13-Punkte-Sicherheits-Check für Webseite & Webshop

9. April 2018 | Der Beitrag wurde am 17. April 2018 in Abstimmung mit dem Datenschutzexperten Anton Mayringer um einige Punkte ergänzt – auch hinsichtlich der EU-DSGVO, deren Übergangsfrist am 25. Mai 2018 endet.


Weil eine sichere Webseite bzw. ein sicherer Webshop aus Marketing-Sicht so enorm zentral ist, reichen wir Ihnen mit den nachstehenden Punkten eine 13-Punkte-Übersicht an die Hand, die Sie von Zeit zu Zeit gemeinsam mit Ihrem Hoster bzw. Ihrer Agentur (oder für sich) durchgehen und überprüfen.



Die leitenden Fragen bei der Erstellung dieser Übersicht waren:
  • Wann ist eine Website sicher? Wie kann ich prüfen, ob meine Webseite sicher ist?
  • Welche Eigenschaften muss ein Webshop aufweisen, damit dieser sicher ist?


#1 Welche PHP-Version verwende ich aktuell?


Sie sind sich nicht sicher, welche PHP-Version derzeit auf Ihrem Server läuft?

Fragen Sie bei Ihrer Agentur oder Ihrem Webhoster nach. Wenn Ihre Webseite bei World4You liegt, sind sie ein wenig flexibler und können die aktuell verwendete PHP-Version in Ihrer Verwaltungsoberfläche selbst einsehen.

Vergleichen Sie Ihre aktuelle PHP-Version mit den Versionen, die gegenwärtig Sicherheitsupdates erhalten > http://php.net/supported-versions.php Wenn Ihre Version Sicherheitsupdates erhält, ist alles in bester Ordnung.

Ist Ihre PHP-Version nicht mehr aktuell und benötigt sie daher ein Update?

Wenn Sie nicht ohnehin von Ihrer Agentur verständigt wurden, geben Sie das PHP-Update entweder bei Hoster oder Agentur in Auftrag.

Aus Erfahrung empfehlen wir: Bitte unterlassen Sie es, selbst die PHP-Version in der Verwaltungsoberfläche zu aktualisieren, ohne zuvor mit der Agentur zu sprechen. Denn auch die Webseite muss für die neueste PHP-Version kompatibel gemacht werden. Ist sie das nicht, wird sie nicht mehr (einwandfrei) funktionieren.

#2 Wurden Webseite oder Webshop SSL-zertifiziert?


Haben Sie bereits ein SSL-Zertifikat für Website und Webshop erstellen lassen und damit Ihren KundInnen gezeigt, dass Ihnen Sicherheit im Umgang mit den Kundendaten am Herzen liegt? Gerade bei einem Online-Shop ist die Zertfizierung unerlässlich. Auch, wenn Sie auf Ihrer Webseite Anfrageformulare eingerichtet haben.

Erkennbar ist das SSL-Zertifikat am grünen Schloss in der Adresszeile links neben der Domain. Der Hinweis "Die Verbindung ist sicher" zeugt ebenso von einer erfolgreichen Zertifizierung.


#3 Werden BesucherInnen darauf hingewiesen, dass Cookies gesetzt werden?


Machen Sie BesucherInnen beim erstmaligen Besuch Ihres Webshops/Ihrer Website darauf aufmerksam, dass Cookies gesetzt werden. Das sind kleine Textdateien, die auf dem Gerät (z.B. Smartphone, Tablet) gespeichert werden. Einige Cookies werden nach dem Besuch wieder gelöscht, andere bleiben gespeichert.

Zeigen Sie Ihren BesucherInnen, dass Ihnen der Umgang mit Daten und Cookies am Herzen liegt und machen Sie in Ihrer Datenschutzerklärung darauf aufmerksam.


#4 Das Wordpress-System ist auf die aktuellste Version geupdatet?


Ihr Wordpress-System wurde einem Update auf die neueste Version unterzogen und alle Plugins sind aktuell, erhalten automatische Sicherheitsupdates und sind damit sicher? Das hört sich gut an!

Wenn Sie die vertrauensvolle Aufgabe um die Wordpress-Sicherheit abgeben möchten, sind Sie mit einem Wartungsvertrag einer Agentur auf der sicheren Seite.


