Web-Sicherheit: Checkliste für Website und Webshop

09.11.2021 • aktualisiert am 25.04.2022

Der Beitrag wurde am 17. April 2018 in Abstimmung mit dem Datenschutzexperten Anton Mayringer um einige Punkte ergänzt – auch hinsichtlich der EU-DSGVO, deren Übergangsfrist am 25. Mai 2018 endet.

Weil eine sichere Website bzw. ein sicherer Webshop aus Marketing-Sicht so enorm zentral ist, reichen wir Ihnen  die Übersicht an die Hand, die Sie von Zeit zu Zeit gemeinsam überprüfen können.

#1 Welche PHP-Version verwende ich aktuell?


Sie sind sich nicht sicher, welche PHP-Version derzeit auf Ihrem Server läuft?

Fragen Sie bei Ihrer Agentur oder Ihrem Webhoster nach. Wenn Ihre Webseite bei World4You liegt, sind sie ein wenig flexibler und können die aktuell verwendete PHP-Version in Ihrer Verwaltungsoberfläche selbst einsehen.

Vergleichen Sie Ihre aktuelle PHP-Version mit den Versionen, die gegenwärtig Sicherheitsupdates erhalten > http://php.net/supported-versions.php Wenn Ihre Version Sicherheitsupdates erhält, ist alles in bester Ordnung.

Ist Ihre PHP-Version nicht mehr aktuell und benötigt sie daher ein Update?

Wenn Sie nicht ohnehin von Ihrer Agentur verständigt wurden, geben Sie das PHP-Update entweder bei Hoster oder Agentur in Auftrag.

Aus Erfahrung empfehlen wir: Bitte unterlassen Sie es, selbst die PHP-Version in der Verwaltungsoberfläche zu aktualisieren, ohne zuvor mit der Agentur zu sprechen. Denn auch die Webseite muss für die neueste PHP-Version kompatibel gemacht werden. Ist sie das nicht, wird sie nicht mehr (einwandfrei) funktionieren.

#2 Wurden Webseite oder Webshop SSL-zertifiziert?

Haben Sie bereits ein SSL-Zertifikat für Website und Webshop erstellen lassen und damit Ihren KundInnen gezeigt, dass Ihnen Sicherheit im Umgang mit den Kundendaten am Herzen liegt? Gerade bei einem Online-Shop ist die Zertfizierung unerlässlich. Auch, wenn Sie auf Ihrer Webseite Anfrageformulare eingerichtet haben.

Erkennbar ist das SSL-Zertifikat am grünen Schloss in der Adresszeile links neben der Domain. Der Hinweis "Die Verbindung ist sicher" zeugt ebenso von einer erfolgreichen Zertifizierung.

#3 Werden BesucherInnen darauf hingewiesen, dass Cookies gesetzt werden?

Machen Sie BesucherInnen beim erstmaligen Besuch Ihres Webshops/Ihrer Website darauf aufmerksam, dass Cookies gesetzt werden. Das sind kleine Textdateien, die auf dem Gerät (z.B. Smartphone, Tablet) gespeichert werden. Einige Cookies werden nach dem Besuch wieder gelöscht, andere bleiben gespeichert.

Zeigen Sie Ihren BesucherInnen, dass Ihnen der Umgang mit Daten und Cookies am Herzen liegt und machen Sie in Ihrer Datenschutzerklärung darauf aufmerksam.

#4 Das Wordpress-System ist auf die aktuellste Version geupdatet?

Ihr Wordpress-System wurde einem Update auf die neueste Version unterzogen und alle Plugins sind aktuell, erhalten automatische Sicherheitsupdates und sind damit sicher? Das hört sich gut an!

Wenn Sie die vertrauensvolle Aufgabe um die Wordpress-Sicherheit abgeben möchten, sind Sie mit einem Wartungsvertrag einer Agentur auf der sicheren Seite.

#5 Sie haben kein Kommentar-Spam in Ihrem Blog? Der Schutz scheint zu funktionieren!

Kommentar-Spam zeugt nicht gerade von Sicherheit und Vertrauenswürdigkeit. Wenn Sie also fremdsprachige oder werbelastige Kommentare in Ihrem Blog vorfinden, empfehlen wir den Einsatz von verschiedenen/mehreren bewährten Methoden zum Schutz vor Spam-Kommentaren wie beispielsweise:
  • Captchas und reCaptchas
  • Honeypots
  • Timestamp / Zeitfilter
  • Inhaltsprüfung der Kommentare

#6 Sie verwenden einen Server, der vertrauenswürdig und professionell betreut ist?

Feine Sache. Dann haben Sie schon viel erreicht.

