IT-Sicherheitsgesetz vs. Unternehmenswebsite

Als Unternehmer eines Handwerkbetriebes oder Ladengeschäftes hat man genug mit dem Tagesgeschäft zu tun. Hat man da noch Zeit und Lust, sich wirklich mit den ständig steigenden Anforderung an eine Internetpräsenz auseinander zu setzen.

Um einen erfolgreichen Unternehmensvertrieb im Internet auf die Beine zu stellen, und glaubt man der allgemeingültigen Meinung von SEO-Experten oder Webdesign-Agenturen bedarf es einfach einer schicken Internetpräsenz (responsitives Design), etwas Werbung bei google & Co. und (seit 2013) Social Marketing. Würde man in einer idealen Internetwelt leben, könnte man sagen “Ja” nur leider ist das nicht ganz so einfach.

Seit 2013 ist das Thema “IT-Sicherheitgesetz” langsam und stetig in das Bewußtsein der großen Bigplayer der E-Commerce Branche gerückt. Schaut man sich die einzelnen Webseiten an, z.B. google, bing, facebook usw. sieht man konsequent ein grünes Schloß in der Browseradressleiste. Stichwort Onlinebanking, würden Sie einer Bank vertrauen, welche Überweisungen unverschlüsselt anbieten/annehmen würden?

Im realen Leben kennt jeder Unternehmer das HGB – Handelsgesetzbuch, verstößt man gegen die Gesetze hat man mit Konsequenzen zu rechen. Genauso ist es mit einem medialen Vertrieb eines Unternehmens. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt regelmäßig Empfehlungen und bietet ISO-Zertifizierungen an. Natürlich sind solche Maßnahmen immer mit finanziellen Aufwändungen verbunden, was kleiner Unternehmen abschreckt. Fakt ist, dass nach Bundesdatenschutz- und Telemediengesetz Unternehmen verpflichtet sind, technische und organisatorische Maßnahmen zur IT-Sicherheit zu treffen.

Am Beispiel der Industrie- und Handelskammer Stuttgart wurde festgestellt, dass eine sicher verschlüsselte Verbindungen bei Unternehmen im Südwesten noch Mangelware ist.

http://www.heise.de/security/meldung/Sicher-verschluesselte-Verbindungen-bei-Unternehmen-im-Suedwesten-noch-Mangelware-3160775.html

TLS-Check Ergebnisse (Zusammenfassung), Tests vom 22. Februar 2016 der getesteten Unternehmen im Kammerbezirk Südwesten als PDF.

Unternehmerische Risikobereiche eines Internetvertrieb:

1. Cyber-Crime: Eine rosarote Internetwelt gab es noch nie und schon im eigenem Interesse muss man seinen medialen Vertrieb abichern. Auch die Allianz für Cybersicherheit warnt, dass vermeintlich weniger attraktive Ziele im Fokus der Angreifer liegen. (https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Informationspool/CyberSicherheitsCheck/csc.html)

2. Cyber-Law: Stichwort Bundesdatenschutz- und Telemediengesetz. Schlimm genug, dass man sich mit kriminellen Cyber-Banden/Ermittlungsdiensten auseinander setzen muss, jetzt tut sich auch noch eine neue Front von Seiten des Gesetzgebers auf.

3. SEO-Effekt: Natürlich sollten sich diese Anstrengungen irgendwie auszahlen. Und Ja das tut es, verfolgt man z.B. den Google-Developerblog aufmerksam, liest man, dass google & Co. in regelmäßigen Abständen den Ranking-Algorithmus ändert, d.h. im Klartext: SEO-Maßnahmen welche noch vor einem Jahr als Erfolgsvektor galten sind heute obsolet. Derzeit gibt es eine Verlagerung zu OnPage-Vektoren, fast & unique Content, mobil optimiert und eben IT-Security.

