InformationsbroschüreInformationsbroschüre für EinsteigerIT-Sicherheit:Themenfokus Websitewww.ec-net.dewww.ecc-handel.de
HerausgeberE-Commerce-Center Handel, KölnText und RedaktionSonja Rodenkirchen,ECC Handel –E-Commere-Center Handel, KölnAnd...
Inhalt1. Einleitung: Die Relevanz einer sicheren Website ........ 042. Wussten Sie schon, dass ..............................
4 | E in l e i tu n gDie Relevanzeiner sicherenWebsiteEinleitungÜber 90% der im Rahmen der Studie„Netz- und Informationssi...
Wussten Sie sch o n, da ss... | 5	 … 50 % der Unternehmen kein umfassendes Datensicherheitskonzept um-gesetzt haben?	 … ...
Sichere Übertragung von Datenund Zahlungen im InternetBei vielen Kunden und auch Website-Betreibern ist die Angst vor Date...
Extended-Validation-SSL (EV-SSL)Seit einiger Zeit nutzen immer mehrWebseitenbetreiberExtended-Validation-SSL-Zertifikate (...
8 | Si ch e r e Ü b e r t r a g u n gZahlungsverfahren im ÜberblickGrundsätzlich minimiert der Einsatzverschiedener Zahlun...
Datenschutz und DatensicherungVon Kunden erhobene Daten müssenim Unternehmen vor Missbrauch ge-schützt (Datenschutz) und b...
10 | D ate ns ch u t z u n d - si ch e r u n gWas ist erlaubt?	 Grundsätzlich erlaubt ist die Spei-cherung von sogenannte...
Datenschutz und -sicherung | 11Tipps zum Datenschutz	 Stellen Sie hohe Anforderungenan Kunden-Passwörter: Lassen SieIhre ...
Weitere rechtliche Aspekteder Website-Gestaltung12 | We i te r e r e ch t li ch e A sp e k teDie zentrale Vorschrift im In...
Fa zi t | 13FazitDie sichere Gestaltung von Websitesbezieht sich sowohl auf die Sicherheit derDatenübertragung und –speich...
4 | T h e m aQuellen	 Bundesnetzagentur 2010,[http://www.bundesnetzagentur.de/cln_1912/DE/Sachgebiete/QES/QES_node.html]...
D a s Ve r b u n dp r oj e k t | 1.5Andreas DuschaSebastian SpoorenEkkehard DiedrichDagmar Lange(Konsortialführung)Andreas...
Das Netzwerk Elektronischer Geschäftsverkehr(NEG) ist eine Förderinitiative des Bundes-ministeriums für Wirtschaft und Tec...
Upcoming SlideShare
Loading in …5
×

IT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer Geschäftsverkehr

286 views
228 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
286
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

IT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer Geschäftsverkehr

  1. 1. InformationsbroschüreInformationsbroschüre für EinsteigerIT-Sicherheit:Themenfokus Websitewww.ec-net.dewww.ecc-handel.de
  2. 2. HerausgeberE-Commerce-Center Handel, KölnText und RedaktionSonja Rodenkirchen,ECC Handel –E-Commere-Center Handel, KölnAndreas Duscha,ECC Handel, KölnJudith Halbach,ECC Handel, KölnGrafische Konzeptionund GestaltungChristian Bähr,ECC Handel, KölnBildquellewww.fotolia.deStandOktober 201.0
  3. 3. Inhalt1. Einleitung: Die Relevanz einer sicheren Website ........ 042. Wussten Sie schon, dass .............................................053. Sichere Übertragung von Daten und Zahlenim Internet ................................................................ 064. Datenschutz und Datensicherung ............................. 085. Weitere rechtliche Aspekte der Website-Gestaltung ....126. Fazit ...........................................................................137. Quellen ......................................................................148. Weiterführende Informationen ....................................149. Sichere E-Geschäftsprozesse in KMU und Handwerk....15
  4. 4. 4 | E in l e i tu n gDie Relevanzeiner sicherenWebsiteEinleitungÜber 90% der im Rahmen der Studie„Netz- und Informationssicherheit inUnternehmen 2009“ befragten 490Unternehmen verfügen über eine Web-site. Mehr als 25% davon betreibeneinen eigenen Online-Shop, mit dem sienennenswerte Umsätze realisieren.Diese Zahlen machen deutlich, wiehoch die Bedeutung der eigenen In-ternetpräsenz für Unternehmen heut-zutage ist. Doch der Umgang mit demInternet birgt auch zahlreiche Gefahren.Das Unternehmen muss sich mit recht-lichen Themen auseinander setzen,es muss Gesetze zum Datenschutzbeachten und vor allem für eine sichereÜbertragung von Kundendaten undZahlungen sorgen. Denn insbesondereder Sicherheitsaspekt ist aus Kunden-sicht ein entscheidender Faktor – ist sichder Kunde bei einer Online-Bestellungnicht sicher, dass seine Zahlung auchtatsächlich beim Empfänger ankommtoder seine Daten sicher übertragenwerden, ist die Wahrscheinlichkeit sehrhoch, dass er den Kauf abbricht. Diesichere Website-Gestaltung nimmtsomit aus rechtlicher Hinsicht, aber auchaus Kundenakquisitions- und Kunden-bindungssicht einen hohen Stellenwert ein.
