaffen.

Darin sollte genau beschrieben werden, wie und wann Sie Ihre Kunden im Falle einer Verletzung des Datenschutzes informieren (z. B. per Post oder E-Mail-Benachrichtigung). Voraussichtlich wird dieses bewährte Verfahren künftig in allen EU-Ländern gesetzlich vorgeschrieben sein (genauso wie die Informationspflicht gegenüber der Datenschutzaufsichtsbehörde,  sobald Sie von der Verletzung des Datenschutzes erfahren haben).

Darüber hinaus ist die Ursache der Verletzung zu ermitteln. Stellen Sie sicher, dass dies in einer Art und Weise erfolgt, die Sie ggf. vor Gericht beweisen können (wenn beispielsweise dargelegt werden kann, dass die Verletzung nicht wegen mangelnder Sicherheitsmaßnahmen erfolgte). Wenn finanzielle Informationen wie Kreditkartendaten davon betroffen sind, informieren Sie den Dienstanbieter, der Ihre Finanztransaktionen bearbeitet, damit er entsprechende Vorkehrungen treffen kann.

Zusammenfassend lässt sich festhalten, dass das wirklich Entscheidende das Vorhandensein eines umsetzbaren Plans ist, der spezifische, konkrete Maßnahmen und Verfahren zur Verfolgung eines Sicherheitsvorfalls vorsieht. Die Prozeduren sollten darauf eingehen, wer die Verantwortung trägt, wie man mit wichtigen Mitarbeitern Kontakt aufnimmt und welche Daten, Netzwerke und Dienste für die Wiederherstellung als vorrangig eingestuft werden sollten oder wer benachrichtigt werden muss (Dateneigentümer, Kunden oder Partnerunternehmen), wenn seine Daten oder Daten, die seine Netzwerke betreffen, offengelegt werden.

Beachten Sie, dass Sicherheitsverletzungen auch einfach die Folge von Fehlern bzw. Versehen von Mitarbeitern oder anderen Menschen sein können. Stellen Sie sicher, dass Sie Ihre Mitarbeiter darin schulen, Fälle von Datenmissbrauch zu erkennen, zu melden und Vorsicht walten zu lassen. Nachlässigkeit bei Mitarbeitern (z. B. im Falle des Diebstahls eines Laptops oder Mobiltelefons) ist eine häufige Ursache vonDatenschutzverletzungen.

Wählen Sie Ihr Land aus  und informieren Sie sich auf der Website des lokalen Computer-Notfallteams, Computer Emergency Response Teams (CERT), einer Gruppe von Fachleuten im Umgang mit Sicherheitsvorfällen (wie Meldung von Sicherheitsbedrohungen und Reaktion auf diese). Sie können Ihnen Informationen über das weitere Vorgehen und mögliche Hilfestellungen erteilen, falls Sie Opfer einer Cyber-Attacke wurden. Sie veröffentlichen auch Informationen über Schwachstellen und Bedrohungen in Ihrem Land.

