© bagotaj/iStock© bagotaj/iStock

IT-Sicherheit

Lauschabwehr im Netz

Daten sind der Rohstoff des 21. Jahrhunderts. Wer sie sammelt und verarbeitet, muss aber auch für deren Sicherheit sorgen.Viele Unternehmen vernachlässigen noch immer den Datenschutz auf ihren Websites. Das kann mit der neuen EU-Datenschutz-Grund­verordnung teuer werden.

Jeder Internetnutzer ist schon einmal auf diese oder eine ähnliche Warnung gestoßen: „Diese Verbindung ist nicht sicher“, heißt es etwa beim Browser Firefox. Zusätzlich ist ein durchgestrichenes Vorhängeschloss abgebildet. Mit der Meldung signalisiert der Browser, dass das Sicherheitszertifikat der gewählten Website nicht gültig oder die Verschlüsselung nicht stark genug ist, um die Privatsphäre des Nutzers zu schützen.

Unsichere Websites kann aber auch jeder selbst daran erkennen, dass die eingegebene URL nur mit „http://“ und nicht mit „https://“ beginnt. Das „s“ steht für „secure“ und zeigt an, dass die zwischen Browser und Server ausgetauschten Daten verschlüsselt werden. Fehlt das „s“, rät Firefox dazu, mit dem Besitzer der Website Kontakt aufzunehmen, ihn über den Sicherheitsfehler zu informieren und die Website so lange nicht zu verwenden, bis die Fehler beseitigt wurden. Denn wer auf solchen Websites etwa Kontaktformulare ausfüllt oder Bestellungen aufgibt, kann davon ausgehen, dass seine Daten unverschlüsselt übertragen werden und Unbefugte sie ohne größere Schwierigkeiten auslesen könnten.

Es existiert Nachholbedarf

Für Unternehmen ist es geradezu image- und geschäftsschädigend, wenn sie nicht für die grundlegende Sicherheit ihrer Websites und manchmal auch Webshops durch Verschlüsselung sorgen – und Kunden sie aus Angst einfach nicht mehr aufrufen. „Wir sind immer wieder erstaunt, dass es tatsächlich noch unverschlüsselte Websites von Unternehmen gibt“, erklärt Sebastian Dienst, Rechtsanwalt im Münchner Büro der Kanzlei Noerr und spezialisiert im Bereich Datenschutz- und IT-Sicherheitsrecht. „Während bei Webshops dieses Problem nahezu beseitigt ist, gibt es an anderer Stelle noch dringend Nachholbedarf“, sagt der ­Experte.

Aus gutem Grund. Denn Angriffe auf Kundendaten gibt es inzwischen viele. Nach einer aktuellen Studie des Digitalverbands Bitkom wurden in den vergangenen zwei Jahren in jedem sechsten Unternehmen sensible digitale Daten gestohlen, vor allem E-Mails, aber auch Kundendaten, Patente sowie Informationen aus Forschung und Entwicklung. „Jeder kann Opfer von Datendiebstahl werden“, warnt Bitkom-Präsident Achim Berg. Und häufig geschieht das tatsächlich über die Firmenwebsite. Die bundesweite Initiative-S hilft Unternehmen deshalb unter www.initiative-s.de zu überprüfen, ob ihre Webpräsenz mit Schadcode infiziert ist und unterstützt sie bei dessen Beseitigung.

In Bayern wollen die Behörden den laxen Umgang mit Daten beenden und Unternehmen, die personenbezogene Daten nutzen, zudem stärker in die Pflicht nehmen. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat eigens den Online-Service „HTTPS-Check“ eingerichtet, bei dem Firmen ihre eigene Website und Bürger jede ihnen unsicher erscheinende Unternehmensseite checken lassen können. „Sollten wir bei unseren Prüfungen auf schwarze Schafe treffen, die sich weigern, den gesetzlichen Anforderungen an den Datenschutz nachzukommen, werden wir diese mit Anordnungen oder Bußgeldern zwingen, den Grundrechtsschutz ihrer Beschäftigten und Kunden zu wahren“, erklärt Andreas Sachs, Leiter des Referats für IT-Sicherheit und technischen Datenschutz im BayLDA. „Daten, bei denen Ausspähen verhindert werden muss, sind durch Einsatz des SSL-Protokolls zu schützen“, betont er.

Verschlüsselung ist Pflicht

Das legen auch Gesetze fest. So ergibt sich die Pflicht zur Verschlüsselung von Websites gleich aus mehreren juristischen Grundlagen, darunter das IT-Sicherheitsgesetz, das Telemediengesetz sowie das Bundesdatenschutzgesetz und die kommende EU-Datenschutz-Grundverordnung. „Nach § 13 Absatz 7 des Telemediengesetzes (TMG) sind Telemedien, also auch gewerbliche Websites, in zumutbarer Weise durch technische und organisatorische Vorkehrungen gemäß dem Stand der Technik gegen unerlaubten Zugriff zu sichern, wobei die Verschlüsselung dort ausdrücklich als geeignete Maßnahme genannt wird“, erklärt Hans Markus Wulf, Fachanwalt für Informationstechnologierecht bei SK Schwarz in Hamburg. „Auch die EU-Datenschutz-Grundverordnung sieht in Artikel 32 eine Pflicht zur Verschlüsselung vor“, so Wulf. Hier sei ebenfalls bei der Wahl der Verschlüsselungsart der Stand der Technik zu berücksichtigen. „Zwar gibt es aus meiner Sicht derzeit kein Urteil, das ein Unternehmen in Deutschland zur Verschlüsselung verurteilt hätte“, sagt Wulf. Doch er erwartet, dass sich das ab Mai 2018 ändern werde. Zumal das neue Gesetz bei Missachtung Bußgelder von bis zu 20 Millionen Euro vorsieht. „Tatsächlich werden diese in der Praxis natürlich deutlich geringer ausfallen“, sagt Wulf.

Derzeit liegt das Bußgeld nach § 43 der Bußgeldvorschriften des Bundesdatenschutzgesetzes bei maximal 300.000 Euro. „Doch mir ist kein Fall bekannt, bei dem diese Summe jemals aufgerufen wurde. Nach unserer Erfahrung ist der wahrscheinlichere Fall, dass die Behörde erst einmal prüft und dann eine Anordnung erlässt. Erst wenn fortgesetzt gegen die Anordnung verstoßen wird, folgt in der Regel ein Bußgeld“, sagt Sebastian Dienst. Allerdings warnt er davor, sich angesichts dessen für die Zukunft allzu sicher zu fühlen. „Die Behörden haben mit der neuen EU-Datenschutzverordnung nicht mehr so viel Spielraum, ob sie bei Verstößen ein Bußgeld verhängen.“

Verschlüsselung wird belohnt

Unternehmen tun also gut daran, ihre Websites und Webshops auf Herz und Nieren zu überprüfen. Damit Firmeninterna und Kundendaten sicher übertragen und verwaltet werden können, gehören SSL beziehungsweise HLS und HTTPS (siehe Kasten) zu den heutigen Sicherheitsstandards. Mithilfe von SSL (Secure Socket Layer) findet der Datenaustausch zwischen Server und Client verschlüsselt statt. So können Hacker die übermittelten Daten nicht ohne weiteres mitlesen oder abfangen. Das Zertifikat kann bei mehreren Anbietern erworben werden, etwa bei Geotrust, Symantec oder Thawte. Bei vielen Hosting-Anbietern wie etwa bei 1&1, Strato oder der Telekom ist das Zertifikat im Webhosting-Paket bereits inbegriffen oder wird gegen eine Zusatzgebühr angeboten.

Ein vergleichsweise geringer Aufwand mit großer Wirkung, sagt Sebastian Dienst. Denn wer auf Verschlüsselung achtet, schützt nicht nur die Kundendaten und sein Image: „Suchmaschinen ranken auch danach, ob man Websites verschlüsselt oder nicht.“ So macht sich das Plus an Sicherheit gleich mehrfach bezahlt.

 

Was ist HTTPS, SSL und TLS?

Diese Kürzel sorgen für die Sicherheit von Websites:

HTTPS. Die Abkürzung steht für Hypertext Transfer Protocol Secure. Wird eine Website aufgerufen und erscheint dieses Kürzel, kann der Surfer sicher sein, dass ein Datenaustausch verschlüsselt und damit sicher stattfindet. Die Website muss dafür über ein digitales SSL-Zertifikat verfügen, das es in verschiedenen Sicherheitsstufen gibt.