Wenn nicht, sollten Sie darüber nachdenken, den Hoster zu wechseln. Hier stellt sich nun die Frage:
Woran erkenne ich einen professionellen und vertrauenswürdigen Hoster?
  • Daran, dass ich im Falle von auslaufenden Systemen über ein Update informiert werde.
  • Ein Web-Hoster meines Vertrauens diskutiert mit KundInnen sicherheitsrelevante Themen und informiert mich entsprechend.
  • Der Hoster macht laufend Backups und ich bin damit im Ernstfall vor Datenverlust geschützt.

#7 Ihre Web-Inhalte werden laufend gespeichert und Sie sind im Falle des Datenverlustes mit einem Backup abgesichert?

Üblicherweise machen Hoster laufende Backups des Systems und dessen Webinhalte.

Um auf der sicheren Seite zu sein: Sprechen Sie am besten mit Ihrem Webhoster / EDV-Betreuer und klären Sie, ob Backups auch tatsächlich laufend passieren.

Denn bei vielen Web-Hostings ist der Kunde selbst für das Backup verantwortlich. In diesem Fall sollten Sie eine Lösung zur laufenden Sicherung finden, die mit dem Hoster abgestimmt ist.

#8 Sie bearbeiten Ihre Webinhalte und Programmierungen von einem sicheren Betriebssystem aus?

Wenn Sie von einem beschädigten System auf Ihre Webseite oder Ihren Webshop zugreifen und diese inhaltlich bearbeiten, helfen Ihnen vermutlich sämtliche Sicherheitsvorkehrungen nicht mehr. Denn: Durch die Schadsoftware „liest“ jemand mit – bei allem, was Sie am PC tun. Deshalb sind auch Passwörter nicht mehr sicher.

Wenn Ihnen Sicherheit also am Herzen liegt, überprüfen Sie auch laufend Ihr eigenes Netzwerk, Betriebssystem, den Virenschutz und die Firewall. Auf Ihrem eigenen PC und im gesamten Unternehmen.

#9 Sie geben nur jenen MitarbeiterInnen Zugriff auf die Websysteme (CMS), die Webinhalte auch wirklich betreuen?

Bedenken Sie, dass jeder Zugriff möglicherweise gefährlich sein kann. Insbesondere dann, wenn die Zugangsdaten gesammelt an einem Ort abgespeichert sind.

Stellen Sie daher sicher, dass nur wirklich jene MitarbeiterInnen Zugriff zu Ihrem Content-Management-System erhalten, die einen solchen wirklich brauchen.

Nutzen Sie verschiedene individuelle Passwörter, die von Zeit zu Zeit geändert werden. Am besten verwenden Sie für das sichere Passwort eine individuelle Kombination aus Ziffern, Zahlen und Sonderzeichen (8-12 Zeichen).

#10 Ist Datensicherheit bei Ihren Systemen gegeben (EU-DSGVO)?

Befindet sich Ihr Server versperrt in einem eigenen Raum? Damit haben Sie einen wichtigen ersten Schritt getan. Denn denken Sie nur daran, was passieren kann, wenn Server frei zugänglich herumstehen oder gar mitgenommen werden können.
  • Schützen Sie Ihre Systeme vor fremdem Zutritt:
    Versperren Sie diese in einem Raum oder Aktenschrank.
  • Schützen Sie Ihre Systeme vor fremder Benutzung:
    Vergeben Sie sichere Kennwörter oder richten Sie automatische Sperrmechanismen ein. Beachten Sie auch, dass jede Person einen eigenen Benutzer im System hat – "geteilte" Zugänge könnten unsicher sein.
  • Schützen Sie Ihre Systeme vor fremdem Zugriffen:
    Stellen Sie sicher, dass niemand Inhalte des Systems verändern, kopieren oder entfernen kann. Protokollieren Sie am besten Ihre Zugriffe, dann haben Sie immer Klarheit, was in den Systemen passiert.
  • Machen Sie Ihre Systeme belastbar und verfügbar:
    Stellen Sie ein Backup sicher und schützen Sie die Systeme mit Virenschutz und Firewall.
  • Pseudonymisierung / Verschlüsselung der Daten:
    Achten Sie auch darauf, dass Daten in Backups oder Speicherungen pseudonymisiert bzw. verschlüsselt sind.
  • Evaluieren Sie laufend:
    Überprüfen Sie die Datensicherheit von Zeit zu Zeit und dokumentieren Sie diese Überprüfungen. Denken Sie auch daran, Ihre MitarbeiterInnen regelmäßig auf Datensicherheit zu schulen

#11 Sie haben Ihren Online-Shop zertifizieren lassen?

