Wer über seinen Online-Shop verkauft, ist nach aktueller Gesetzeslage ein "Betreiber geschäftsmäßiger Telemedien". Das ist erst einmal nicht schlimm, auch wenn der Titel etwas sperrig wirkt. Allerdings erwächst juristisch aus dieser Einstufung auch Verantwortung. Denn der Händler muss dafür sorgen, dass sein Shop vor unberechtigten Zugriffen gesichert ist.

Wie es im Gesetz so schön heißt, muss der Betreiber verhindern, dass ein "unerlaubter Zugriff auf die für die Telemedienangebote genutzten technischen Einrichtungen möglich ist" und "diese gegen Verletzungen des Schutzes personenbezogener Daten und gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind" absichern. Nun befinden wir uns in der Juristerei, wer also konkrete Handlungsempfehlungen erwartet, wird entsprechend enttäuscht. Denn über das "Wie" schweigt sich das Gesetz aus.
Es gibt aber einige Dinge, die Shopbetreiber mit verhältnismäßig wenig Aufwand und Kosten umsetzen können, um die Sicherheit zu erhöhen.

Erzwingen Sie sichere Passwörter

Keine Frage. Einige Kunden könnten es Ihnen übel nehmen, wenn statt des geliebten Standardpassworts "passwort" nun "XdLs871/S" genutzt werden muss. Beim Kapern von Benutzerdaten und dem Eindringen in fremde Systeme gehen Angreifer aber nicht selten über das einfache Ausprobieren von Benutzernamen und Passwörter, um danach das System zu erforschen. Stellen Sie deswegen Regeln für das Anlegen von Passwörtern auf und informieren Sie den Kunden über die Vorteile, die sich daraus ergeben. Eine Beurteilung des Sicherheitsniveaus beim Anlegen der Zugangsdaten ist hilfreich.

Beim Einrichten der Richtlinie gilt es, einen guten Kompromiss zwischen Restriktionen und Komfort zu finden. Ein gutes Passwort sollte zwischen 8 und 10 Zeichen lang sein, ein Sonderzeichen oder wenigstens eine Ziffer enthalten. Die Unterscheidung zwischen Groß- und Kleinschreibung erhöht ebenfalls die Sicherheit.

Wartungs- und Sicherheitsupdates nutzen

Bei einem Shop, der bei einem Dienstleister läuft, sollte klar im Vertrag geregelt sein, dass sich dieser um die regelmäßige Wartung des Systems kümmert. Es sollte stets die aktuelle Programmversion genutzt werden und alle zur Verfügung stehenden Patches und Updates eingespielt werden. Händler, die sich selbst um das System kümmern, müssen diese Zusatzaufgabe übernehmen. Viele Anwendungen besitzen eine eigene Benachrichtigungsfunktion über das Vorhandensein neuer Updates. Diese Funktion zu aktivieren ist also von Vorteil. Außerdem ist es nützlich, wenn Sicherheits- und Herstellernewsletter abonniert werden.

Datenverkehr absichern

Viele Einbruchsversuche in Systeme gelingen nach dem Prinzip des "Man in the middle". Der Datenverkehr zwischen System des Kunden und dem Server wird unbemerkt abgefangen und analysiert. Die Absicherung der Datenverbindung mit einem Zertifikat sollte spätestens dann erfolgen, wenn sensible Informationen eingegeben werden sollen. Abzusichern wäre etwa der Zugriff auf das Kundenkonto oder die Eingabe der Zahlungsinformationen. Eine solche mit "https" gekennzeichnete Verbindung erschwert Angriffe.

Eher für Experten - Dateirechte kontrollieren

Problematisch können auch immer schnell die Dateirechte auf dem Server werden. Grundsätzlich sollten die Dateirechte möglichst restriktiv gesetzt werden. Das erschwert einerseits das Einschleusen von schädlichem Code. Zum anderen kann es helfen, im Notfall den Schaden zu begrenzen. Die Prüfung der Dateisysteme (auch und gerade nach Software-Updates) ist indes eher etwas für Spezialisten, die sich tief im Maschinenraum des Shops auch auskennen, und wissen, was sie tun.

Wer gleichzeitig noch etwas für die Vertrauensbildung in den Shop investieren möchte, kann schließlich seine Installation noch zertifizieren lassen. Dabei geht es aber nicht nur um Technik, sondern es werden auch Datenschutz oder auch Lieferbedingungen unter die Lupe genommen.