SSL. Das Kürzel steht für Secure Socket Layers und bezeichnet eine Technologie der Verschlüsselung und Authentifizierung von Datenverkehr im Internet. Vor allem in Online-Shops, in denen sensible Daten wie Adressen und Kreditkartennummern übertragen werden, ist der Einsatz eines SSL-Zertifikats Pflicht. Damit soll verhindert werden, dass etwa die Kommunikation mitgelesen oder manipuliert wird und Kunden- oder Kreditkartendaten abgegriffen werden. Bei den meisten Website-Paketen ist das Zertifikat bereits enthalten. Wer auf Nummer sicher gehen will, beauftragt Spezialisten mit der Implementierung.

TLS. Die Abkürzung steht für Transport Layer Security und ist eine Weiterentwicklung des SSL-Zertifikats. Das Zertifikat standardisiert und sichert den Transportweg. Erst beim Empfänger werden die Daten wieder entschlüsselt.

 

 Zehn Tipps für eine sichere Website

Die Website ist die digitale Visitenkarte des Unternehmens. Eine hundertprozentige Sicherheit kann es nie geben, doch mit einer Reihe von Maßnahmen lassen sich die Risiken eindämmen:

1. Zuverlässigen Anbieter wählen.
Unternehmen mit keiner oder nur einer kleinen IT-Abteilung gehen auf Nummer sicher, wenn sie ihre Websites an einen professionellen Anbieter auslagern. Bei der Wahl ihres Hosting-Anbieters sollten sie auf Sicherheitsstandards achten. Am besten verschaffen sie sich in dessen Rechenzentrum selbst einen Überblick und fragen nach Referenzen.

2. Software regelmäßig aktualisieren.
Eventuelle Sicherheitslücken lassen sich durch regelmäßige Software-Updates stopfen.

3. Regelmäßig Backups vornehmen.
Regelmäßige Backups mit Tests, ob die Sicherungskopien im Notfall funktionieren, verringern das Risiko eines Totalausfalls.

4. Sichere Zugangsdaten verwenden.
Ein starkes Passwort ist mindestens zwölf Zeichen lang und enthält einen Mix aus Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern.

5. Website mit SSL verschlüsseln und Webformulare absichern.
Viele Angriffe auf die Website erfolgen über ungesicherte Webformulare wie Kontakt- oder Bestellformulare. Der Einsatz des Netzwerkprotokolls SSL (Secure Socket Layer) sollte deshalb Pflicht sein.

6. Regelmäßige Website-Sicherheitschecks durchführen.
Das funktioniert beispielsweise mit dem Web­seiten-Check der Initiative-S (www.initiative-s.de).

7. Rechtssichere Datenschutzerklärung verfassen.
Angaben unter dem Punkt „Datenschutzerklärung“, dass alle Informationen legal genutzt und verarbeitet werden, sorgen für die rechtliche Sicherheit.

8. Fremdinhalte nur von vertrauenswürdigen Quellen einbinden.
Wer Fremdinhalte wie Analyse-Tools auf seine Website einbindet, läuft Gefahr, Schadcodes einzuspielen. Inhalte nur von vertrauenswürdigen Quellen einbinden.

9. Sich selbst und die Mitarbeiter auf dem Laufenden halten.
Wer über aktuelle Gefahren informiert ist, kann sie eher erkennen und zeitnah Sicherheitsvorkehrungen treffen.

10. Captcha-Abfragen in Kontaktformulare ein­binden.
Typische Captcha-Aufgaben verlangen vom Nutzer etwa, verschwommene Zeichenabfolgen zu lesen und einzugeben. Sie schützen die Website vor Spam.


Wir freuen uns über Diskussionen und Ihre Kommentare.
Wie in jeder Gemeinschaft ist es notwendig, dass sich alle Teilnehmer an die Netiquette halten. Durch Ihre Kommentare sollen interessante, gewinnbringende Debatten entstehen, an denen sich andere Nutzer gerne beteiligen. Beleidigungen und Schmähreden sind deshalb ebenso tabu wie Diskriminierungen und die unerlaubte Veröffentlichung persönlicher Daten. Bitte verstecken Sie sich auch nicht hinter Pseudonymen, sondern benutzen Sie Klarnamen.

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

CAPTCHA-Bild

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>