Fachbücher zu Daten­schutz und IT-Sicher­heit finden Sie hier.
  1. Home

Prüfung Ihrer Website auf Sicherheit und Datenschutz

Für unsere Kunden bieten wir das "Website Security" Audit an.

Das Audit zeigt Ihnen Maßnahmen auf, mit denen Sie den Datenschutz sowie die Sicherheit Ihrer Website erhöhen können – für sich selbst sowie Ihre Besucher.

Nach der EU-Datenschutz-Grundverordnung (DSGVO) sind Unternehmen, die personenbezogene Daten verarbeiten, verpflichtet, angemessene Technische und Organisatorische Maßnahmen (TOM) zu treffen, um die rechtswidrige Datennutzung durch Dritte zu verhindern. Ein Verstoß gegen die datenschutz­rechtlichen Pflichten, kann gemäß Art. 83 DSGVO mit Bußgeldern bis zu einem Betrag von EUR 10 Mio. oder bis zu 2% des weltweiten Vorjahres­umsatzes belegt werden.

Umfang des Audits

Durch das Audit werden folgende Maßnahmen für den Schutz Ihrer Website überprüft:

  • Korrekte HTTPS-Verschlüsselung
  • Verwendung von HTTP Security Headern
  • Aufruf externer Website-Ressourcen
  • Verwendung von Tracking-Maßnahmen
  • Rechtskonforme Einbindung von Social-Media-Plugins
  • Prüfung auf Blacklist-Einträge
  • Datenschutz­verletzungen bei E-Mail-Konten

Zu jedem Teilaudit erhalten Sie ein Ergebnis sowie Handlungs­empfehlungen, sofern Maßnahmen erforderlich sind. Diese Empfehlungen können z.B. Ihre Datenschutz­erklärung betreffen oder technischer Natur sein.

Die geprüften Teilaudits möchten wir im Folgenden jeweils kurz erläutern. Im Appendix des fertigen Audits finden Sie weiterführende Informationen zu allen geprüften Eckdaten.

HTTPS-Verschlüsselung

Der Aufruf von Webseiten sollte heute immer mit HTTPS (Hypertext Transfer Protocol Secure) verschlüsselt sein. Der klare Vorteil: Alle Daten, die zwischen Ihrem Webserver und den Browsern Ihrer Kunden übermittelt werden, sind vor Zugriffen unberechtigter Dritter geschützt. Das ist besonders wichtig bei der Verwendung von Website-Logins, Kontaktformularen oder Warenkorb-Funktionen.

Das für die Verschlüsselung benötigte SSL- bzw. TLS-Zertifikat wird von den meisten Hosting-Anbietern inzwischen kostengünstig angeboten.

Wir prüfen unter anderem, ob Ihr Zertifikat die aktuellen TLS-Versionen unterstützt und ob eine automatische Weiterleitung von HTTP zu HTTPS erfolgt.

HTTP Security Header

Wenn Sie eine Webseite im Browser öffnen, kommuniziert Ihr Browser mit dem betreffenden Webserver. Dabei senden beide Parteien sogenannte HTTP Header – die Grundlage des Internets.
Der Browser stellt eine Anfrage, die vom Webserver beantwortet wird. Diese Kommunikation kann auf Serverseite durch verschiedene HTTP Header erweitert werden, die Sicherheit und Datenschutz erhöhen.

Dazu gehört zum Beispiel der HTTP Header "Content-Security-Policy", mit dem Sie Ihre Kunden wirkungsvoll vor Angriffsmethoden wie Cross-Site-Scripting schützen können.

Insgesamt prüfen wir Ihre Website auf acht verschiedene HTTP Header. Zu jedem Header erhalten Sie jeweils eine Empfehlung sowie detaillierte Informationen im Appendix.

Aufruf externer Ressourcen

Eine Webseite besteht aus den verschiedensten Bestandteilen. Dazu können auch spezielle Web-Schriftarten oder Skript-Bibliotheken wie jQuery gehören. Oft werden diese Art von Ressourcen von externen Webservern (sogenannten Content Delivery Networks, kurz: CDN) geladen.

Darüber hinaus gehören auch eingebettete YouTube-Videos und Google Maps zu den externen Ressourcen.

Wenn ein Besucher Ihre Website öffnet, werden auch Daten an die Anbieter dieser externen Ressourcen übermittelt. Die Anbieter könnten diese Daten missbrauchen, um den Besucher über verschiedene Websites hinweg zu verfolgen und ein Profil von ihm zu erstellen.
Die Verwendung aller externen Ressourcen muss daher in der Datenschutz­erklärung aufgeführt sein. Viele Ressourcen könnten ohne einen Nachteil auf dem eigenen Webserver gespeichert werden.

Wir prüfen die Verwendung externer Ressourcen auf Ihrer Startseite sowie den ersten beiden Menü-Ebenen.

Verwendung von Tracking-Maßnahmen

Unter Tracking versteht man die Sammlung von Nutzerdaten sowie deren Auswertung.

Dies kann auf Ihrer Website durch zwei Stellen erfolgen:

  1. Sie verwenden eine Webanalytik-Software, z.B. Google Analytics oder Matomo.
  2. Sie verwenden externe Ressourcen, die als Tracker bekannt sind.

Beim Einsatz einer Webanalytik-Software sollten Sie darauf achten, die IP-Adresse zu anonymisieren. Wenn die Software Cookies setzt, muss dies zuvor vom Nutzer explizit erlaubt werden.

Zu den externen Ressourcen können – neben den oben genannten CDNs – etwa eingebundene Werbebanner gehören.