#5 Sie haben kein Kommentar-Spam in Ihrem Blog? Der Schutz scheint zu funktionieren!


Kommentar-Spam zeugt nicht gerade von Sicherheit und Vertrauenswürdigkeit. Wenn Sie also fremdsprachige oder werbelastige Kommentare in Ihrem Blog vorfinden, empfehlen wir den Einsatz von verschiedenen/mehreren bewährten Methoden zum Schutz vor Spam-Kommentaren wie beispielsweise:


#6 Sie verwenden einen Server, der vertrauenswürdig und professionell betreut ist?


Feine Sache. Dann haben Sie schon viel erreicht.

Wenn nicht, sollten Sie darüber nachdenken, den Hoster zu wechseln. Hier stellt sich nun die Frage:
Woran erkenne ich einen professionellen und vertrauenswürdigen Hoster?
  • Daran, dass ich im Falle von auslaufenden Systemen über ein Update informiert werde.
  • Ein Web-Hoster meines Vertrauens diskutiert mit KundInnen sicherheitsrelevante Themen und informiert mich entsprechend.
  • Der Hoster macht laufend Backups und ich bin damit im Ernstfall vor Datenverlust geschützt.


#7 Ihre Web-Inhalte werden laufend gespeichert und Sie sind im Falle des Datenverlustes mit einem Backup abgesichert?


Üblicherweise machen Hoster laufende Backups des Systems und dessen Webinhalte.

Um auf der sicheren Seite zu sein: Sprechen Sie am besten mit Ihrem Webhoster / EDV-Betreuer und klären Sie, ob Backups auch tatsächlich laufend passieren.

Denn bei vielen Web-Hostings ist der Kunde selbst für das Backup verantwortlich. In diesem Fall sollten Sie eine Lösung zur laufenden Sicherung finden, die mit dem Hoster abgestimmt ist.


#8 Sie bearbeiten Ihre Webinhalte und Programmierungen von einem sicheren Betriebssystem aus?


Wenn Sie von einem beschädigten System auf Ihre Webseite oder Ihren Webshop zugreifen und diese inhaltlich bearbeiten, helfen Ihnen vermutlich sämtliche Sicherheitsvorkehrungen nicht mehr. Denn: Durch die Schadsoftware „liest“ jemand mit – bei allem, was Sie am PC tun. Deshalb sind auch Passwörter nicht mehr sicher.

Wenn Ihnen Sicherheit also am Herzen liegt, überprüfen Sie auch laufend Ihr eigenes Netzwerk, Betriebssystem, den Virenschutz und die Firewall. Auf Ihrem eigenen PC und im gesamten Unternehmen.


#9 Sie geben nur jenen MitarbeiterInnen Zugriff auf die Websysteme (CMS), die Webinhalte auch wirklich betreuen?


Bedenken Sie, dass jeder Zugriff möglicherweise gefährlich sein kann. Insbesondere dann, wenn die Zugangsdaten gesammelt an einem Ort abgespeichert sind.

Stellen Sie daher sicher, dass nur wirklich jene MitarbeiterInnen Zugriff zu Ihrem Content-Management-System erhalten, die einen solchen wirklich brauchen.

Nutzen Sie verschiedene individuelle Passwörter, die von Zeit zu Zeit geändert werden. Am besten verwenden Sie für das sichere Passwort eine individuelle Kombination aus Ziffern, Zahlen und Sonderzeichen (8-12 Zeichen).


#10 Ist Datensicherheit bei Ihren Systemen gegeben (EU-DSGVO)?


Befindet sich Ihr Server versperrt in einem eigenen Raum? Damit haben Sie einen wichtigen ersten Schritt getan. Denn denken Sie nur daran, was passieren kann, wenn Server freizugänglich herumstehen oder gar mitgenommen werden können.

