Datenmissbrauch ist schlecht für die Marke: So schützen Sie sich davor

Die Sicherheit der eigenen IT-Infrastruktur und Website wird immer wichtiger. Nicht nur, weil Ausfälle teuer sind, sondern auch, weil die Kundschaft hinsichtlich der eigenen Daten immer sensibler wird. So hat erst kürzlich Adobe in einer Umfrage herausgefunden, dass fast die Hälfte der Befragten sich von einem Unternehmen abwenden, wenn sie zu diesem kein Vertrauen mehr hinsichtlich des Datenschutzes und der Sicherheit mehr haben.
Allein das subjektive Gefühl eines Datenmissbrauchs kann somit Kunden kosten.

Von den drei identifizierten Gründen, warum Kunden sich abwenden, haben allein zwei einen Bezug auf die Verarbeitung von Daten:

  • Intransparente Datenverarbeitung (44 Prozent): Ich habe das Gefühl, das Unternehmen beobachtet mich die ganze Zeit. Ich erhalte E-Mails, obwohl ich mich nicht daran erinnern kann, mich angemeldet zu haben. Ich weiß nicht genau, was mit meinen Daten passiert oder warum sie erfasst werden.
  • Nervig (43 Prozent): Ich bekomme zu viele E-Mails oder Benachrichtigung, die für mich keine Relevanz haben.
  • Enttäuschung (38 Prozent): Die angebotenen Produkte erfüllen nicht meinem Anspruch, sie sind zu teuer oder die Qualität ist schlecht.

Insbesondere bei den jüngeren Generationen ist das Bewusstsein für die persönlichen Daten stark ausgeprägt: In dieser Gruppe sind es 72 Prozent (Gen Z) bzw. 64 Prozent (Millennials), die sich bei Datenmissbrauch vom Unternehmen abwenden.

Für diese Wahrnehmung der Käufer spielt die eigene Website und die digitalen Services, mit denen der Kunde in Berührung kommt, eine wesentliche Rolle. Die Folgen: Wer an der Datensicherheit spart oder intransparent mit Daten umgeht, der schadet langfristig seinem Geschäft und das mühsam aufgebaute Vertrauen leidet erheblich.

Gleichzeitig steigen damit die Risiken für die Marke immer mehr, weil IT-Strukturen immer komplizierter und kleinteiliger werden. Aus diesem Grund ist es wichtig, ein Bewusstsein für die Sicherheit der Infrastruktur und gespeicherten Daten zu entwickeln und rechtzeitig Maßnahmen zu ergreifen, um diese möglichst umfassend zu schützen. Auch in dem Hinblick, ob alle erfassten Daten überhaupt benötigt werden. Denn Daten, die nicht gespeichert werden, können auch nicht bei einem Datendiebstahl entwendet werden.

Der sichere Betrieb einer Website: Prävention gegen Datenmissbrauch

Die Sicherheit einer Website ist ein komplexes Thema, in dem verschiedenste Bereiche eine Rolle spielen:

  1. das verwendete Content-Management-System (CMS) und daran angeschlossene Systeme, wie z.B. das CRM (Customer-Relationship-Management),
  2. genutzte Bibliotheken und Drittkomponenten, wie z.B. Javascript Libraries für bestimmte Effekte oder Funktionen auf der Website,
  3. Passwörter und Zugänge,
  4. Zuverlässigkeit des Hostings und die auf dem Server genutzte Software.

Dabei gilt immer: Die Sicherheit des Gesamtsystems wird vom schwächsten Glied in der Kette bestimmt.

Weniger ist mehr

Eine moderne Website bietet heutzutage eine Vielzahl an Funktionen und Möglichkeiten. Oft ergänzt mittels Modulen, Plugins und anderen Drittkomponenten. Dies wirkt sich jedoch nicht nur negativ auf die Sicherheit, sondern oft auch auf die Performance aus. Demzufolge profitieren Sie mehrfach davon, wenn sie diese möglichst sparsam einsetzen.

Eine WordPress Website mit 20 verwendeten Plugins ist im Durchschnitt 3x anfälliger für einen Sicherheitsvorfall, als eine Installation, die mit nur 5 Plugins auskommt. Dies betrifft jedoch nicht nur auf das CMS zu, sondern alle Bereiche, die im Zusammenhang mit der Website stehen. Ein Klassiker sind hier auch die unzähligen Javascript-Bibliotheken, welche heutzutage bei einem modernen Website-Design zum Einsatz kommen.

Daher gilt: Verwenden Sie möglichst wenige Plugins, Module und Drittkomponenten wie möglich.

Knackpunkt: Erweiterungen für mehr Sicherheit

Sowohl für Drupal als auch WordPress gibt es verschiedene Module bzw. Plugins, welche eine Website automatisch auf bestimmte Schwachstellen hinsichtlich der Sicherheit und Konfiguration aufmerksam machen.

Hier sollte jedoch der Nutzen immer mit den Kosten (jedes Modul erhöht das prozentuale Risiko) individuell abgewogen werden.

