Wie mache ich Webseiten technisch up to date und sicher?. Auf der sicheren Seite - BM online
Startseite » Wissen » Unternehmensführung »

Auf der sicheren Seite

Wie mache ich Webseiten technisch up to date und sicher?
Auf der sicheren Seite

Ein attraktiver Web-Auftritt ist heute ein Muss. Aber man sollte auch rechtliche und Sicherheits-Aspekte beachten. Sonst drohen Datenverlust, Datenmissbrauch, Abmahnungen und juristischer Ärger.

Marian Behaneck

Eine Webseite ist die digitale Visitenkarte eines Unternehmens. Allerdings sollte sie nicht nur äußerlich attraktiv und informativ, sondern auch sicher und technisch up-to-date sein. Sonst können Hacker und Cyberkriminelle Schwachstellen ausfindig machen und Schäden anrichten: Viren, Trojaner und Spam-Mails verbreiten, Daten löschen oder Login-Daten oder Zahlungsinformationen ausspähen. Ist ein Firmenwebauftritt verseucht, können nicht nur eigene Rechner mit Schadprogrammen infiziert werden, sondern auch die von Kunden, Geschäftspartnern und Interessenten. Entspricht die Webseite zudem nicht aktuellen Datenschutz-Standards, wie etwa zur aktiven Cookie-Einwilligung durch Benutzer (siehe Infokasten), kann zum Datenverlust, Datenmissbrauch und Identitätsdiebstahl, zu Imageschäden und Umsatzausfällen schnell auch juristischer Ärger hinzukommen.

Welcher Provider soll es sein?

Um dem vorzubeugen, gilt es wichtige Punkte zu beachten und Sicherheitsvorkehrungen zu treffen. Bereits mit der Wahl des Host-Providers (Webhosters) entscheiden Webseitenbetreiber über die Sicherheit ihrer Webseite. Er ermöglicht den Betrieb einer eigenen Domain (Web-Adresse) und bietet Speicherplatz für die Online-Präsentation eines Unternehmens und sorgt zum Teil auch für Websicherheit. Aufgrund der Vielzahl von Anbietern ist die Auswahl des passenden Providers nicht einfach. Neben den einmaligen und monatlichen Kosten und den Leistungen spielen zunehmend auch die Sicherheit und Verfügbarkeit eine wichtige Rolle (siehe auch Provider-Vergleiche: www.hosttest.de, www.webhostlist.de etc.). Wer einen vertrauenswürdigen, renommierten Webhoster wählt, der einen SSL-sicheren Server (siehe unten), ein sicheres Rechenzentrum, regelmäßige Backups etc. anbietet, tut bereits viel für die Sicherheit seiner Webseite.

Was bei Webbaukästen zu beachten ist

Wurde die Webseite mithilfe eines Webbaukasten- oder Content-Management-Systems (CMS) erstellt, sollte man prüfen, ob es aktuell und sicherheitstechnisch auf neuestem Stand ist. Webbaukasten- oder CMS-Systeme trennen Gestaltung und Inhalt einer Webseite voneinander und ermöglichen so eine selbständige Aktualisierung oder Erweiterung des eigenen Internet-Auftritts, auch ohne Programmierkenntnisse oder die Unterstützung durch externe Dienstleister.

Auf aktuelle Softwareversionen achten

Wurde die Website individuell selbst oder durch einen Dienstleister programmiert, sollte man ebenfalls auf aktuelle Softwareversionen achten, das gilt auch für eventuell verwendete Datenbanken. Login-Zugangsdaten, beispielsweise zu einem geschlossenen Bereich für Kunden, sollten nur sichere Passwörter zulassen. Diese sollten mindestens acht Zeichen lang sein und sowohl Groß- und Kleinbuchstaben als auch Ziffern und Sonderzeichen enthalten (siehe z. B. www.bsi.de, Suche: „Sicheres Passwort“). Auch Pflicht-Kontaktdaten samt E-Mail-Adresse, etwa im Impressum einer Webseite, sollten maschinell nicht lesbar sein, damit sie nicht für automatisierte Spam- oder Cybercrime-Angriffe missbraucht werden kann. Eine Möglichkeit ist, die E-Mail-Adresse als Pixeldatei zu hinterlegen.