  • Schützen Sie Ihre Systeme vor fremdem Zutritt:
    Versperren Sie diese in einem Raum oder Aktenschrank.
  • Schützen Sie Ihre Systeme vor fremder Benutzung:
    Vergeben Sie sichere Kennwörter oder richten Sie automatische Sperrmechanismen ein. Beachten Sie auch, dass jede Person einen eigenen Benutzer im System hat – "geteilte" Zugänge könnten unsicher sein.
  • Schützen Sie Ihre Systeme vor fremdem Zugriffen:
    Stellen Sie sicher, dass niemand Inhalte des Systems verändern, kopieren oder entfernen kann. Protokollieren Sie am besten Ihre Zugriffe, dann haben Sie immer Klarheit, was in den Systemen passiert.
  • Machen Sie Ihre Systeme belastbar und verfügbar:
    Stellen Sie ein Backup sicher und schützen Sie die Systeme mit Virenschutz und Firewall.
  • Pseudonymisierung / Verschlüsselung der Daten:
    Achten Sie auch darauf, dass Daten in Backups oder Speicherungen pseudonymisiert bzw. verschlüsselt sind.
  • Evaluieren Sie laufend:
    Überprüfen Sie die Datensicherheit von Zeit zu Zeit und dokumentieren Sie diese Überprüfungen. Denken Sie auch daran, Ihre MitarbeiterInnen regelmäßig auf Datensicherheit zu schulen

#11 Sie haben Ihren Online-Shop zertifizieren lassen?


Gütesiegel wie Trusted Shops (dem europäischen Vertrauenssiegel für Online-Shops) oder das Österreichische E-Commerce-Gütezeichen sind für Sie eine Selbstverständlichkeit?

Wunderbar!

Denn so zeigen Sie Ihren KundInnen, dass Sie ein seriöser und kundenfreundlicher Anbieter sind, der das Vertrauen der KundInnen verdient hat.

Wenn nicht: Holen Sie das gerne nach und erhöhen Sie Ihre Vertrauenswürdigkeit durch Zertifikate und Gütesiegel.

Und übrigens: Trusted Shops bietet jede Menge Services und ist daher sehr empfehlenswert für Online-Shop-BetreiberInnen.

#12 Nutzen Sie bereits vielfältige und vor allem gesicherte Zahlungsanbindungen im Webshop?


Sie haben sichere Zahlungsanbindungen wie PayPal, Kreditkarte oder Sofortüberweisungen (Klarna) und können hier auf zuverlässige Partner zurückgreifen?

Feine Sache.

Auf sichere Zahlungsanbindungen in SSL-Verschlüsselung sollten Sie größten Wert legen.

#13 Entsprechen Website und Webshop bereits den Vorschriften der Datenschutz-Grundverordnung (EU-DSGVO)?


Damit Website und Webshop DSGVO-konform sind, braucht es einige Änderungen wie beispielsweise:
  • Einfügen eines Hinweises beim erstmaligen Besuch, dass Cookies gesetzt werden.
  • Webseite/Webshop mit einem SSL-Zertifikat sichern lassen, wenn das noch nicht erledigt wurde.
  • Gemäß dem Grundsatz der Speicherbegrenzung: Anfrage-Daten im Websystem laut definierten Speicherfristen entfernen.
  • Newsletter-Anbindung DSGVO-konform gestalten: Double-Opt-In, d.h. nach der Anmeldung erhält der/die InteressentIn eine E-Mail mit einem Bestätigungslink zur Anmeldung zum Newsletter.

Sie versenden Newsletter? Oder lassen welche über eine Agentur versenden?

Erstellen Sie für EDV-Betreuer, Newsletter-System-Anbieter und Webagentur eine aktuelle Auftragsverarbeitungs-Vereinbarung, die DSGVO-konform ist. > Zur Vorlage der WKO Österreich

Fazit


Für Webseiten-BetreiberInnen
:

Nur mit einer sicheren Webseite können Sie zuverlässig und vertrauensvoll mit KundInnen und InteressentInnen online kommunizieren. Wie auch die Webinhalte regelmäßig auf Richtigkeit und Relevanz evaluiert werden, sollen UnternehmerInnen laufend überprüfen, wie es um die Sicherheit der Webseite steht.

Wie mache ich meine Website sicherer? Prüfen Sie von Zeit zu Zeit diese Checkliste mit Ihrem Hoster (z.B. A1, BSO, World4You) bzw. Ihrer Agentur und nehmen Sie gegebenenfalls Adaptierungen vor. So steht Ihr Online-Marketing auf einem soliden Fundament.