Sicherheitsupdates zügig einspielen

Je weniger Plugins oder Module verwendet werden, desto geringer ist auch die Trefferfläche von möglichen Sicherheitslücken und damit dem Bedarf an Sicherheitsupdates. Denn diese sind elementar wichtig für den sicheren Betrieb einer Website.

Insbesondere wenn gängige und beliebte Systeme oder Plugins eingesetzt werden, dauert es - nach Entdeckung einer Sicherheitslücke - meist nicht lange, bis diese Lücken aktiv und automatisiert ausgenutzt werden.

Aus diesem Grund ist es wichtig, sich aktiv über mögliche Sicherheitslücken bei den eingesetzten Systemen zu informieren und bereitgestellte Updates zeitnah einzuspielen. In manchen Fällen können Stunden darüber entscheiden, ob Ihre Website sicher ist oder bereits gehackt wurde.

Sicherheitshinweis bei dem CMS Drupal

Einige Content-Management-Systeme geben direkt einen Hinweis in der Administrationsoberfläche, wenn ein Sicherheitsupdate verfügbar ist. Hier im Beispiels das CMS Drupal.

Tipp: Abonnieren Sie am besten auch eine Mailingliste oder Newsletter, um über aktuelle Sicherheitsprobleme von den verwendeten Systemen informiert zu bleiben. So bietet beispielsweise das Drupal Security Team einen eigenen Newsletter an, indem über alle Sicherheitsupdates informiert wird.

Passwörter und Zugänge

Diesen Ratschlag werden Sie sicherlich nicht das erste Mal bekommen haben: Es unterstreicht jedoch, wie wichtig auch sichere Passwörter für den Betrieb einer Website sind.

Die meisten Websites bzw. dahinterliegenden Content-Management-Systeme kommen mit einem Benutzerkonto daher, welches mittels Benutzername und Passwort gesichert ist. Wer dieses kennt oder erraten kann, ist bereits drin. Besonders großer Schaden kann natürlich angerichtet werden, wenn Accounts mit entsprechend großzügigen Berechtigungen, wie von Administratoren oder Redaktion, betroffen sind.

  • Verwenden Sie ein möglichst langes und komplexes Passwort.
  • Das Passwort sollte keinen Bezug zu Ihrer Person oder Ihrem Unternehmen enthalten (z.B. der Name, Ort, Geburtsdatum etc.).
  • Verwenden Sie für jeden Dienst ein eigenes Passwort. Jedes Passwort sollte einmalig sein. Dadurch ist der mögliche Schaden viel geringer, wenn ein Passwort einmal kompromittiert wird.
  • Geben Sie keine Passwörter weiter oder teilen Sie sich ein Konto mit mehreren Personen. Jeder Mitarbeiter sollte sein eigenes Benutzerkonto (für die Verwaltung der Website) haben. Dies gilt auch für Praktikanten oder Externe. Nur so ist gewährleistet, dass Zugänge widerrufen werden können, wenn ein Mitarbeiter das Unternehmen verlässt.

Die Sicherheit weiter steigen können Sie, indem Sie den Zugriff auf die Administrationsoberfläche weiter einschränken: Zum Beispiel, indem Sie den Login und auch die Administration selbst nur innerhalb des eigenen VPN (Virtual Private Network) zugänglich machen.
Dies funktioniert jedoch nicht mit allen Content-Management-Systemen bzw. ist manchmal mit Funktionalitäten der Website nicht kompatibel.

Denken Sie auch an Ihren Computer

Vergessen Sie bei aller Sicherheit der Website nicht Ihren Computer. In einigen Fällen erlangen Angreifern den Zugang nicht über eine Sicherheitslücke Ihrer Website, sondern aufgrund Ihres Computers.
Wenn Ihr Computer von einem Virus infiziert wurde und Sie auf Ihrer Website zugreifen, kann es bereits sein, dass darüber die Website übernommen wird. Manchmal wird auf dem Computer auch eine Keylogging-Software abgelegt, die all Ihre Tastatureingaben aufzeichnet und an den Angreifer übermittelt. Dann helfen auch keine besonders sicheren Passwörter mehr etwas.

Von daher ist der Schutz Ihres Computers, Firmen-Netzwerks und aller angeschlossenen Computer genauso wichtig, wie der Ihrer Website.

Nutzen Sie SSL-Zertifikate

Zu einer Website gehört heutzutage auch ein SSL-Zertifikat. Mithilfe des Zertifikats wird die Verbindung zwischen Ihrem Browser oder die Ihres Websitebesuchers und des Servers verschlüsselt. Das sorgt u.a. dafür, dass das Passwort für den Benutzerlogin auch verschlüsselt übertragen und somit nicht mitgelesen werden kann.

Erkennen tun Sie eine verschlüsselte Verbindung natürlich über das „https://“ am Anfang der Internet-Adresse und dem entsprechenden Symbol am Anfang der Adresszeile von Ihrem Internetbrowser.