Diese drei Risikobereiche lassen sich genau, wie beispielsweise die Websiteperformance mit google-Analytics oder Piwik, mit meist frei zugänglichen und kostenfreien Prüfmitteln testen. Es geht dabei NICHT um die Webseite (Webapplikation umgesetzt z.B. in WordPress, Typo oder Drupal usw.) des Unternehmens, wofür die meisten Unternehmer richtig investiert haben. Einfach ausgedrückt, es geht um die Plattform, welche als Dienstanbieter die Webapplikation bereit stellt.

Nicht wenige Fachbegriffe aus der IT-Welt werden missverstanden oder falsch interpretiert, z.B. was ist die Plattform, welche den Dienst bereit stellt? Damit meint man Webspace oder Server auch rootServer, vServer oder auch z.B. die Cloud genannt. Im Grunde sind das Computer welche als Dienstanbieter fungieren. Dienste sind z.B. Webdienste (Webseiten ausliefern, wenn von einem Clientcomputer PC angefragt) oder E-Maildienst (senden und empfangen von E-Mail, welche von einem E-Mailclientprogramm auf einem PC gesendet oder abgeholt werden). Die Cloud ist zum Einem nichts weiter als ein Marketing-Wort, welches einen Zusammenschluss von diversen Servern zu einem großen Server-Verbund beschreibt. Mehr ist das nicht und Neu ist solch ein Server-Verbund auch nicht.

Um am Thema der Umsetzung eines medialen Unternehmensvertrieb zu bleiben, könnte derzeit das MOTTO lauten:

FAST CONTENT – IT-SECURITY – OPTIMIZED FOR MOBILE

Die meisten Unternehmen betreiben eine Internetpräsenz, also sollte geprüft werden, ob die folgenden Merkmale umgesetzt sind:

– Corporate Unternehmensdesign, Kundenempfangsseite, Leistungsübersicht, Referenzen, Gebühren, Kontaktformular, social Media-Verlinkungen, Produktseiten usw.
– Webapplikation: umgesetzt mit verschiedene Content-Management-System (Joomla, Typo, Drupal, eigen erstelle Applikation nach MVC-Prinzip usw.)
– Implementierung von Sicherheitsfeature (Cross-Site-Request-Forgery) zur aktiven Vermeidung von cross-site-scripting (XSS) über die Webapplikation (CSRF)
(Website-übergreifende Anfragenfälschung, Sicherheitsmerkmale bekannt vom Onlinebanking etc.)
– WICHTIG: responsives Design (Sichtbar auf allen Kanälen)

Diese vordergründigen und sichtbaren Merkmale sind meistens in einer hohen Qualität umgesetzt. Sollte das nicht der Fall sein, sollten Sie über eine Relance ihrer Webpräsenz nachdenken.

Rechtlichen Anforderungen nach dem IT-Sicherheitsgesetz eines medialen Unternehmensvertrieb (i.d.R. Web, E-Mail etc.)
(Frontend oder auch die Texte auf der Webseite, Webapplikation)
rechtskonforme Impressumspflicht

– Anschrift, Kontaktdaten
– Verantwortlicher nach TMG
– Steuer-Nr etc.
– Haftung für Links
– Urheberrecht
– Die Verordnung (EU) Nr. 524/2013 über die Online-Beilegung verbraucherrechtlicher Streitigkeiten (seit 2/2016 Pflicht)
– Bildnachweis

rechtskonforme Datenschutzerklärung
– social Media Datenschutzerklärung – Aller einzeln bezogen (google Plus, Xing, Facebook, Twitter etc.)
– google Analytics (gern als erfolgreicher Abmahnverfahrensgrund genommen, wenn IP-Maskierung nicht programmiertechnisch umgesetzt ist)
– Cookie-Verordnung
– Server-Log-Files (nach Datenvorratsdatespeicherung 6 Monate, dezentrale Backups)
– Kontaktdaten
– Auskunft, Löschung, Sperrung

Bei der rechtskonformen Datenschutzerklärung kommt es bei länger bestehenden Webseiten (welche nicht aktiv gepflegt werden) schon zu den Ein oder Anderen Defiziten. Da es sich hierbei um das Frontend handelt (Content, Texte) sind diese auch schnell behoben bzw. angepaßt.