  5. 5. Wussten Sie sch o n, da ss... | 5 … 50 % der Unternehmen kein umfassendes Datensicherheitskonzept um-gesetzt haben? … jedes zehnte Unternehmen bereits Opfer eines erfolgreichen Angriffsauf die eigene Internetpräsenz wurde? … 20 % der Betreiber von Online-Shops Daten nicht verschlüsselt über-tragen? … 50 % der Unternehmen ihren Online-Shop nicht haben zertifizierenlassen? … beim nachlässigen Umgang mit Kundendaten eine Haftstrafe von bis zuzwei Jahren drohen kann?Wussten Sie schon, dass...
  6. 6. Sichere Übertragung von Datenund Zahlungen im InternetBei vielen Kunden und auch Website-Betreibern ist die Angst vor Daten-missbrauch im Internet hoch. Sensibleund persönliche Daten, wie die Konto-und Kreditkartennummer, müssen beson-ders geschützt werden. Der verschlüs-selten Übertragung dieser Daten kommtdaher insbesondere in Online-Shopseine große Bedeutung zu. Verschlüsse-lungsprotokolle oder Dienstleister imBereich der Zahlungsverfahren bietenhierzu verschiedene Lösungen an, derenGebühren von einer kostenlosen Open-Source-Software bis hin zu umsatz-basierten oder transaktionsabhängigenProvisionsmodellen reichen.Transport Layer Security (TLS)Das gängigste Verfahren zur Ver-schlüsselung von Daten ist Trans-port Layer Security (TLS). Es ist besserbekannt unter seinem VorgängernamenSecure Sockets Layer (SSL). Bei TLS han-delt es sich um ein Verschlüsselungs-protokoll zur sicheren Übertragung vonDaten im Internet. Der große Vorteilvon TLS ist, dass es in jedem Standard-Browser, wie bspw. Microsoft InternetExplorer, Mozilla Firefox oder GoogleChrome, integriert ist und Kundendaher keine weitere Software installierenmüssen. Aufgrund des Verschlüssel-ungsvorgangs können Außenstehendeden Inhalt weder lesen noch verändern.Internet-Seiten, die mit dem TLS-Ver-fahren arbeiten, erkennt man daran,dass die URL mit https:// anstatt mithttp:// beginnt. Außerdem wird inallen gängigen Browsern ein verriegel-tes Schloss-Symbol in der unteren Leisteangezeigt. Für die Übertragung derverschlüsselten Informationen sind so-genannte digitale Zertifikate notwendig,die die Identität des Website-Betreibersfeststellen, um zu verhindern, dass einegesicherte Verbindung zu einem Anbieteraufgebaut wird, der sich als jemandanderer ausgibt. Erst die finale Prüfungdes Zertifikates gewährleistet eine siche-re Übertragung von Daten. Um die Zuver-lässigkeit und Integrität dieser Zertifikateim Rechtsverkehr sicherzustellen, unter-liegen die Aussteller der Zertifikateder Aufsicht der Bundesnetzagentur.Auf den Seiten der Bundesnetzagenturfindet sich eine Liste der Zertifikataus-steller, darunter beispielsweise VeriSignoder TC TrustCenter.6 | Si ch e r e Ü b e r t r a g u n g
  7. 7. Extended-Validation-SSL (EV-SSL)Seit einiger Zeit nutzen immer mehrWebseitenbetreiberExtended-Validation-SSL-Zertifikate (EV-SSL), also „Zertifikatemit erweiterter Überprüfung“. Diesesollen Internetnutzern ermöglichen,noch schneller zu erkennen, ob siesich auf vertrauenswürdigen Seitenbefinden und sie so besser vorPhishing-Versuchen schützen. Dennauch Betrüger haben es aufgrund einerteilweise zu lockeren Vergabe von SSL-Zertifikatengeschafft,sicheineangeblichsichere Verbindung zu erschleichen. BeiEV-SSL-Zertifikaten wird daher in derAdresszeile des Browsers zusätzlichein Feld angezeigt, in dem Zertifikats-Si ch e r e Ü b e r t r a g u n g | 7und Domaininhaber im Wechsel mit derZertifizierungsstelle eingeblendet wer-den. Des Weiteren wird je nach ver-wendetem Browser die Adresszeile(teilweise) grün eingefärbt. Um diegrößere Sicherheit zu gewährleisten,ist die Ausgabe an strengere Vergabe-kriterien gebunden. Dies bezieht sichvor allem auf eine detaillierte Überprü-fung des Antragstellers, wie bspw. einRückruf durch die Zertifizierungsstel-le zur Feststellung der Identität undder Geschäftsadresse. Kunden vonEV-SSL sind beispielsweise eBay oder derZahlungsdienst PayPal.
