Ihre Website sichern

Der Aufbau und die Wartung einer Website ist ein wichtiger Teil Ihrer Online-Präsenz. Cybersicherheitsvorfälle wie der Diebstahl von Kundendaten können Ihr Unternehmen bzw. Ihre Marke auf unterschiedliche Weise schädigen:

  • Reputationsverlust Ihrer Marke
  • Unterbrechung Ihrer Dienstleistungen
  • Vertrauensverlust seitens Ihrer Kund(inn)en
  • Sanktionen durch Kontrollbehörden und Klagen

Für Online-Shops sind u. a. folgende Cybersicherheitsvorfälle relevant:

  • Diebstahl von Kundendaten
  • Änderung von Informationen auf der E-Commerce-Plattform
  • Abschaltung der Website
  • Durchsickern vertraulicher Geschäftsinformationen

Außerdem ist es sehr wichtig, dass Sie bereits vor einem möglichen Sicherheitsverstoß wissen, welche sensiblen Informationen auf Ihrer Site gespeichert sind. Stellen Sie sich folgende Fragen:

  • Welche Informationen sind für Ihr Unternehmen entscheidend?
  • Wo befinden sich diese Informationen?
  • Wie schnell können im Fall eines Angriffs gestohlene Informationen wiederhergestellt werden?

Darüber hinaus sollten Sie Ihre Systeme einer umfassenden Prüfung unterziehen, dabei die wichtigsten Bestandteile festhalten und alles nachverfolgbar aufzeichnen. Stellen Sie sicher, dass Sie nicht die einzige Person in Ihrem Unternehmen sind, die über diese Prüfung Bescheid weiß. Beachten Sie aber gleichzeitig, dass nur Personen mit berechtigtem Informationsbedarf Zugriff auf Ihre Datensysteme haben sollten.

Informationen auf Ihrer Website schützen

Es ist wichtig, dass Sie die Kernaspekte der Informationssicherheit – nämlich Vertraulichkeit, Integrität und Verfügbarkeit – auf Ihre Website und Ihre Leistungen anwenden und die erforderlichen Service-Level-Anforderungen festlegen. Je nachdem, welche weiteren Elemente Sie auf Ihrer Website integriert haben, können diese Anforderungen abweichen.

Um für ein sicheres System zu sorgen, müssen Sie folgende Aspekte gewährleisten:

  • Vertraulichkeit: Das bedeutet, Informationen wie Kredit-/Debitkartennummern und andere persönliche Informationen vor der Offenlegung gegenüber unberechtigten Dritten zu schützen. Dies kann mithilfe der folgenden Maßnahmen erreicht werden:
    • Einrichtung eines ordentlichen Authentifizierungsmechanismus (z. B. Multifaktor-Authentifizierungslösungen, bei denen die Benutzer zwei oder mehrere Möglichkeiten zur Überprüfung ihrer Identität angeben müssen)
    • Verwendung verschlüsselter Verbindungen (HTTPS; SSL-Sicherheitsprotokoll), um sicherzustellen, dass nur die richtigen Personen Zugang zu den sensiblen Daten erhalten
  • Integrität: Das bedeutet sicherzustellen, dass die Informationen korrekt und vertrauenswürdig bleiben, indem sie vor Änderungen durch unberechtigte Dritte geschützt werden. Dies kann mithilfe der folgenden Maßnahmen erreicht werden:
    • tägliche Überprüfung Ihrer Systeme auf veränderte Dateien
    • Planung von Sicherheitsprüfungen für Ihre Website und Dienstleistungen zur Vermeidung von Angriffen
    • Einrichtung eines Intrusion-Prevention-Systems
  • Verfügbarkeit: Das bedeutet sicherzustellen, dass Ihre Website ohne Unterbrechung läuft, sofern Sie Ihre Website selbst hosten. Dies kann mithilfe der folgenden Maßnahmen erreicht werden:
    • Einrichtung eines Notfallsystems für Stromausfälle
    • sorgfältige Wartung der Hardware

