So wird E-Commerce sicherRegeln sorgen für Zuverlässigkeit Datensicherheit und Datenschutz sind Faktoren, die die Akzeptanz des elektronischen Handels entscheidend bestimmen. Nach Hacker-Attacken auf Internet-Seiten gehen die Zugriffszahlen auf E-Commerce-Angebote regelmäßig zurück, Unklarheit über die Nutzung von Kundendaten kostet Vertrauen. Auch im Autoverkehr gibt es keine absolute Sicherheit Vollständige Sicherheit im elektronischen Geschäftsverkehr kann es im Internet nicht geben, wie in allen anderen Netzinfrastrukturen auch. Über diese Aussage sind sich Experten einig und vergleichen die Datenautobahn mit ihrem Pendant in der realen Welt: Dort kann man sich zwar gegen Unfälle versichern, Airbags einbauen und sich anschnallen, aber einen hundertprozentigen Schutz vor einem Crash gibt es nicht. Von zentraler Bedeutung ist es deswegen, die Risiken und die sich daraus möglicherweise ergebenden wirtschaftlichen Folgen zu kennen. Der finanzielle und organisatorische Aufwand, sich zu schützen, muss in einem vernünftigen Verhältnis zu einem möglichen Schaden stehen. Defekte Hardware und illoyale Mitarbeiter richten mehr Schaden an als Hacker In der öffentlichen Diskussion spielen die Angriffe auf Internet-Seiten durch so genannte Hacker die größte Rolle. Das spiegelt jedoch nicht den Alltag in den Unternehmen wider. Defekte Hardware, Feuer- und Wasserschäden sind für die übergroße Mehrzahl der Systemausfälle verantwortlich und menschliche Unzulänglichkeiten spielen eine mindestens ebenso große Rolle wie Angriffe durch Hacker. Der Aufbau möglichst sicherer E-Commerce-Strukturen bedeutet also nicht nur Investitionen in Hacker-Abwehr, sondern auch organisatorische Maßnahmen zur Ausfallsicherheit und zur Kontrolle der Mitarbeiteraktivitäten. Gegen Manipulation von außen sichern Trotzdem stellen Angreifer von außen eine immense Gefahr dar. Schlecht abgesicherte Systeme erlauben die Manipulation der Unternehmensdaten oder den Diebstahl von Betriebsgeheimnissen und anderen sensiblen Informationen. Um sich vor diesen Gefahren zu schützen, müssen auf verschiedenen Ebenen Vorkehrungen getroffen werden. Im elektronischen Handel unterscheidet das Bundesamt für Sicherheit in der Informationstechnik drei Sicherheitsbereiche: 1. die abgesicherte Datenübertragung mit Verschlüsselung, Empfangsbescheinigung und Ausfallsicherheit 2. die eindeutige Überprüfung der Identität der jeweils über das Internet kommunizierenden Partner 3. die Sicherheit der Anlagen. Kosten-Nutzen-Rechnung ist schwierig Es ist schwierig, bei der Vielzahl der möglichen Bedrohungen und der möglichen Sicherheitsmaßnahmen diejenigen auszuwählen, die bei einem maximalen Nutzen einen minimalen personellen und finanziellen Aufwand verursachen. Die Sicherheitsmaßnahmen zu finden, die für das jeweilige System am geeignetsten sind, bedeutet einen gewissen Aufwand. Beratungsunternehmen bieten dazu mittlerweile eine Risikofolgenabschätzung an, die die notwendigen Investitionen mit dem drohenden Schaden in Einklang bringt. Die Einführung entsprechender Infrastrukturen für einen IT-Grundschutz bei mittlerem Schutzbedarf samt Beratung liegen bei mittelständischen Unternehmen in der Regel zwischen 50.000 und 100.000 Mark. Dabei geht es zum einen um die technischen Möglichkeiten des Schutzes wie Firewalls und die Vergabe von Zugriffsrechten, zum anderen aber auch darum, Strukturen für