  8. 8. 8 | Si ch e r e Ü b e r t r a g u n gZahlungsverfahren im ÜberblickGrundsätzlich minimiert der Einsatzverschiedener Zahlungsverfahren dasRisiko eines Kaufabbruchs. Bei derEinführung neuer Zahlungsverfahrensollten jedoch immer Chancen undRisiken abgewogen werden – da sichdie Zahlungsverfahren hinsichtlich ihrerSicherheit und Kosten unterscheiden.In die Vollkostenanalyse mit einbezogenwerden sollten Paymentkosten, Kostenfür Personal, Mahnwesen, Forderungs-ausfall, verzögerte Geschäftsprozesse,Lagerhaltung und Retourenmanagement.Die Zahlungsverfahren werden in dreiKategorien eingeteilt. Klassisches E-Pay-ment: Überführung von Offline-Paymenthin zu Online-Payment, z. B. Nachnahme,Rechnung, Vorkasse, Kreditkarte, Last-schrift. Modernes E-Payment: Payment-lösungen, die speziell für den Online-Handel etabliert wurden, z. B. Direkt-überweisungsverfahren (Sofortüber-weisung.de, Giropay), E-Mail-Verfahrenoder E-Wallets (PayPal, ClickandBuy).Mobile Payment (M-Payment): Bezahl-verfahren speziell für Mobiltelefone.
  9. 9. Datenschutz und DatensicherungVon Kunden erhobene Daten müssenim Unternehmen vor Missbrauch ge-schützt (Datenschutz) und besondersgesichert (Datensicherung) werden. Wirddies nicht beachtet, können nicht nurein Imageverlust und die Abwanderungvon Kunden, sondern auch Geldbußensowie Haftstrafen von bis zu zwei Jahrendrohen. Unternehmen sind daher gut be-raten, sich mit den relevanten Gesetzenin diesem Bereich, wie beispielsweisedem Bundesdatenschutzgesetz und demTelemediengesetz, ausführlich ausein-ander zu setzen.Von den 490 Unternehmen, die imRahmen der jährlich durch das NEGdurchgeführten Studie „Netz- undInformationssicherheit in Unternehmen2009“ befragt wurden, gaben jedochnur 50 % an, über ein umfassendesDatensicherheitskonzept zu verfügen.Des Weiteren hatten ebenfalls nur 50 %ihren Shop mit einem Gütesiegel wiebeispielsweise Trusted Shops zertifi-zieren lassen. Auf der folgenden Seitefinden Sie einige Hinweise und Tipps zumThema Datensicherung und Daten-schutz.Datenschutz und -sicherung | 9
  10. 10. 10 | D ate ns ch u t z u n d - si ch e r u n gWas ist erlaubt? Grundsätzlich erlaubt ist die Spei-cherung von sogenannten Bestands-daten, d. h. Unternehmen dürfen dieKundenadressen und Angaben, diezur Abwicklung des Bestellverhält-nisses notwendig sind, speichern. Die Verwendung von Kundenadressenzu Marktforschungszwecken, zurWerbung und für personalisierteMarketing-Maßnahmen ist nur dannerlaubt, wenn sie durch eineexplizite Einwilligung des Kunden(z. B. über das Anklicken eines Käst-chens) autorisiert wurden.Wo sollen die Daten gespeichertwerden? Daten sollten auf separaten Rech-nern gespeichert werden, die vomInternet abgekoppelt sind unddamit besser vor Hackern geschütztwerden können. Bandlaufwerke oder externenFestplatten sollten als zusätzlicheSicherungskopie eingesetzt werden. Doch auch bei der Speicherung vonKundennamen und Kontoprofilenauf Notebooks, Smartphones, mobi-len Datenträgern und Papier müssendie Daten geschützt werden: Nichtnur das Internet kann Datenlecksverursachen.