Sicher mit HTTPS und SSL

Auch das Internet-Kommunikationsprotokoll Hypertext Transfer Protocol Secure (HTTPS) und das SSL-Zertifikat macht es Hackern schwer, indem es den Austausch sensibler Daten zwischen Server und Client über das Netzwerkprotokoll Secure Socket Layer (SSL) verschlüsselt. So können Hacker die übertragenen Daten nicht ohne weiteres mitlesen oder abfangen. Das Zertifikat kann über entsprechende Anbieter (siehe Infokasten) erworben werden und ist bei vielen Hosting-Anbietern im Webhosting-Paket entweder inbegriffen oder optional erhältlich. Besucher erkennen das Sicherheits-Zertifikat am https-Transferprotokoll und am Schloss-Symbol im Browser-Suchfenster.

Wichtig ist auch eine regelmäßige Prüfung, ob das SSL-Zertifikat noch gültig und bei der ausstellenden Zertifizierungsstelle noch nicht abgelaufen ist, respektive fehlerhaft implementiert wurde. Aktuelle Webbrowser warnen vor dem Besuch unsicherer Webseiten oder fehlerhaften HTTPS-Verbindungen und öffnen diese nur, wenn der Anwender dies ausdrücklich genehmigt.

Back-up ist für Unternehmen Pflicht

Wer seine Website vor Hackern und Cyber-Angriffen schützen will, sollte sich ferner regelmäßig über aktuelle Gefahren und Sicherheitslücken informieren, beispielsweise über das Bundesamt für Sicherheit in der Informationstechnik (www.bsi.de).

Haben sich Hacker trotz aller Sicherheitsvorkehrungen Zugriff zur Firmenwebseite verschafft, können sie erheblichen Schaden an den Webseitendaten anrichten, indem sie diese manipulieren, überschreiben oder löschen. Alle wichtigen Inhalte sollte man deshalb regelmäßig sichern. Ein regelmäßiges Back-up aller Daten ist ohnehin für Unternehmen Pflicht – entweder über entsprechende Funktionen des CMS-Systems, oder indem man den Serverinhalt manuell speichert.

Das ist datenschutzrelevant

Jede kommerzielle Unternehmens-Webseite muss eine rechtskonforme, meist neben dem Impressum stehende Datenschutzerklärung enthalten. Online-Generatoren helfen bei der individuellen Text-Zusammenstellung (z. B. https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de). DSGVO-relevant ist auch die Wahl des Webhosters, die Verwendung von Cookies oder Analysesoftware, mit denen individuelle Aktivitäten von Besuchern dokumentiert und analysiert werden. Die Verwendung von Kundenzitaten oder Referenzadressen ist ebenso zustimmungspflichtig wie der Einsatz von Social Media Plug-Ins, wie Like- oder Share-Buttons. Weitere Aufgaben eines Webseitenbetreibers ergeben sich aus der DSGVO-Verpflichtung zur Datenminimierung, Integrität und Vertraulichkeit. So dürfen etwa Kontaktformular-Daten oder Newsletter-Anmeldedaten stets nur verschlüsselt übertragen werden.

Cookies müssen aktiv bestätigt werden

Einer besonderen Beachtung bedürfen Cookies – die kleinen Textdateien, die Informationen über Webseitenbesucher speichern und unterschiedlichen Zwecken dienen. Sie verbessern beispielsweise die Nutzerfreundlichkeit einer Webseite, erheben Statistiken und ermöglichen eine individualisierte Werbung. Genügte bisher ein einfacher Hinweis des Webseiten-Betreibers, dass durch das Weitersurfen sämtliche Cookie-Einstellungen akzeptiert werden, reicht dies inzwischen nicht mehr. Nachdem im Oktober 2019 der Europäische Gerichtshof (EuGH) entschied, urteilte im Mai 2020 auch der BGH: Webseitenbetreiber müssen zwingend eine Einwilligung für Cookies durch den Webseitenbesucher einholen, die er aktiv bestätigen muss. Ein vorformuliertes Einverständnis ist unwirksam. Damit stehen Webseitenbetreiber in der Pflicht, Besucher bereits mit dem ersten Seitenaufruf über die Verwendung von Cookies zu informieren. Dazu gehören die Aufzählung der einzelnen Cookies und deren Verwendung sowie die explizite Einholung einer Einwilligung jedes Besuchers, sodass dieser technisch nicht absolut notwendigen Cookies zustimmen oder diese ablehnen kann.

