Website-Sicherheit / Website Security
Eine Webseite, egal mit welchem Redaktionssystem oder Programmierframework erstellt, sollte auch den nötigen Sicherheitsanforderungen genügen. Angriffe erfolgen heutzutage sowohl gezielt, als auch automatisiert. Schnell kann man so rein zufällig zum Ziel werden.
Wer seine Website nicht ausreichend sichert, geht ein hohes Risiko eines mindestens sehr ärgerlichen, meistens jedoch auch kostspieligen Schadens ein. Stets droht zunächst ein unmittelbarer Image-Schaden, wenn die eigene Webseite nach einem Angriff verändert oder offline ist. Verpasste Kundenanfragen oder der Ausfall eines Shops oder Bestellsystems kosten bares Geld. Und falls es ganz schlimm kommt, werden über die Webseite auch Nutzer angegriffen oder Daten aus dem System abgezogen. Wenn Kundendaten betroffen sind, droht schnell sogar noch eine Pflichtmeldung nach DSGVO (Datenschutz-Grundverordnung der Europäischen Union) bei den zuständigen Datenschutzbehörden.
"Ich habe doch einen Webentwickler oder eine Agentur, daher bin ich sicher.", denken sich viele Webseitenbetreiber. Doch dieser Gedanke ist nicht pauschal richtig. Die Bedrohungen waren für viele Menschen lange zu weit weg. Webentwickler mussten sich längst nicht immer mit diesem Thema befassen oder darin ausbilden. Sicher gibt es gute Internetagenturen die sehr qualifziert sind, doch sollten Sie Ihren Dienstleister daraufhin zumindest einmal überprüfen.
Vorweg gibt es schon ein paar einfache Anzeichen, ob ein Dienstleister dieses Thema im Fokus hat. So sollte Ihnen mindestens ein Wartungsvertrag für Sicherheitsupdates sowie ein Monitoring angeboten, Maßnahmen zur Abwehr von Angriffen genannt und ein Plan zum Vorgehen bei Sicherheitsvorfällen (Incident Response Plan) proaktiv empfohlen worden sein.
Trotz der besten Sicherheitsvorkehrungen bleibt immer ein gewisses Risiko für jede Webseite. Eine geordnete Reaktion auf einen Vorfall schränkt den möglichen Schaden in finanzieller und rechtlicher Hinsicht enorm ein.
Deshalb sollte klar sein, welche Verantwortlichkeiten und Zuständigkeiten es technisch und organisatorisch gibt. Unter anderem gilt es vorweg festzulegen, wer im Fall der Fälle zu welcher Zeit informiert werden muss. Verlassen Sie sich nicht darauf, dass Website-Hacks zu Geschäftszeiten passieren. Nachtstunden, Wochenden und Feiertage werden teils bewusst für Angriffe genutzt, weil sie bei vielen Seiten dann lange unentdeckt bleiben und ungehindert ablaufen können. Außerdem sollte geklärt sein, wie ein Ersatzbetrieb die Bereinigung oder die Wiederinbetriebnahme stattfinden.