Gütesiegel wie Trusted Shops (dem europäischen Vertrauenssiegel für Online-Shops) oder das Österreichische E-Commerce-Gütezeichen sind für Sie eine Selbstverständlichkeit?

Wunderbar!

Denn so zeigen Sie Ihren KundInnen, dass Sie ein seriöser und kundenfreundlicher Anbieter sind, der das Vertrauen der KundInnen verdient hat.

Wenn nicht: Holen Sie das gerne nach und erhöhen Sie Ihre Vertrauenswürdigkeit durch Zertifikate und Gütesiegel.

Und übrigens: Trusted Shops bietet jede Menge Services und ist daher sehr empfehlenswert für Online-Shop-BetreiberInnen.

#12 Nutzen Sie bereits vielfältige und vor allem gesicherte Zahlungsanbindungen im Webshop?


Sie haben sichere Zahlungsanbindungen wie PayPal, Kreditkarte oder Sofortüberweisungen (Klarna) und können hier auf zuverlässige Partner zurückgreifen?

Feine Sache.

Auf sichere Zahlungsanbindungen in SSL-Verschlüsselung sollten Sie größten Wert legen.

#13 Entsprechen Website und Webshop bereits den Vorschriften der Datenschutz-Grundverordnung (EU-DSGVO)?

Damit Website und Webshop DSGVO-konform sind, braucht es einige Änderungen wie beispielsweise:
  • Einfügen eines Hinweises beim erstmaligen Besuch, dass Cookies gesetzt werden.
  • Webseite/Webshop mit einem SSL-Zertifikat sichern lassen, wenn das noch nicht erledigt wurde.
  • Aktuelle Serversoftware / regelmäßige System-Updates durchführen, wenn ältere unsichere Versionen von PHP eingesetzt werden
  • Gemäß dem Grundsatz der Speicherbegrenzung: Anfrage-Daten im Websystem laut definierten Speicherfristen entfernen.
  • Newsletter-Anbindung DSGVO-konform gestalten: Double-Opt-In, d.h. nach der Anmeldung erhält der/die InteressentIn eine E-Mail mit einem Bestätigungslink zur Anmeldung zum Newsletter.

Sie versenden Newsletter? Oder lassen welche über eine Agentur versenden?

Erstellen Sie für EDV-Betreuer, Newsletter-System-Anbieter und Webagentur eine aktuelle Auftragsverarbeitungs-Vereinbarung, die DSGVO-konform ist. > Zur Vorlage der WKO Österreich

Fazit

Für Websiten-Besitzer
Nur mit einer sicheren Webseite können Sie zuverlässig und vertrauensvoll mit KundInnen und InteressentInnen online kommunizieren. Wie auch die Webinhalte regelmäßig auf Richtigkeit und Relevanz evaluiert werden, sollen UnternehmerInnen laufend überprüfen, wie es um die Sicherheit der Webseite steht.
Wie mache ich meine Website sicherer? Prüfen Sie von Zeit zu Zeit diese Checkliste mit Ihrem Hoster (z.B. A1, BSO, World4You) bzw. Ihrer Agentur und nehmen Sie gegebenenfalls Adaptierungen vor. So steht Ihr Online-Marketing auf einem soliden Fundament.

Für Webshop-Betreiber
Ermöglichen Sie Ihren KundInnen und InteressentInnen sicheres Online-Shopping. Wie es für Sie eine Selbstverständlichkeit sein wird, die Produkte regelmäßig auf Richtigkeit und Relevanz zu evaluieren, sollen regelmäßige Sicherheits-Check zur laufenden Routine im Online-Marketing gehören.

Anton Mayringer blickt in die Kamera und lächelt.
Über den Autor · Anton Mayringer
Mit seiner Kompetenz und langjährigen Erfahrung durchschaut Anton technische und organisatorische Prozesse mit spielerischer Leichtigkeit und hat in jeder Situation eine sinnvolle und effiziente Lösung. Er sieht Möglichkeiten wie kein Zweiter und eröffnet seinen Kunden Perspektiven, die Sinn machen. Anton ist Gründer und Agentur-Geschäftsführer (seit 2007), geprüfter Datenschutzexperte, Certified E-Commerce Expert – und seit langem engagiert in der Jungen Wirtschaft St. Pölten.

Anton kennenlernen

Gibt's dazu noch mehr zu erfahren? – Ja, klar!

Wir geben gerne unser Wissen und unsere Erfahrungen weiter. Maßgeschneiderte Empfehlungen und Lösungen für die individuelle Online-Strategie gibt′s natürlich für alle unsere KundInnen (und alle, die es noch werden wollen) im Rahmen einer persönlichen Beratung in St. Pölten und Amstetten.