  11. 11. Datenschutz und -sicherung | 11Tipps zum Datenschutz Stellen Sie hohe Anforderungenan Kunden-Passwörter: Lassen SieIhre Kunden Passwörter bilden, dieGroß- und Kleinbuchstaben, Sonder-zeichen sowie Zahlen sinnfrei zu-sammensetzen und länger als8 Stellen sind. So vermeiden Sie,dass Kundenkonten leicht gehacktwerden können. Speichern Sie personenbezogeneund nicht personenbezogene Datenin separaten Datenvorhaltungssyste-men: Falls vom Nutzer nicht andersgestattet, dürfen personenbe-zogene Kundendaten nur zurErfüllung und Verwaltung einesVertragsverhältnisses, wie dieAbwicklung des Einkaufsvor-gangs, gespeichert und genutztwerden. Nicht personenbezogeneDaten dürfen in aggregierter Formauch für andere Zwecke, wie Markt-forschung, verwendet werden. Benennen Sie einen konkretenAnsprechpartner in Datenschutz-fragen für Ihre Kunden: DieserDatenschutzbeauftragte kann zeit-nah auf Fragen und Bedenken vonKunden reagieren. Lassen Sie Ihre Website und IhrenShop zertifizieren: Berater und Zer-tifizierungsstellen entdecken Sicher-heitslücken oft früher als die eigenenLeute. Auch externe IT-Dienstleisterwie Callcenter, Zahlungsabwickleroder Hostingpartner, die Zugriffauf Kundendaten erhalten, solltenvor Vertragsschluss durch Sachver-ständige überprüft werden. Schaffen Sie klare Regeln für dieZugriffsrechte auf Daten: Das gilt fürdigitale Speichermedien gleicher-maßen wie für Aktenordner. DieseRegeln müssen dokumentiert undeingehalten werden.
  12. 12. Weitere rechtliche Aspekteder Website-Gestaltung12 | We i te r e r e ch t li ch e A sp e k teDie zentrale Vorschrift im Internetrechtist das Telemediengesetz, das umgangs-sprachlich daher auch „Internetgesetz“genannt wird. Es legt beispielsweise fest,welche Angaben in einem Impressum zufinden sein müssen – je nach Rechtsformund Art des Anbieters sind unterschied-liche Angaben erforderlich. Außerdemwerden zum Beispiel die Haftung fürInternetseiten mit gesetzwidrigen Inhal-ten oder der Datenschutz beim Betriebvon Internetseiten und zur Herausgabevon Daten geregelt. Häufige Verstößegegen das Telemediengesetz betreffenz. B. das Impressum, das Urheberrecht,Links auf rechtswidrige Seiten oderdie nicht autorisierte Verwendung vonMarken und Logos. Jeder Internetseiten-betreiber muss sich daher mit diesemund weiteren Gesetzen auseinander-setzen und dazu im besten Fall auchrechtliche Beratung in Anspruchnehmen, um nicht in die Gefahr zukommen, hohe Strafen zahlen zu müssen.
  13. 13. Fa zi t | 13FazitDie sichere Gestaltung von Websitesbezieht sich sowohl auf die Sicherheit derDatenübertragung und –speicherung alsauch auf die Beachtung von rechtlichenVorschriften. Da auf diesen Gebietenviele unterschiedliche Gefahren lauern,ist es für Unternehmen essentiell, sichmit den Themen auseinander zu setzen,Verantwortlichezubestimmen,Konzeptezu erstellen und möglicherweise recht-liche Beratung in Anspruch zu nehmensowie ihre Seiten zertifizieren zu lassen.So gerüstet können Unternehmen undKunden mit einem guten Gefühl imInternet in den Austausch treten.
