Cybersicherheit im Online-Handel ist planbar

Auch die Betreiberinnen und Betreiber kleinerer Projekte im Online-Handel können mit wenigen Mittel das Ausmaß ihrer Sicherheitsmaßnahmen steigern und ein Notfall-Szenario für den Krisenfall einer Cyberattacke entwickeln.

Mit dem Auftrieb im Onlinehandel in den vergangenen Monaten haben auch die Angriffe auf das E-Commerce-Angebot deutlich zugenommen. Insbesondere Einzelhändler, kleinere Hersteller sowie die Gastronomie haben nun auch den Online-Handel entdeckt. Doch der sichere Betrieb im Online-Verkauf verlangt neben Technik vor allem auch die Beachtung wichtiger betriebswirtschaftlicher Komponenten. Wer online langfristig erfolgreich sein will, sollte von Anfang an Verantwortung übernehmen und auch die Risiken realistisch einschätzen. Händler können ihr Risiko nachhaltig minimieren, wenn sie folgende Schritte setzen:

Bewusste Konfrontation mit den Risiken

Hierzu zählt eine breite Palette von Themen wie dem geeigneten Speicherort von persönlichen Daten über mögliche technische Schwachstellen beziehungsweise der Erfassung möglicher Ziele von Cyberattacken im eigenen System. Im Weiteren sind die rechtlichen Pflichten als Betreiber von Interesse, die Dokumentation der technischen Komponenten unter Sicherheitsaspekten sowie eine Awareness-Schulung der betroffenen Mitarbeiterinnen und Mitarbeiter. Damit lassen sich bereits eine große Zahl an Angriffsvarianten identifizieren und daraus eine Strategie zur Weiterentwicklung entwerfen.

Im Großen und Ganzen sind folgende Eckpunkte ins Auge zu fassen:

  • Wie sind die Update-Prozesse organisiert?
  • Welche Service-Level-Agreements sind bei der Umsetzung der Technik für die Webseite vorhanden, welche Verträge bestehen für Sicherheitsupdates und Back-ups?
  • Wird der Server der Plattform auch von anderen Diensten genutzt?
  • Bestehen automatisierte Schnittstellen zu anderen Diensten? Sind dabei entsprechende IT-Sicherheitsaspekte abgedeckt? Könnten diese Dienste als mögliche Angriffspunkte dienen?
  • Sind die betroffenen Mitarbeiterinnen und Mitarbeiter sowie externe Dienstleister mit den Sicherheitsrisiken, Abwehrmaßnahmen und Folgen vertraut? Wird regelmäßig weitergebildet?
  • Bestehen Provisorien bereits über einen längeren Zeitraum?  Wird die eingesetzte Software noch im Lebenszyklus der Hersteller betreut?

Um potenzielle Problembereiche zu erkennen und festzumachen wird die Analyse idealerweise von einem unabhängigen Dritten begleitet, womit die Qualität der Ergebnisse deutlich steigt.

Rechtlicher Beistand

Da sich die IT-Umsetzer einer Online-Verkaufsplattform auf die technische Lösung fokussieren, ist juristische Begleitung zu den branchen-, dienstleistungs- und produktspezifischen Eigenheiten im Tätigkeitsbereich unbedingt angebracht, um das Online-Angebot rechtssicher zu machen. Dabei ist auch auf mögliche gesetzliche Änderungen oder Neuerungen zu achten.

Cybersicherheit auch mit kleinen Budgets

Der Bereich Cybersecurity sollte bereits in der Projekt-Ausschreibung für eine E-Commerce-Lösung integriert werden. Für bestehende Lösungen oder kleinere Projekte aus dem KMU-Bereich mit geringem Budget scheint es dabei als Minimalmaßnahme, für Sicherheitsrisiken und entsprechende Abwehrmaßnahmen adäquate Einzelberatungen mit Spezialisten durchzuführen.

Krisenpläne für den Notfall

Um bei einem Cyberangriff kurzfristig, bestmöglich und koordiniert zu reagieren, sollte ein entsprechendes Notfall-Konzept von der Geschäftsleitung (eventuell gemeinsam mit einer/einem im Betrieb Verantwortlichen) mit Juristen, IT-Sicherheitsleuten und dem technologischen IT-Dienstleister entwickelt werden. Darin sollten Ansprechpartnerinnen und Ansprechpartner und Verantwortungen festgemacht sowie Detailpläne zu Kommunikationsmaßnahmen, zur Deaktivierung von Diensten und Accounts und Kontaktadressen zu öffentlichen Institutionen festgeschrieben sein. Im Übrigen sind diese Stellen oft sogar dankbar, mit einem solchen Konzept bereits vor Eintreten eines Schadenfalles konfrontiert zu werden.

Quelle: