Unternehmensführung

E-Business: Risikovorsorge

Gehen Sie auf Nummer sicher und sorgen Sie für größtmöglichen Schutz Ihres IT-Bereichs. Die Investition lohnt sich in jedem Fall.

Virenschutzprogramme

Virenschutzprogramme überprüfen Datenträger auf eventuelle Computer-Viren. Eine solche Überprüfung sollte sowohl die am Arbeitsplatz benutzten Datenträger als auch sämtliche Datenträgerzugänge (z. B. Internet, E-Mail) umfassen. Virenschutzprogramme müssen regelmäßig aktualisiert werden. Auch die Verwendung der digitalen Signatur kann dem Virenschutz dienen. Wenn E-Mails immer mit einer "digitalen Signatur" elektronisch unterschrieben wären, wüssten die Empfänger wer ihnen was gesendet hat.

Firewalls

Es handelt sich um eine Hardware oder Software, die den Zugang zu internen Datensystemen etwa von Unternehmen (z. B. Intranets) beschränkt oder verhindert. Dabei ist auch zu prüfen, inwieweit das zu schützende Unternehmensnetz unterteilt werden kann, so dass nicht das gesamte Netz, sondern vielleicht nur ein geringer Teil mit dem Internet verbunden ist.

Angriffe erfassen: Intrusion Detection Systeme

Hacker-Angriffe auf ein Netzwerk lassen sich erkennen: In den Zugriffs-Daten, die jede Firewall durch einen automatischen Firewall-Administrator protokolliert. Schwierig ist allerdings, eine Attacke in der Fülle der Daten und bei der Vielzahl und Komplexität der verschiedenen Angriffsmöglichkeiten zu entdecken. Intrusion Detection (ID) und Intrusion Response (IR) Systeme können hierbei helfen. ID-Systeme unterstützen einen Firewall-Administrator dabei, einen Angriff aus einer großen Anzahl von Protokolldaten herauszulesen. IR-Systeme dagegen dienen dazu, automatisch Gegenmaßnahmen einzuleiten, sobald ein Angriff erkannt wird. Zurzeit sind Intrusion Detection Systeme allerdings noch kein Allheilmittel gegen Angriffe von außen, sondern noch mit diversen Problemen behaftet, so dass sie auf keinen Fall als Ersatz für andere Sicherheitsmaßnahmen, sondern nur als Ergänzung für diese eingesetzt werden sollten.

Nachrichten verschlüsseln

Bei der Online-Übertragung von Nachrichten sollten sich alle Kommunikationspartner darüber im klaren sein, dass unverschlüsselte Nachrichten während ihres gesamten Weges unbemerkt gelesen, geändert bzw. abgefangen werden können. Auch innerhalb eines Unternehmens sollten alle sensiblen Geschäftsdaten vor den Augen Dritter durch Verschlüsselung geschützt werden. Besonders wichtig für die Verschlüsselung und z. B. für eine digitale Signatur ist:

  • Ohne ein verwendetes Verschlüsselungsprogramm (Algorithmus) darf es nicht möglich sein, einen verschlüsselten Text zu rekonstruieren. Nicht in jedem Fall macht aber ein hochkomplizierter Schlüssel Sinn.
  • Das Verschlüsselungsprogramm muss gut funktionieren. Leider sind viele der in Unternehmen eingesetzten Verschlüsselungssysteme von zweifelhafter Qualität. Einige Programme haben Konstruktionsfehler oder sind unverständlich.
  • Die Schlüssel und der verschlüsselte Text dürfen nicht zusammen auf einem Datenträger gespeichert werden.
  • Zur Verschlüsselung wird häufig SSL (Secure Socket Layer) eingesetzt. SSL hat den Vorteil, dass es in jedem Standard-Browser integriert ist und die Kunden keine weitere Software installieren müssen.
  • Mit dem GNU Privacy Guard (GnuPG) und dem vom Bundesministerium für Wirtschaft und Technologie (BMWi) geförderten GNU Privacy Projekt (GnuPP) steht darüber hinaus eine freie Verschlüsselungssoftware zur Verfügung.

Keine "Monokulturen"

Unternehmens-Netzwerke sollten nicht an jeder Stelle mit derselben Standardsoftware ausgestattet sein: also keine "Monokulturen", in der jeder einzelne Server und jeder PC von einem Virus befallen werden könnte. Dort, wo dennoch bekanntermaßen anfällige Software genutzt wird (z. B. für E-Mail), sollten die bestehenden Sicherheitsmöglichkeiten aktiviert werden.

