Das ewige Thema: Sicherheit!

Software entwickelt sich weiter, neue Sicherheitslücken werden gefunden und durch Updates gestopft, neue Features werden implementiert. Updates sind ein ganz natürlicher Teil des Lebenszyklus jedes Systems. Daher können wir es gar nicht oft genug sagen: Updates, Updates, Updates und zwar kontinuierlich, nicht zu früh und vor allem nicht zu spät!

Zu früh?

Ja, gibt es. Man muss nicht jede neue Version sofort mitnehmen - unsere Entwickler prüfen, sehen sich alles an und geben erst dann das Go, wenn sie sicher sind, dass eventuelle Kinderkrankheiten ausgestanden sind.

Zu spät?

Das geht leider viel zu schnell. Wenn man zu lange aussetzt, wird das Update immer aufwendiger. Irgendwann mag man es gar nicht mehr anpacken und dann sitzt man auf einem Shop, in dem eigentlich nichts mehr sicher ist.

Das hängt von eurem System ab. Aber nehmen wir mal ein einfaches Beispiel: Ihr habt eine Webseite mit Shopsystem. Eure Kund:innen finden euch im Internet. Stellen wir uns das ganze mal als Bauwerk vor.

1. Der Server hat ein Grundgerüst, ein Fundament. Das hält die Oberfläche, auf der eure Seite und der Shop aufgebaut sind. In dem Gerüst gibt es Anschlussstellen und Zugänge, die alle hilfreich und nützlich sind, aber eben auch gesichert werden müssen.
2. Auf der Oberfläche stehen eure Seite und euer Shop. Auch die haben ein Fundament und Gerüst, das man pflegen muss und außerdem haben sie Türen und Fenster, an denen man immer mal die Schlösser verstärken muss. Vielleicht nutzt ihr ja auch Extensions und Plugins (um in der Metapher zu bleiben: ein großes Schaufenster oder eine schön gestaltete Terrasse), auch hier muss für Sicherheit gesorgt werden.

Zusammengefasst:

Damit eure Kunden die Seite sehen können, bauen eine ganze Menge Systeme aufeinander auf und jedes einzelne will gepflegt werden. Wenn man hier an der einen oder anderen Ecke spart, bietet man möglichen Angreifern Wege ins System.

Wenn wir euch Updates anbieten, tun wir das nicht zum Spaß. Bitte lasst uns helfen.

Das klingt jetzt abgedroschen und vermutlich habt ihr es schon zu oft gehört, aber: Datensicherheit und Passwortsicherheit, online wie offline.

Passwörter und Daten eurer Kund:innen

1. Sicher speichern heißt verschlüsselt speichern. Das sollte der absolute Mindeststandard sein, ist es aber leider in alten Systemen oft nicht. Ist das bei euch der Fall? Klärt es – wir helfen gern.
2. Keine Kundenkartei ungesichert irgendwo ablegen. Hat jemand einmal Zugriff, liegen Daten auf dem Präsentiertablett.
3. Speicherfristen beachten! Die DSGVO schreibt vor, welche Daten wie gespeichert werden dürfen und müssen.

Passwörter und Daten eurer Mitarbeiter:innen.

1. Sichere Passwörter bitte. 12345 ist ebenso out wie qwert, Mandarine, Gott und Passwort.
2. Passwörter regelmäßig wechseln.
3. Passwörter nicht aufschreiben. Nein, auch nicht das Passwort für den Bürocomputer. Und schon gar nicht auf einem Zettel, der dann auf dem Schreibtisch liegt, unter der Tastatur versteckt ist oder am Bildschirm klebt.
4. Passwörter ändern, wenn jemand das Unternehmen verlässt. Alle? Ja, alle. Damit ist dann auch Punkt 2 einmal mehr erfüllt.

Unser Tipp: Nutzt einen Passwortmanager und stellt intern Standards auf, an die sich dann alle halten. Wir helfen euch gern dabei! 

Nehmt euch kein Beispiel am deutschen Teenage-Drogenbaron „Shiny Flakes“, dessen Computer praktisch unknackbar gesichert gewesen wäre – wenn die Polizei nicht sein Passwort im Müll gefunden hätte. Und natürlich solltet ihr auch nicht mit Drogen handeln.

Die Frage hören wir von Zeit zu Zeit.

Die Antwort: Eine ganze Menge.

Angreifer können zum Beispiel eure Kundendaten kopieren. Das passierte 2018 dem Kinder-Chatportal knuddels.de – und hier waren die Daten teilweise unverschlüsselt gespeichert. So ein Zugriff muss gemeldet werden und dann wird die Datenschutzbehörde tätig, mit Strafen in Höhe von mehreren 10.000 Euro. Bei knuddels.de waren es 20.000 Euro, ein geringes Bußgeld, weil das Unternehmen kooperierte. Zusammen mit den Verbesserungen der Sicherheitsmaßnahmen in der IT kam es auf Kosten im sechsstelligen Bereich.

Eure Kunden müssen natürlich auch erfahren, was mit ihren Daten geschehen ist. Sind so etwas wie Kreditkarten- oder Kontodaten verschwunden, müssen sie die Chance haben, Maßnahmen einzuleiten. Das führt auf jeden Fall zu Angst, Sorge und Ärger. Ist ein Schaden entstanden, haben sie außerdem die Option, Schadensersatz zu verlangen.

Mal weg von den empfindlichen Kosten verspielt ihr mit einem Datenleck noch etwas anderes: nämlich das Vertrauen eurer Kund:innen. Niemand möchte, dass die eigene Adresse, die Kontonummer, die Kreditkartendaten und der Name im Netz verteilt werden. Schlimm genug, wenn es passiert, aber stellt euch vor, es kommt heraus, dass das Leck hätte vermieden werden können, dass die Daten unsicher gespeichert waren und dass der ganze Ärger eigentlich eure Schuld war. Jetzt habt ihr Kund:innen, die zu Recht kein gutes Wort mehr über euch verlieren werden – und ihrem Unmut gegebenenfalls auch online Luft machen.

Hier ist ein Beispiel. Das Video ist auf Englisch und sehr technisch, aber wer sich für die Details nicht interessiert, sollte folgendes Fazit mitnehmen: Der Hacker braucht zehn Minuten, um an das Admin-Passwort seiner Beispielseite zu kommen. Und würde er sich nicht die Zeit nehmen, seine Handlungen zu erklären, ginge es vermutlich noch etwas schneller. 

https://www.youtube.com/watch?v=WXQDruIyPGE

Ihr habt ein System, bei dem ihr euch nicht sicher seid? Meldet euch bei uns! Gemeinsam erarbeiten wir ein Sicherheitskonzept, bringen eure Software auf den neuesten Stand und finden die sichersten und einfachsten Lösungen.