Verhalten bei Sicherheitsvorfällen

Es ist wichtig, dass für den Fall eines Sicherheitsverstoßes ein umsetzbarer Plan vorliegt, der konkrete Maßnahmen und Verfahren enthält, die bei einem Sicherheitsvorfall einzuhalten sind. In den Verfahren sollte angegeben werden:

  • wer die federführende Verantwortung trägt
  • wie entscheidende Mitarbeiter/innen kontaktiert werden können
  • welche Daten, Netzwerke und Dienstleistungen bei der Wiederherstellung priorisiert werden sollen
  • wer kontaktiert werden muss (Dateneigner/innen, Kund(inn)en oder Partnerunternehmen), wenn ihre jeweiligen Daten oder die Daten, die ihre Netzwerke betreffen, offengelegt wurden

Befolgen Sie diese Schritte, wenn Sie einen Sicherheitsverstoß bemerken:

  • Informieren Sie Ihre Kund(inn)en über den Vorfall, um ihr Vertrauen nicht zu verlieren.
  • Stellen Sie sicher, dass alle, die an Ihrem Online-Shop beteiligt sind, ebenfalls über den Vorfall Bescheid wissen. Ernennen Sie eine/n ständige/n IT-Beauftragte/n für den Fall, dass Sicherheitslücken auftreten.
  • Stellen Sie die Ursache des Verstoßes fest und dokumentieren Sie alle Nachweise, die später ggf. vor Gericht verwendet werden können.
  • Sind Finanzinformationen wie Kreditkartendaten betroffen, müssen Sie Ihren Zahlungsabwickler informieren.

Zudem sollten Sie eigene Leitlinien für die Mitteilung von Datenschutzverletzungen festlegen, die in Ihre Datenschutzerklärung aufgenommen werden können und in denen Sie angeben, wie und wann Ihre Kund(inn)en über einen Verstoß gegen den Datenschutz informiert werden. Beachten Sie außerdem, dass Sie gemäß DSGVO verpflichtet sind, die zuständige Datenschutzbehörde zu informieren, sobald Ihnen eine Datenschutzverletzung bekannt wird.

IT-Notfallteams (Computer Emergency Response Teams – CERT) auf nationaler Ebene sind Teams aus Sicherheitsexpert(inn)en, die für den Umgang mit Sicherheitsvorfällen (wie die Meldung und den Umgang mit Sicherheitsgefahren) zuständig sind. Sie können Ihnen Auskunft darüber geben, was Sie im Fall eines Cyberangriffs tun und an wen Sie sich wenden sollten. Außerdem veröffentlichen sie Warnungen zu Sicherheitslücken und Gefahren in Ihrem Land.

Einhaltung von Datenschutzvorschriften

Die Datenschutz-Grundverordnung sieht hinsichtlich der Erhebung, Speicherung und Verwaltung personenbezogener Daten verschiedene Pflichten für Unternehmen vor. Die zwei Hauptziele der DSGVO sind Transparenz und die Unterrichtung der Öffentlichkeit, wie ihre Daten verwendet werden.

Für nähere Informationen über die allgemeinen Bestimmungen der DSGVO und wie sich diese auf Ihr Unternehmen auswirken, lesen Sie den Unterabschnitt zum Datenschutz.

In Ihrem Online-Shop ist die DSGVO besonders für Ihre Datenschutzerklärung relevant. Dabei handelt es sich um ein von Ihrem Unternehmen veröffentlichtes Dokument, in dem Sie erklären, wie Sie personenbezogene Daten verarbeiten und wie Sie Datenschutzgrundsätze anwenden. Sobald auf Ihrer Website personenbezogene Daten erhoben werden, sollte unmittelbar die Datenschutzerklärung angezeigt werden.