den Ausfall der Systeme zu erarbeiten. Sicherheitskonzept muss vor dem Einstieg in den E-Commerce stehen Das richtige Sicherheitskonzept ist für den späteren Betrieb entscheidend. Nachträgliche Maßnahmen zum Schutz vor Gefahren aus dem Internet kosten oft viel Zeit und Geld. Daher sollten Unternehmen schon bei der Planung des Internet-Auftritts auch die notwendige Sicherheitsinfrastruktur mit planen. Neben einer Erfassung des Ist-Sicherheitszustands kommt es vor allem darauf an, organisatorische Maßnahmen zu treffen, die eine Kontinuität der Schutzmaßnahmen sichern. So ist es beispielsweise notwendig, Firewalls ständig neuen Anforderungen an die Nutzerzahlen anzupassen, aber auch mit Schutzmechanismen gegen neue Methoden des Eindringens Unbefugter zu versorgen. Digitale Signatur gibt Auskunft über den Kommunikationspartner Einige Unternehmen sind derzeit dabei, so genannte Public-Key-Infrastrukturen aufzubauen. Dabei erhält jeder Anwender einen digitalen Ausweis, ein so genanntes digitales Zertifikat, das ihn identifiziert und seine persönliche digitale Unterschrift, die digitale Signatur, enthält. Vergleichen lässt sich dies mit einem getippten Dokument, das eine handschriftliche Unterschrift trägt. Einsatzmöglichkeiten sind also beispielsweise Bestellungen oder rechtsverbindliche Vertragsabschlüsse. Will man zusätzlich sicherstellen, dass der Inhalt während der Übertragung nicht von Unbefugten gelesen werden kann, ist die Verschlüsselung notwendig. Dabei wird die elektronische Post sozusagen in einen Umschlag gesteckt, der nur vom Empfänger geöffnet werden kann. Zwei Signaturen für unterschiedliche Bedürfnisse Während im internen Geschäftsverkehr Public-Key-Infrastrukturen weiterhelfen, gibt es im offenen E-Commerce für die digitale Signatur zwei Verfahren: Die einfache digitale Signatur und die erweiterte Signatur. Während an die einfache digitale Signatur keinerlei technische Anforderungen gestellt werden, sondern nur das ausgebende Unternehmen für Schäden durch Missbrauch haften muss, ist die erweiterte Signatur rechtlich einer Unterschrift gleichgestellt. Letztere erfüllt im wesentlichen die Anforderungen des seit 1997 verabschiedeten deutschen Signaturgesetzes. Dienstleister, die diese Signatur ausgeben, müssen bestimmte technische Voraussetzungen erfüllen, die die Sicherheit der digitalen Signatur sicherstellen und die von unabhängigen Stellen überprüft werden Kosten für Public-Key-Infrastrukturen sind schwer zu schätzen Das Bundesamt für Sicherheit in der Informationstechnik hat in Kooperation mit dem Bundeswirtschaftsministerium Unternehmen befragt, wie viel Geld sie für die Infrastruktur für digitale Signaturen und Verschlüsselung ausgeben müssen. Der Schwerpunkt der befragten Unternehmen kam aus dem Maschinenbau, vier Fünftel waren Firmen mit zwischen 100 und 500 Mitarbeitern. Für Infrastrukturen mit digitaler Signatur rechnen Unternehmen im Durchschnitt mit 505 Mark pro Mitarbeiter, bei Verschlüsselungstechniken mit 374 Mark. Online-Versicherungen setzen Sicherheitscheck voraus Sicherheitsvorkehrungen können aber keinen absoluten Schutz bieten. Eine Versicherung gegen die Risiken im Online-Geschäft ist bislang aber erst bei einem Anbieter zu haben. Dort wird sowohl der Schaden bei Zerstörung und Manipulation von Internet-Seiten als auch Umsatzausfall und der Missbrauch sensibler Kundendaten sowie Imageverlust