Verbraucherfreundliche Technologien

Der Erfolg von E-Business-Unternehmen steht und fällt mit der Gewährleistung von Daten- und Verbraucherschutz. Daher sollten Internet-Händler ihre Internet-Angebote so gestalten, dass diese sowohl möglichst wenige Risiken für die Benutzer beinhalten, als auch einfach zu bedienen sind.

Identifikation

Unternehmen sollten bei Bestellungen ihre Kunden einer Plausibilitätsprüfung unterziehen: Gibt es den Kunden überhaupt? Stimmt die Adresse? Im Zweifelsfalle: den Kunden anrufen.

Digitale Signatur

Nicht wenigen Online-Händlern ist eine fehlende rechtsverbindliche persönliche Unterschrift im Internet zum Problem geworden: angesichts etlicher Blindlieferungen und geplatzter Verkaufsverträge. Mit Hilfe der elektronischen Signatur nach dem Signaturgesetz ist es möglich, elektronische Dokumente (z. B. E-Mails) rechtsverbindlich zu unterschreiben: Online-Nutzer, die die digitale Signatur nutzen wollen, erhalten von einer Zertifizierungsstelle einen verschlüsselten Unterschrifts-Code auf einer besonders gesicherten Chip-Karte. Wollen sie elektronische Dokumente unterzeichnen, können sie sich über ein spezielles Kartenlesegerät am Computer einwählen, ausweisen und verschlüsselt unterschreiben.

Sicherheitsmanagement

Der Sicherheits-Gedanke muss alle Bereiche eines Unternehmens durchdringen: Rechte und Pflichten der Mitarbeiter, Zuständigkeiten, verbindliche Handlungsanweisungen, Diskretion etc. In kleineren Betrieben reicht hier ein IT-Sicherheitsbeauftragter aus. In großen Unternehmen kümmert sich sinnvollerweise ein IT-Sicherheitsmanagement-Team um die vielfältigen Aufgaben zur Konzeption und Koordinierung der IT-Sicherheit.

Aufbau einer Sicherheitskultur

Um Sicherheits-Schwachstellen auszuschließen, das Zusammenspiel aller Sicherheits-Maßnahmen zu garantieren und Fehler zu vermeiden, sollte jedes Unternehmen eine eigene IT-Sicherheitskultur schaffen.

Sicherheits-Informationen für Kunden

Ob ein Online-Shop erfolgreich ist oder nicht, hängt nicht zuletzt vom Vertrauen der Kunden ab: Wie seriös ist der unbekannte Geschäftspartner "am anderen Ende der Leitung", dem man sein Geld anvertrauen soll? E-Business-Anbieter sollten ihre Kunden daher darüber aufklären,

  • was das Unternehmen leistet, um den Kunden und seine Daten bestmöglichst zu schützen,
  • welche Möglichkeiten ein Kunde hat, um sich selbst zu schützen.

Insbesondere sollte den Konsumenten erklärt werden, in welchem Umfang und wofür Daten über sie erhoben werden und wie diese vor Missbrauch geschützt werden. Beispiele: Wie sind personenbezogene Daten im Unternehmen geschützt? Falls Cookies verwendet werden, sollte man den Kunden darüber informieren, welchem Zweck sie dienen sollen und wie lange die damit ermittelten Informationen gespeichert werden. Dies entspricht übrigens auch den Forderungen des Telemediengesetzes (TMG).

Kunden-Info: Was kann der Kunde tun?

Kunden sollten immer die Möglichkeit haben, Techniken oder Methoden auszuschließen, bei denen sie erfahrungsgemäß Sicherheitsbedenken haben. Beispiel: Viele animierte Demonstrationen auf Webseiten verlangen aktive Inhalte wie JavaScript. Anstatt sicherheitsbewusste Kunden zu dieser Form der Demonstration zu "zwingen", sollte man sie darauf hinweisen, dass für eine Demonstration JavaScript im Browser eingeschaltet sein muss, aber diese auch ohne JavaScript als einfache Bilderfolge betrachtet werden kann.

Artikel bewerten

»Seite drucken
»Seite versenden
»zum Seitenanfang

Sicherheit