Für Online-Shop-BetreiberInnen:

Ermöglichen Sie Ihren KundInnen und InteressentInnen sicheres Online-Shopping. Wie es für Sie eine Selbstverständlichkeit sein wird, die Produkte regelmäßig auf Richtigkeit und Relevanz zu evaluieren, sollen regelmäßige Sicherheits-Check zur laufenden Routine im Online-Marketing gehören.

Unser geprüfter Datenschutzexperte: Anton Mayringer


Anton Mayringer
berät Sie gerne zu DSGVO-Themen. Kontaktieren Sie uns am besten gleich unter <Diese E-Mail-Adresse ist gegen Spam Bots geschützt, zum Ansehen müssen Sie in Ihrem Browser JavaScript aktivieren.> oder unter Tel: +43 (0) 2742 27 441.
Agentur-Geschäftsführer Anton Mayringer ist Geprüfter Datenschutzexperte der Q2E Online-Agentur in St. Pölten.

News und Online-Trends

Anton Jungwirth lacht in die Kamera. Er ist Entwickler und Programmierer der St. Pöltner Online-Agentur Q2E.
Sicherheit

Was in Sachen Sicherheit bei Wordpress-Webseiten zu beachten ist [Agentur-Tipps]

24. April 2019 | Als Entwickler liegt mir am Herzen, dass unsere KundInnen nur sichere Webseiten verwenden. Machen Sie sich ein Bild, was in Sachen Sicherheit bei Wordpress-Seiten zu beachten ist. Wir haben 10 Tipps für Entwickler und Wordpress-BetreuerInnen zusammengestellt.
EU-DSGVO

Google Irland: Änderung der Anschrift in der Datenschutzerklärung empfohlen

14. Februar 2019 | Für Services und Datenschutz in der EU/EWR und Schweiz ist seit Kurzem Google Irland zuständig (statt Google USA). Wir empfehlen Ihnen, die Anschrift von Google in Ihrer Datenschutzerklärung anzupassen. – Nur ein kleiner Handgriff und Ihre Datenschutzerklärung ist wieder aktuell.
EU-DSGVO

Ab 01/2019: Keine Sicherheitsupdates für PHP 5.6

12. Dezember 2018 | Der Sicherheitssupport für die PHP-Version 5.6 wird mit 31. Dezember 2018 eingestellt. Das bedeutet für Webseiten und Webshops (mit dieser Version) ein erhöhtes Sicherheitsrisiko. Schnell umzusteigen auf neuere Versionen empfiehlt sich daher dringend.
HTTPS-Webseiten werden mit grünem Schloss symbolisiert. Nicht-sichere Webseiten werden rot dargestellt mit dem Schriftzug "not secure".
Sicherheit

Verstärkte Warnungen für unverschlüsselte HTTP-Webseiten in Google Chrome ab Herbst 2018

27. August 2018 | Der Webbrowser Google Chrome wird unverschlüsselte HTTP-Webseiten deutlicher als »unsicher« markieren. SSL-zertifizierte Webseiten sollen neutraler dargestellt werden, Warnungen für unsichere Webseiten werden ab Oktober 2018 deutlicher.
schwarz gezeichnete Umschläge auf weißem Hintergrund symbolosieren eine Flut an E-Mails
Sicherheit

Wie lässt sich verhindern, dass erwünschte Mails im Spam-Ordner landen?

31. Juli 2018 | Erwünschte E-Mails im Spam-Ordner? Wie ärgerlich! Wir geben Ihnen hier deshalb einige Tipps, was Sie unternehmen können, damit erwünschte E-Mails nicht mehr in Ihrem Spam-Ordner ...
FREDWIN-Logo
EU-DSGVO

Einfache Webseiten sind DSGVO-konform (CMS FREDWIN)

4. Mai 2018 | Wir schätzen unsere langjährigen Kunden des Fredwin-Websystems. Mit der kostenlosen Anpassung der bestehenden Fredwin-Webseiten an die DSGVO sagen wir unseren KundInnen «Danke» für Treue & Vertrauen.