abgedeckt. Wer keine spezielle Versicherung abschließen will, sollte nachfragen, ob die Risiken über eine bereits abgeschlossene Versicherung abgedeckt sind. Mitarbeiter brauchen klare Richtlinien Für die Entwicklung des E-Commerce spielt neben der Datensicherheit auch der Datenschutz eine zentrale Rolle: Im Unternehmensalltag muss sichergestellt sein, dass datenschutzrechtliche Vorschriften von allen Beteiligten zur Kenntnis genommen werden und die Mitarbeiter wissen, was sie tun können und wie mit ihren Daten umgegangen wird. Im Verhältnis zu privaten Kunden wird Datenschutz zu einer notwendigen vertrauensbildenden Maßnahme. Für Unternehmen gilt es abzuwägen zwischen der Notwendigkeit, die Mitarbeiter einerseits fit zu machen im Umgang mit neuen Medien, die Nutzung aber zum anderen während der Arbeitszeit auf das im Firmeninteresse Notwendige zu beschränken. Bei der Implementierung ausgefeilter Sicherheitstechnologien kann es auch zu Problemen kommen, wenn die Mitarbeiter bei der Nutzung von bestimmten Systemen zu sehr eingeschränkt werden. Transparenter Datenschutz erhöht Attraktivität Sind die Kunden private Käufer, kann die Faustregel gelten, dass der beste Schutz vor Klagen wegen Verletzung des Datenschutzes die Offenlegung der eigenen Praktiken ist. Das bedeutet, dass an gut zugänglicher Stelle auf der Internet-Seite erklärt wird, welche Daten gespeichert werden und was mit ihnen passiert. In den Bundesländern gibt es bislang keine einheitlichen Zuständigkeiten für den Datenschutz im E-Commerce. Ein pragmatischer Tipp an Unternehmen, die auf der sicheren Seite sein wollen: Die Landesdatenschutzbeauftragten eines Bundeslandes können die Zuständigkeit oder das Verfahren erläutern. Was sind Computerviren? In der Regel sind Viren Programme; die nur aktiv sind, wenn der Rechner läuft. Aktiviert werden sie entweder beim Rechnerstart - das sind die so genannten Boot-Viren - oder beim Öffnen eines befallenen Programms oder einer Datei. Seit die so genannten Makro-Sprachen in den Office-Programmen weite Verbreitung gefunden haben, finden sich häufiger auch Makro-Viren. Diese nutzen die Tatsache aus, dass beispielsweise in einem Microsoft-Word-Dokument nicht nur der Text und seine Formatierung, sondern auch Operationen wie die Darstellung von Sonderzeichen als Programmcode enthalten sind. Makro-Viren manipulieren diesen Programmcode. Gefürchtet sind die "Trojanischen Pferde", die auf dem Computer gespeicherte Daten oder Informationen an Hacker liefern und damit unerwünschte und vor allem unbemerkte Fremdzugriffe ermöglichen. Firewalls Firewalls übernehmen an der Grenze zwischen Unternehmensnetz und Internet die Rolle eines Pförtners: Sie entscheiden, wer das Unternehmen betreten darf, wer Besuch von wem empfangen darf und wer draußen warten muss. Technisch gesehen handelt es sich um Softwarepakete, die erkennen können, welcher Art der ankommende Datenverkehr ist. Über Firewalls können die Teile einer Sicherheits-Policy im Unternehmen gesteuert werden, die für die Datenkommunikation über die Außengrenzen hinaus gilt. So kann man nur bestimmten Gruppen innerhalb des Unternehmens das Surfen im Web erlauben. Zugriffs- und Kommunikationsrechte können an dieser Stelle für einzelne Dienste wie E-Mail und Web-Zugriff und einzelne Benutzergruppen festgelegt werden. Einige Internet-Provider bieten Firewall-Services in Outsourcing-Paketen an. |