  14. 14. 4 | T h e m aQuellen Bundesnetzagentur 2010,[http://www.bundesnetzagentur.de/cln_1912/DE/Sachgebiete/QES/QES_node.html] Bundesverband Digitale Wirtschaft(BVDW) e.V., Online-Paymentund Forderungsmanagement,23.09.2010, Customer RelationshipManagement Portal (2007 erstellt,2010 abgerufen), [http://www.crmmanager.de/magazin/artikel_1722_kunden-daten_datenschutz.html] Netz- und Informationssicherheit inUnternehmen 2009, [http://www.ecc-handel.de/netz-_und_informationssicherheit_in_unternehmen.php ]  ECC Handel (2007 erstellt, 2010abgerufen), [http://www.ecc-handel.de/datenschutz_1932301.php] Financial Times Deutschland, 2010. [http://www.ftd.de/karriere-management/management/:sicherheit-im-unternehmen-ab-in-die-tonne-mit-kundendaten/50147362.html] Weiterführende Informationen http://www.ec-net.de/sicherheit, Online-Portal des NetzwerksElektronischer Geschäftsverkehr http://www.bit.ly/it-sicherheit, Themenspezifische Informationendes Verbundsprojekts „SichereE-Geschäftsprozesse in KMU undHandwerk“ http://www.gesetze-im-internet.de/bdsg_1990, Bundesdatenschutzgesetz http://www.gesetze-im-internet.de/tmg, Telemediengesetz
  15. 15. D a s Ve r b u n dp r oj e k t | 1.5Andreas DuschaSebastian SpoorenEkkehard DiedrichDagmar Lange(Konsortialführung)Andreas GabrielDas Verbundprojekt „SichereE-Geschäftsprozesse in KMUund Handwerk”Das Verbundprojekt „Sichere E-Ge-schäftsprozesse in KMU und Handwerk“des Netzwerks Elektronischer Geschäfts-verkehr wird vom Bundesministeriumfür Wirtschaft und Technologie (BMWi)unterstützt und soll helfen, in kleinenund mittleren Unternehmen mit verträg-lichem Aufwand die Sicherheitskulturzu verbessern. Das Gesamtprojekt setztsich neben dieser und zwei weiterenEinsteigerbroschüren insbesondere ausden nachfolgenden Tätigkeiten zusam-men: Unter der Überschrift „Stamm-tische IT-Sicherheit“ wird eine Reiheregionaler „Unternehmerstamm-tische“ bundesweit etabliert Diekostenfreien Stammtische sind einForum für Dialog und Informationund bilden eine Plattform für denAustausch von Unternehmernuntereinander Die jährlich veröffentlichte Studie„Netz- und Informationssicherheitin Unternehmen“ zeigt auf, wiees um die Informationssicherheitin Unternehmen bestellt ist undwie leicht unternehmensfremdePersonen an Geschäftsdatenkommen können. Die komplettenBerichtsbände finden Sie zumkostenlosen Download unter:http://www.bit.ly/it-sicherheit Kostenfreie IT-Sicherheitsratgeberbieten insbesondere KMU neu-trale und praxisnahe Hinweiseund Tipps, wo Sicherheitslückenbestehen und wie mit ihnen umge-gangen werden sollte. Themen-schwerpunkte sind u. a. „Basis-schutz für den PC“, „SicheresSpeichern und Löschen von Daten“,uvm. Download unter:http://www.it-sicherheit.de Aktuelle und neutrale Informa-tionen zur Informationssicher-heit werden Ihnen im Internet aufder Informationsplattform desNEG unter der Rubrik „Netz- undInformationssicherheit“ angeboten:http://www.ec-net.de/sicherheit
  16. 16. Das Netzwerk Elektronischer Geschäftsverkehr(NEG) ist eine Förderinitiative des Bundes-ministeriums für Wirtschaft und Technologie.Seit 1.998 unterstützt es kleine und mittlereUnternehmen bei der Einführung und Nutzungvon E-Business-Lösungen.Beratung vor OrtMit seinen 29 bundesweit verteilten Kompetenz-zentren informiert das NEG kostenlos, neutralund praxisorientiert – auch vor Ort im Unter-nehmen. Es unterstützt Mittelstand und Hand-werk durch Beratungen, Informationsveranstal-tungen und Publikationen für die Praxis.Das Netzwerk bietet vertiefende Informationenzu Kundenbeziehung und Marketing, Netz-undInformationssicherheit, Kaufmännischer Soft-ware und RFID sowie E-Billing. Das ProjektFemme digitale fördert zudem die IT-Kompetenzvon Frauen im Handwerk. Der NEG WebsiteAward zeichnet jedes Jahr herausragendeInternetauftritte von kleinen und mittlerenUnternehmen aus. Informationen zu Nutzungund Interesse an E-Business-Lösungen in Mittel-stand und Handwerk bietet die jährliche Studie„Elektronischer Geschäftsverkehr in Mittelstandund Handwerk“.Das Netzwerk Elektronischer Geschäftsverkehr– E-Business für Mittelstand und HandwerkDas Netzwerk im InternetAuf www.ec-net.de können Unternehmen nebenVeranstaltungsterminen und den Ansprechpartnern in Ihrer Region auch alle Publikationen desNEG einsehen: Handlungsleitfäden, Checklisten,Studien und Praxisbeispiele geben Hilfen für dieeigene Umsetzung von E-Business-Lösungen.Fragen zum Netzwerk und dessen Angebotenbeantwortet Markus Ermert, Projektträger imDLR unter 0228/3821.-71.3 oder per E-Mail:markus.ermert@dlr.de.

×