Interessanter wird es bei dem rechtlichen und datenschutz- bzw. datensicherheitskonformen Anforderungen an die Serverlösung. Diese Merkmale kann man mit Prüfwerkzeugen meist kostenfrei testen. Diese Prüfwerkzeuge sind kleine Programme/Scripte, welche genau die Serversicherheitsmerkmale definiert testen. Dabei werden im definierten Rahmen die aktuell bekannten Sicherheitslücken getestet, wie z.B. CVE-2014-0224 (Common Vulnerabilities and Exposures) darin wird beschrieben, über welche Sicherheitslücke in der Lib OpenSSL es möglich ist, Datenströme zu entschlüsseln. Schaut man sich im Internet willkürlich einige Unternehmenspräsenzen mit Onlineshop an, spielt Verschlüsselung keine Rolle, denn die Online-Shops werden ohne Verschlüsselung betrieben, d.h. alle Daten werden in Klartext über das Netz übertragen. Jeder technisch Interessierte kann mit entsprechenden Mittel ohne viel Aufwand die Daten abgreifen. Werden Onlinepräsenzen kompromittiert und es wird Publik gemacht, geht dann meistens die Reputation des Unternehmens nach Unten, vielen Unternehmern ist das gar nicht bewußt.

Welche IT-Sicherheitsanforderungen nach IT-Sicherheitsgesetz (Bundesamt für Sicherheit in der Informationstechnik, kurz BSI) sind gefordert?
Aus rechtlichen Anforderungen unterschiedlichster gesetzlicher Vorgaben sollte der gemietete Webspace, vServer oder dedizierter Server folgende Administrationsmöglichkeiten bieten:

– einstellen von dezentralen Backup (Webprojekt, Datenbank, Logfiles [Stichwort: Vorratsdatenspeicherung])
– konsequente Verschlüsselung (min. 2048 Bit-Verschlüsselung)
– Anerkanntes/allgemeingültiges Sicherheitszertifikat (SSL für Webprojekt und Email, Stichwort: grünes Schloß in der Browseradresszeile)
– folgende Serverkonfigurationen müssen administriert bzw. vorhanden sein (aktueller Stand der Technik)

  • 1. Strict Transport Security (HSTS)
    2. Configuration (Protocols, Cipher Suite etc.)
    3. Protocol-Details, (Verschlüsselung) z.B.:
    3.1. Secure Renegotiation (Neuaushandlung)
    3.2. Strict Transport Security (HSTS)
    3.3. OCSP stapling (Schneller SSL-Verschlüsselung Handshakes Server-Cient Kommunikation)
    3.4. robuste Forward Secrecy (vorwärts gerichtete Geheimhaltung)
    3.5. Signature algorithm mindest Anforderung SHA256withRSA
    4. gegen folgende Angriffszenarien muss nach BSI ein Server abgesichert sein.
    4.1. DROWN Attack
    4.2. BEAST ATTACK
    4.3. PODDLE (SSLv3 und TLS)
    4.4. DOWNGRADE attack prevention
    4.5. Heartbeat (extension) Yes
    4.6. Heartbleed (vulnerability) No
    4.7. OpenSSL CCS vuln. (CVE-2014-0224) No

– weiter sollte ein dedizierter Server (root oder vServer) folgende Sicherheitsfeatures haben:
5. Neben den vorher genannten komplexen Maßnahmen der Server-Ausbaustufe, sollte in der nächsten Ausbaustufe das Augenmerk auf die AKTIVE Defense-Line des Server gelegt werden.
6. Aktives und automatisiertes Monitoring, Abwehr und Dokumentation z.B. DDoS- oder BruteForce-Attacks auf Ihre Web- oder Emaildienste
7. Weiter sollte auch die Möglichkeit bestehen, mittels Monitoring die Netz-Schnittstelle des Servers aktiv beobachten/überwachen zu können.