Rechtskonforme Einbindung von Social-Media-Plugins

Auch hier geht es letztlich um das leidige Thema Tracking. Wie Sie merken, behandeln einige Teilaudits die gleiche Grundfrage.

Bei der Einbindung von Social-Media-Plugins gilt: erst bei einer Nutzerinteraktion mit den Share- oder Like-Buttons darf eine Datenübertragung an den Anbieter stattfinden. Hierzu gibt es technische Lösungen wie "Shariff" des c't Computermagazins.

Prüfung auf Blacklist-Einträge

Es existieren verschiedene Negativlisten ("Blacklists") im Internet. Diese enthalten Websites, auf denen Schadsoftware gefunden wurde oder von deren Domain aus Spam verschickt wurde.

Eine dieser Blacklists ist "Google Safe Browsing", die von verschiedenen Browsern als Datenquelle verwendet wird. Beim Aufruf einer solchen Website erfolgt dann ein deutlicher Warnhinweis im Browser.
Falls Ihre Website-Domain auf einer solchen Liste aufgeführt ist, kann dies verschiedene Ursachen haben. Möglicherweise wurde Ihre Website wirklich unbemerkt gehackt. Oder Sie verwenden eine Domain, die zuvor schon einmal jemand anderes registriert hatte. Und selbst wenn es ein Fehlalarm ist, müssen Sie tätig werden.

Das Audit prüft, ob Ihre Domain in einer dieser Listen bekannt ist.

Datenschutzverletzungen bei E-Mail-Konten

E-Mail-Adressen werden zur Registrierung bei den verschiedensten Diensten verwendet. Dazu gehören Software-Produkte ebenso wie Foren und soziale Netzwerke. Alle Registrierungs­daten (E-Mail-Adressen, Passwörter, weitere personen­bezogene Daten) werden in Datenbanken des jeweiligen Anbieters gespeichert.

Regelmäßig werden Datenpannen bekannt, bei denen diese Daten nicht ausreichend geschützt wurden und nun frei im Internet verfügbar sind.

Das Audit prüft, ob E-Mail-Adressen mit Ihrer Domain in einer solchen Datenpanne vorkommen.

Fazit

Das fertige Audit bietet Ihnen eine klare Übersicht über notwendige Maßnahmen und Handlungs­empfehlungen, um Ihre Website datenschutz­gerecht und sicher aufzustellen.

Bitte beachten Sie, dass im Audit nicht alle Sicherheits­aspekte einer Website abgedeckt werden. Es ersetzt ausdrücklich keinen umfassenden Sicherheitstest (Penetrationstest). Ein solcher Pentest und weitere detaillierte Schwachstellen­analysen gehören ebenfalls zu unserem Leistungsportfolio – sprechen Sie uns an!

Generell gilt: halten Sie die Software Ihrer Website stets auf dem aktuellen Stand:

  • Content Management Systeme, wie WordPress oder TYPO3
  • Installierte Plugins bzw. Extensions
  • Verwendete Skript-Bibliotheken (z.B. jQuery)

Ihr Webhosting-Anbieter und/oder Ihre Internet­agentur können Sie hierbei unterstützen.

© 2011–2024 GINDAT GmbH

Hinweis zu Cookies

Unsere Website verwendet Cookies. Einige davon sind technisch notwendig für die Funktionalität unserer Website und daher nicht zustimmungspflichtig. Darüber hinaus setzen wir Cookies, mit denen wir Statistiken über die Nutzung unserer Website führen. Hierzu werden anonymisierte Daten von Besuchern gesammelt und ausgewertet. Eine Weitergabe von Daten an Dritte findet ausdrücklich nicht statt.

Ihr Einverständnis in die Verwendung der Cookies können Sie jederzeit widerrufen. In unserer Datenschutzerklärung finden Sie weitere Informationen zu Cookies und Datenverarbeitung auf dieser Website. Beachten Sie auch unser Impressum.

Technisch notwendig

Diese Cookies sind für die einwandfreie Funktion der Website erforderlich und können daher nicht abgewählt werden. Sie zählen nicht zu den zustimmungspflichtigen Cookies nach der DSGVO.

Name Zweck Ablauf Typ Anbieter
CookieConsent Speichert Ihre Einwilligung zur Verwendung von Cookies. 1 Jahr HTML Website
fe_typo_user Dieser Cookie wird gesetzt, wenn Sie sich im Bereich myGINDAT anmelden. Session HTTP Website
PHPSESSID Kurzzeitiger Cookie, der von PHP zum zwischenzeitlichen Speichern von Daten benötigt wird. Session HTTP Website
__cfduid Wir verwenden eine "Content Security Policy", um die Sicherheit unserer Website zu verbessern. Bei potenziellen Verstößen gegen diese Policy wird ein anonymer Bericht an den Webservice report-uri.com gesendet. Dieser Webservice lässt über seinen Anbieter Cloudflare diesen Cookie setzen, um vertrauenswürdigen Web-Traffic zu identifizieren. Der Cookie wird nur kurzzeitig im Falle einer Bericht-Übermittlung auf der aktuellen Webseite gesetzt. 30 Tage/ Session HTTP Cloudflare/ report-uri.com
Statistiken

Mit Hilfe dieser Statistik-Cookies prüfen wir, wie Besucher mit unserer Website interagieren. Die Informationen werden anonymisiert gesammelt.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird verwendet, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
_pk_cvar Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
MATOMO_SESSID Kurzzeitiger Cookie, der bei Verwendung des Matomo Opt-Out gesetzt wird. Session HTTP Matomo
_pk_testcookie Kurzzeitiger Cookie der prüft, ob der Browser Cookies akzeptiert. Session HTML Matomo