Österreich Computer Emergency Response Team Austria: http://www.cert.at/
Belgium Computer Emergency Response Team Belgium: www.cert.be
Download the Belgian Cyber Security Guide: adopt the 10 key security principles, and implement the 10 “must-do” actions.
Bulgaria Computer Emergency Response Team Bulgaria: https://govcert.bg/
Find out more about some good security practices when setting up your website and other related security issues in your country (such as ‘Protecting Your Computer From Malicious Code’ guide (in English only).
Croatia Computer Emergency Response Team Croatia: www.cert.hr/
Cyprus n/a.
Czech Republic Computer Emergency Response Team Czech Republic: www.csirt.cz/
Denmark Computer Emergency Response Team Denmark: www.govcert.dk
Estonia Computer Emergency Response Team Estonia: www.cert.ee
In order to protect your information systems, follow the cyber-security check list  and other guidelines available on the website (Estonian or English).
Finland Computer Emergency Response Team Finland: www.cert.fi
France Computer Emergency Response Team France: www.cert.ssi.gouv.fr
Find out more about simple measures that will make your business more secure, and more (such as ‘Les 10 commandements de la sécurité sur l’internet’).
Deutschland Computer Emergency Response Team der Bundesverwaltung: https://www.cert-bund.de/
Greece Computer Emergency Response Team Greece: http://www.nis.gr
Hungary Computer Emergency Response Team Hungary: http://www.cert-hungary.hu/
Ireland IRISS – Computer Emergency Response Team Ireland: http://www.iriss.ie/
Italy CERT Nazionale: To come
Latvia Computer Emergency Response Team Latvia: www.cert.lv
Visit esidross.lv which gives information on how to protect your computer and to be safe on the Internet (in Latvian only).
Lithuania Computer Emergency Response Team Lithuania: www.cert.lt
Visit http://www.esaugumas.lt which gives information on how to protect your computer and to be safe on the Internet (in Lithuanian only).
Luxemburg Computer Emergency Response Team Luxembourg: http://www.circl.lu/
Malta Computer Emergency Response Team Malta: https://www.mita.gov.mt/en/Security/Pages/Security.aspx
Netherlands Computer Emergency Response Team Netherlands: https://www.ncsc.nl/
Find out more about Good Security Practices when setting up your website and other related security issues in your country.
Poland Computer Emergency Response Team Poland: https://www.cert.pl/
Portugal Computer Emergency Response Team Portugal: https://www.cncs.gov.pt/certpt/
Romania Computer Emergency Response Team Romania: https://cert.ro/
Slovakia Computer Emergency Response Team Slovakia: https://www.csirt.gov.sk/
Slovenia Computer Emergency Response Team Slovenia: https://www.cert.si/
Spain Computer Emergency Response Team Spain: https://www.ccn-cert.cni.es/
Sweden Computer Emergency Response Team Sweden: https://www.cert.se/
United Kingdom Computer Emergency Response Team United Kingdom: https://www.cpni.gov.uk/
Find out more at  about simple measures that will make your business more secure, and more.

 

Country specifics

Suggested country specifics to be covered:

National CERT

Questions:

•    Do you agree that the above list of country specific elements is relevant to the audience of European Digital Entrepreneurs?
•    Do you have suggestions for other than the above country specific elements that are relevant to the audience of European Digital Entrepreneurs?
•    What sources of information can you provide as an input for describing the country specifics?

Informationsquellen

Informationen auf Ihrer Website schützen 
•    Samara Hart (n/a), How can I be sure my website is secure, verfügbar unter http://pixsym.com/blog/website-security/how-can-i-be-sure-my-website-is-secure/
•    Justin Stravarius (2010), 15 great ways to secure your website, verfügbar unter http://web.appstorm.net/roundups/self-publishing/15-great-ways-to-secure-your-website/
•    Tery Chia (2012), Confidentiality, Integrity, Availability: The three components of the CIA Triad, verfügbar unter http://security.blogoverflow.com/2012/08/confidentiality-integrity-availability-the-three-components-of-the-cia-triad/, IT Security Community Blog

Auf Sicherheitsvorfälle reagieren 
•    Experian® Data Breach Resolution (Ausgabe 2013-2014), Data Breach Response Guide
•    Carl Niedbala (2014), How a Data Breach can Destroy your Startup, verfügbar unter http://foundershield.com/data-breach-can-destroy-startup-infographic/
•    Handbuch zum europäischen Datenschutzrech t: http://www.echr.coe.int/Documents/Handbook_data_protection_ENG.pdf
•    Ezra Steinhardt (2014), EU Article 29 Working Party Publishes Guidance on Data Breach Notification, verfügbar unter http://www.insideprivacy.com/data-security/data-breaches/eu-article-29-working-party-publishes-guidance-on-data-breach-notifications/, Convington