Denkt man über die technischen Anforderungen zur Umsetzung der gesetzlichen Anforderungen nach, merkt man, dass ein gemieteter Webspache bei den großen Hostern wie Strato oder 1&1 usw. für eine Unternehmenspräsenz weniger bis gar nicht geeignet sind. Denn als Mieter eines kleinen Stückchen eines Servers haben Sie keinen Möglichkeit aktiv auf Sicherheitsanforderungen zu reagieren, denn diese Administration des Servers, auf dem mehrere Webpräsenzen (IP-Sharing) gehostet werden, behält sich meistens der Hoster vor.
Ein anderes Vergleichsbeispiel: z.B. ein Cloud-Server bei 1&1 mit 360GB SSD, 32GB RAM und 12 vCore CPU wird einen angeboten zu einem Preis von 249,99 EUR pro Monat.
Und dabei hat man noch keine Programmmier- bzw. Administrationsleistung, geschweige die Kosten für ein SSL-Zertifikat. “Drum prüfe, wer sich ewig bindet”.

Sind die Vorbereitungen für eine erfolgreiche Internetvermarktung (SEO-Vorbereitung) getroffen, hat eine schicke Internetpräsenz oder Onlineshop erstellt oder erstellen lassen, die Serverkonfiguration den aktuellen Stand der Technik angepaßt, sollte man auch die OnPage-Vektoren im Auge behalten.

Die folgende Aufstellung beschreiben die OnPage-Vektoren, welche eine Webapplikation leisten muss, um erfolgreich von Suchdiensten (Google, Bing etc.) indiziert, also gefunden werden kann (Ranking). Diese Vektoren werden neben der Serverkonfiguration ebenfalls von google & Co. sehr gewissenhaft für das Ranking getestet.

SEO- OnPage-Vektoren:
– SEO – Score OnPage:
Check unter: https://www.seobility.net/de/seocheck/
– PageSpeed Check (Desktop, Mobil)
Check unter: https://developers.google.com/speed/pagespeed/insights/?hl=de
– Mobil optimiert
Check unter: https://www.google.com/webmasters/tools/mobile-friendly/?hl=de
– IP-Sharing (eine eigene IP-Adresse )
Check unter: http://www.utrace.de oder https://www.cyber-konzept.de/seo/
– Blacklisting (sind Sie in guter NAchbarschaft)
Check unter: https://mxtoolbox.com/blacklists.aspx
– Webdienst (Zertifikat, Protokoll)
Check unter: https://de.ssl-tools.net/webservers
– Emaildienst (Zertifikat, Protokoll)
Check unter: https://de.ssl-tools.net/mailservers
– Email Check (versenden Sie verschüsselt oder noch im Postkartenformat)
Check unter: https://de.ssl-tools.net/mails
– Email Inhalts- und Authentifizierungmechanismen
Check unter: https://www.mail-tester.com/
– Serverkonfiguration allgemein (CyberCrime):
Check unter: https://www.ssllabs.com/ssltest/index.html
– Sitemap.xml
Check unter: https://www.google.com/webmasters/

Hinweis: Die nachfolgende Aufstellung der erforderliche Unterlagen, entscheidet man sich für einen Dienstleister, sollten umfassen:
– Leistungsangebot
– Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach § 11 BDSG (Erhebung, Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers)
– AGB
– Verpflichtung auf das Datengeheimnis gemäß § 5 Bundesdatenschutzgesetz (BDSG), auf das Fernmeldegeheimnis gemäß § 88 Telekommunikationsgesetz (TKG) und auf Wahrung von Geschäftsgeheimnisse (IT-Administratorvereinbarung)
– Logindaten zur Kundenverwaltung (wenn möglich)

Der vorstehende Text, Aufstellung erhebt keinen Anspruch auf Vollständigkeit oder ersetz eine fachliche Rechtsberatung (Keine Rechtsberatung).

Please rate this