Die Datenschutzerklärung sollte

  • knapp, transparent und verständlich formuliert sein
  • leicht zugänglich sein
  • unentgeltlich und rasch bereitgestellt werden

Was in Ihrer Datenschutzerklärung stehen sollte

Die Datenschutzerklärung, die in Ihrem Online-Shop angezeigt wird, sollte folgende Angaben enthalten:

  • Angaben zu Ihrem Unternehmen, dem/der bestellten Vertreter/in und dem/der Datenschutzbeauftragten en Ihres Unternehmens sowie entsprechende Kontaktdaten
  • die Zwecke, zu denen Ihr Unternehmen personenbezogene Daten von Benutzer/innen verarbeitet, und deren Rechtsgrundlage
  • die berechtigten Interessen Ihres Unternehmens, personenbezogene Daten zu verarbeiten
  • alle Empfänger/innen von Benutzerdaten
  • ob personenbezogene Daten in ein Land außerhalb der EU übermittelt werden
  • wie lange die Daten gespeichert werden
  • welche Rechte die Benutzer/innen in Bezug auf ihre verarbeiteten Daten haben, insbesondere hinsichtlich ihres Rechts darauf,
    • ihre Einwilligung jederzeit zu widerrufen
    • Beschwerde bei einer Aufsichtsbehörde einzulegen
  • ob die personenbezogenen Daten der Benutzer/innen auf der Grundlage gesetzlicher oder vertraglicher Pflichten bereitgestellt werden
  • ob automatisierte Entscheidungssysteme einschließlich Profiling (ein Prozess, bei dem bereits erhobene Daten zu statistischen Zwecken ausgewertet werden) zum Einsatz kommen

Die Datenschutzerklärung, die in Ihrem Online-Shop angezeigt wird, sollte folgende Angaben enthalten:

  • Angaben zu Ihrem Unternehmen, dem/der bestellten Vertreter/in und dem/der Datenschutzbeauftragten Ihres Unternehmens sowie entsprechende Kontaktdaten
  • die Zwecke, zu denen Ihr Unternehmen personenbezogene Daten von Benutzer/innen verarbeitet, und deren Rechtsgrundlage
  • die berechtigten Interessen Ihres Unternehmens, personenbezogene Daten zu verarbeiten
  • alle Empfänger/innen von Benutzerdaten
  • ob personenbezogene Daten in ein Land außerhalb der EU übermittelt werden
  • wie lange die Daten gespeichert werden
  • welche Rechte die Benutzer/innen in Bezug auf ihre verarbeiteten Daten haben, insbesondere hinsichtlich
    • ihres Rechts darauf, ihre Einwilligung jederzeit zu widerrufen
    • ihres Rechts darauf, Beschwerde bei einer Aufsichtsbehörde einzulegen
  • welche Kategorien von personenbezogenen Daten von Ihrem Unternehmen erhoben werden
  • ob automatisierte Entscheidungssysteme einschließlich Profiling zum Einsatz kommen

Datenschutzerklärungen müssen schriftlich und (ggf.) in elektronischer Form bereitgestellt werden und in einem eigenen Bereich Ihrer Website veröffentlicht werden (z. B.: Datenschutzerklärung en ). Zudem muss von jeder Seite bzw. Unterseite der Website unmittelbar auf die Datenschutzerklärung zugegriffen werden können.

Nähere Informationen und hilfreiche Tipps zur Erstellung einer Datenschutzerklärung finden Sie in diesen Leitlinien en .

EU-Recht

Benötigen Sie Unterstützung durch unsere Hilfsdienste?

Wenden Sie sich an unsere spezialisierten Hilfsdienste:

Benötigen Sie eine Auskunft zur grenzüberschreitenden Wirtschaftstätigkeit (Ausfuhr, Expansion in einem anderen EU-Land)? Das Enterprise Europe Network beantwortet Ihre Fragen kostenlos.

Sie können auch die Suchfunktion für Hilfsdienste in Anspruch te nehmen.

Zuletzt überprüft: 24/05/2024
Seite weiterempfehlen