Datensicherheit von Online-Shops gewähren

von Rainer Seidlitz

Datensicherheit wird vor allem durch Organisation und Transparenz gewährleistet. Daher sollte am Anfang eines jeden Projekts eine Aufschlüsselung der Informationswerte stehen. Das bedeutet, dass sämtliche Belange eines Shops, alle beteiligten Personen, Unternehmen und Applikationen zu definieren sind.

Dabei helfen folgende Leitfragen:

• Welche Systeme werden für welche Zwecke eingesetzt?
• Wer ist für welche Verfahren verantwortlich (Prozessverantwortlichkeit, Betriebsverantwortung, Pflege und Entwicklung)?
• Welche Daten werden in den jeweiligen Systemen erhoben und wer ist davon betroffen (zum Beispiel Kundendaten, Vertragsdaten)?
• An welche (internen oder externen) Empfänger werden die Daten gegebenenfalls übermittelt? Besteht eine Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz (BDSG)? Falls ja, sind daran Vereinbarungen und Kontrollen in Bezug auf die technischen und organisatorischen Maßnahmen gemäß § 9 BDSG zu knüpfen?
• Wann werden Daten gelöscht? / Wie lange müssen Daten archiviert werden?
• Welche internen oder externen Personen haben Zugriff auf Daten, wie werden diese Zugriffe überwacht und die Berechtigungen aktuell gehalten?

Hinter all diesen Überlegungen steht auch die Frage, wie sicher ein Shop überhaupt gestaltet werden soll und kann. So ist die Definition von Schutzzielen und Schutzbedarf, welche in allen Aktionen gelebt und von sämtlichen Mitarbeitern sowie Partnern erfüllt werden, ausschlaggebend für den Umgang mit dem Thema Sicherheit. Steht fest, wie dieser Standard aussieht und welche Informationswerte zu schützen sind, muss eine Risikoeinschätzung stattfinden. Die Analyse der einzelnen Prozesse zeigt hierbei Risiken und Schwachstellen auf, die in der Folge systematisch klassifiziert werden. Dazu werden Faktoren wie die Häufigkeit, die Auswirkung und die Erkennbarkeit des Ereignisfalls bewertet. Sind alle Risiken beurteilt, können diese den bereits getroffenen technischen und organisatorischen Maßnahmen gegenübergestellt werden. Damit lassen sich Defizite in der Organisation und Umsetzung unmittelbar erkennen. Da der Sicherheitsfaktor von Online-Shops durchaus stark von finanziellen Mitteln beeinflusst wird, können Betreiber durch eine Risikoanalyse bestimmte Schwachstellen akzeptieren, sofern Kunden in ihren Persönlichkeitsrechten nicht unmittelbar betroffen sind und deren mögliche Folgen kalkulieren. Selbst ein Betreiber mit hohem Budget ist nicht vor Fehlern gefeit und kann von den Ergebnissen der Analyse profitieren.

Online-Projekte sicher managen

Erfahrungen haben gezeigt, dass heute weniger die technische Infrastruktur eines Shop-Systems ausschlaggebend für Sicherheitsmängel ist, sondern viel häufiger Zuständigkeitslücken, Unkenntnis und personelles Fehlverhalten zu Fehlern und teils auch gravierenden Sicherheitslücken führen. Besonders anfällig für Regelungslücken ist die Einbindung externer Partner in die Organisation. In vielen Fällen findet nur ein rein fachliches Briefing in Form eines Lastenheftes statt; konkrete Sicherheitsanforderungen an die Technik und Applikation werden nicht beschrieben, selbst wenn solche innerhalb der eigenen Organisation vorhanden sein sollten.