Überblick über die erfassten Daten

Für das Vertrauen ist es auch wichtig, dass Sie sich regelmäßig einen Überblick darüber verschaffen, welche Daten Sie erfassen. Dazu gehören auch mögliche Tracker und Analysedienste wie Google Analytics, Matomo (ehemals Piwik) & Co.
Prüfen Sie, ob Sie die Dienste bzw. Daten wirklich noch benötigen und dass Sie dies entsprechend in den Datenschutzbedingungen ausweisen bzw. das entsprechende Einverständnis vom Besucher erfassen und diesen entsprechend aufklären.

Auch hier gilt, wie bei den Plugins, weniger ist mehr: Wenn Sie schon Matomo einsetzen, werden Sie wahrscheinlich kein Google Analytics mehr benötigen bzw. andersherum.

Kommunizieren Sie offen und verständlich

Es macht bei dem Besucher Ihrer Website keinen guten Eindruck, wenn Sie schreiben, dass Sie den Schutz der Daten sehr ernst nehmen und möglichst sparsam erfassen. Gleichzeitig haben Sie aber fünf verschiedene Tracker installiert, um das Besucherverhalten zu erfassen und auswerten zu können.

Daher ist es immer vertrauenerweckender, wenn Ihre Aussagen hinsichtlich der Datenverarbeitung auch mit der Realität übereinstimmen. Nicht nur wegen der DSGVO ist Datensparsamkeit angeraten, sondern auch für ein besseres Gefühl bei Ihren Kunden.

Sorgen Sie vor

Auch bei den größten Anstrengungen lässt sich ein Datenvorfall nicht vollständig ausschließen. Sorgen Sie für diesen Fall vor.
Dies betrifft auch die Zusammenarbeit und Abstimmung mit Ihrer IT

Wenn Sie proaktiv und aufrichtig kommunizieren, dabei offen sind, können Sie den möglichen Vertrauensverlust gering halten. Damit dies gelingt, sollten Sie sich auf diesen Vorfall vorbereiten und eine entsprechende Strategie in der Schublade haben:
So sollten Sie beispielsweise klären, wer für die Kommunikation gegenüber den Betroffenen und der Öffentlichkeit verantwortlich ist. Dieser Personenkreis sollte so klein wie möglich sein und möglichst auch Entscheider umfassen, damit die Botschaft einheitlich und stark ist.

Versuchen Sie die möglichen Fragen der Presse und Kunden vorauszusehen, damit bereits im Vorfeld mögliche Antworten vorbereitet werden können. Im Ernstfall können Sie dadurch sehr schnell und effektiv kommunizieren, ohne selbst zu sehr unter Druck zu geraten. Bereiten Sie die Antworten auf verschiedene mögliche Cases vor und prüfen Sie regelmäßig, ob Ihre Annahmen und Antworten noch aktuell sind.

Übernehmen Sie in Ihrer Kommunikation Verantwortung. Versuchen Sie sich möglichst nicht als Opfer eines Angriffs (was technisch sogar stimmt) darzustellen, da dies meist negativ wahrgenommen wird. Wer offen, ehrlich kommuniziert und zu seinen Fehlern steht, der wirkt sympathisch und der Vorfall lässt sich einfacher verzeihen.

Der verantwortungsvolle Umgang mit Daten ist ein Gewinn für Ihr Unternehmen

Bei Datenpannen können Sie nicht nur Vertrauen und Kunden einbüßen, sondern im Optimalfall auch neue Kunden dazugewinnen. Der verantwortungsvolle Umfang wird sich in einer langfristigen und vertrauensvollen Kundenbeziehung auszahlen:

  • Wiederholte Einkäufe (65) Prozent
  • Empfehlung an Freunde und Bekannte (63 Prozent)
  • Teilnahme am Treueprogramm (40 Prozent)
  • Positive Bewertungen und Kommentare in sozialen Medien (28 Prozent)

Updates direkt in Ihr Postfach

Tragen Sie Ihre E-Mail ein und erhalten Sie wöchentlich unseren Newsletter. Kostenlos und jederzeit abbestellbar.
Ihre Daten sind sicher. Hier ist unsere Datenschutzerklärung.

Noch keine Kommentare vorhanden

Was denken Sie?

Beliebte Artikel

Drupal 7 Migration White Paper veröffentlicht

Drupal 7 Migration White Paper veröffentlicht

Wir haben heute unser erstes White Paper veröffentlicht. in diesem haben wir alle Informationen zusammengetragen, um den Wechsel von Drupal ...
Weiterlesen
No-Code- und Low-Code-Development mit Citrix Podio

No-Code- und Low-Code-Development mit Citrix Podio

Der von immer neuen „Buzz Words“ geplagte Entscheider hört, wenn es um Unternehmenssoftware geht, zunehmen davon, dass die Zukunft ...
Weiterlesen
Datenmissbrauch ist schlecht für die Marke: So schützen Sie sich davor

Datenmissbrauch ist schlecht für die Marke: So schützen Sie sich davor

Die Sicherheit der eigenen IT-Infrastruktur und Website wird immer wichtiger. Nicht nur, weil Ausfälle teuer sind, sondern auch, weil die ...
Weiterlesen