Inzwischen haben viele, aber längst nicht alle Webseitenbetreiber den ehemals eher unauffälligen Banner durch ein rechtskonformes, auffälliges Pop-up-Fenster ersetzt, das einen Großteil der Seite verdecken und erst aktiv weggeklickt werden muss, bevor man auf der Webseite weitersurfen kann.

Den Hintergrund für die beiden Urteile bilden die ePrivacy- bzw. Cookie-Richtlinie sowie die europäische Datenschutz-Grundverordnung (DSGVO). Diese schreiben vor, dass persönliche Daten geschützt werden müssen, deren Verwendung transparent sein muss und Persönlichkeitsrechte sowie die Privatsphäre von Personen an erster Stelle stehen.

Fazit: Sicherheit geht vor, aber …

Webseitenbetreiber standen schon immer in der Pflicht, alle Anforderungen zur Datensicherheit und zum Datenschutz zu erfüllen. Schließlich sind Webseiten global zugänglich und somit für alle ein potenzielles Risiko, wenn sie nicht auf aktuellem Sicherheitsstand sind. Richtlinien und Verordnungen wie das Telemediengesetz oder die DSGVO wachen darüber und werden aufgrund neuer EU-Verordnungen teilweise verschärft. So will die neue Cookie-Regelung mehr Transparenz darüber schaffen, wer persönliche Daten wofür verwendet. Doch für Besucher wie für Webseitenbetreiber ist das Zustimmungsfenster aufgrund des Mehraufwands ein Ärgernis und einfach nur lästig.


Der Autor

Dipl.-Ing. Marian Behaneck ist freier Journalist mit den Schwerpunkten Software, Hardware und IT im Baubereich.


Tipps für mehr Sicherheit

  • Webhoster sicherheitsorientiert wählen: Neben Kosten und Nutzen sollte man auch auf das Sicherheitspaket des Anbieters achten.
  • Webseite und Webseiten-Werkzeuge up to date halten: nur aktuelle Programmversionen sind vor aktuellen Bedrohungen sicher.
  • Sicherheitstools installieren: Programme zur Web-Sicherheit von AVG, Avira, GDATA, Symantec etc. schützen vor Gefahren im Web.
  • Webseite testen: beispielsweise über www.siwecos.de, ob sie noch sicher ist und keine Malware oder Phishing-Software enthält etc.
  • Sicherheitsstatus prüfen: Ist eine IP-Adresse oder Domain auf Blacklists gelistet, kann es sein, dass über sie Malware verteilt wird.
  • SSL-Zertifikate und Protokolle prüfen: Ist das Zertifikat noch gültig und welche SSL-Protokolle sind sicher?
  • Pflichtangabe von Unternehmens-Kontaktdaten wie der E-Mail-Adresse maschinell nicht auslesbar hinterlegen, z. B. als Pixeldatei.

Link- und Literaturtipps*

  • Solmecke CH., Kocatepe, S.: DSGVO für Website-Betreiber, Leitfaden für die sichere Umsetzung der EU-Datenschutz-Grundverordnung, Rheinwerk-Verlag, Bonn, 2018
  • Tischer Ch.: Webseiten erstellen ohne Rechts-Stress. Was Sie über Datenschutz, Urheberrecht, Haftung & Co wissen sollten, Eigenverlag, Talheim, 2017

* ohne Anspruch auf Vollständigkeit

Herstellerinformation
Wissen testen – Preis absahnen
Herstellerinformation
BM-Titelstars 2021
Herstellerinformation
BM-Videostars 2021
Herstellerinformation
Im Fokus: Materialmangel
Herstellerinformation
Im Fokus: Vakuumtechnik
Im Fokus: Vernetzte Werkstatt

BM bei Facebook

BM auf Instagram
BM-Themenseite: Innentüren
Im Fokus: Raumakustik
_6006813.jpg
Schallmessung in der Praxis: Michael Fuchs (r.) und Simon Holzer bei raumakustischen Messungen in einem Objekt (Friseursalon Max in Wallersdorf). Foto: Barbara Kohl, Kleine Fotowerkstatt
Alles bio? Nachhaltigkeit im Tischler- und Schreinerhandwerk
Im Fokus: Gestaltung

BM Bestellservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der BM Bestellservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin-Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum BM Bestellservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des BM Bestellservice.
AGB
datenschutz-online@konradin.de