Für unsere Kunden bieten wir das "Website Security" Audit an.
Das Audit zeigt Ihnen Maßnahmen auf, mit denen Sie den Datenschutz sowie die Sicherheit Ihrer Website erhöhen können – für sich selbst sowie Ihre Besucher.
Nach der EU-Datenschutz-Grundverordnung (DSGVO) sind Unternehmen, die personenbezogene Daten verarbeiten, verpflichtet, angemessene Technische und Organisatorische Maßnahmen (TOM) zu treffen, um die rechtswidrige Datennutzung durch Dritte zu verhindern. Ein Verstoß gegen die datenschutzrechtlichen Pflichten, kann gemäß Art. 83 DSGVO mit Bußgeldern bis zu einem Betrag von EUR 10 Mio. oder bis zu 2% des weltweiten Vorjahresumsatzes belegt werden.
Durch das Audit werden folgende Maßnahmen für den Schutz Ihrer Website überprüft:
Zu jedem Teilaudit erhalten Sie ein Ergebnis sowie Handlungsempfehlungen, sofern Maßnahmen erforderlich sind. Diese Empfehlungen können z.B. Ihre Datenschutzerklärung betreffen oder technischer Natur sein.
Die geprüften Teilaudits möchten wir im Folgenden jeweils kurz erläutern. Im Appendix des fertigen Audits finden Sie weiterführende Informationen zu allen geprüften Eckdaten.
Der Aufruf von Webseiten sollte heute immer mit HTTPS (Hypertext Transfer Protocol Secure) verschlüsselt sein. Der klare Vorteil: Alle Daten, die zwischen Ihrem Webserver und den Browsern Ihrer Kunden übermittelt werden, sind vor Zugriffen unberechtigter Dritter geschützt. Das ist besonders wichtig bei der Verwendung von Website-Logins, Kontaktformularen oder Warenkorb-Funktionen.
Das für die Verschlüsselung benötigte SSL- bzw. TLS-Zertifikat wird von den meisten Hosting-Anbietern inzwischen kostengünstig angeboten.
Wir prüfen unter anderem, ob Ihr Zertifikat die aktuellen TLS-Versionen unterstützt und ob eine automatische Weiterleitung von HTTP zu HTTPS erfolgt.
Wenn Sie eine Webseite im Browser öffnen, kommuniziert Ihr Browser mit dem betreffenden Webserver. Dabei senden beide Parteien sogenannte HTTP Header – die Grundlage des Internets.
Der Browser stellt eine Anfrage, die vom Webserver beantwortet wird. Diese Kommunikation kann auf Serverseite durch verschiedene HTTP Header erweitert werden, die Sicherheit und Datenschutz erhöhen.
Dazu gehört zum Beispiel der HTTP Header "Content-Security-Policy", mit dem Sie Ihre Kunden wirkungsvoll vor Angriffsmethoden wie Cross-Site-Scripting schützen können.
Insgesamt prüfen wir Ihre Website auf acht verschiedene HTTP Header. Zu jedem Header erhalten Sie jeweils eine Empfehlung sowie detaillierte Informationen im Appendix.
Eine Webseite besteht aus den verschiedensten Bestandteilen. Dazu können auch spezielle Web-Schriftarten oder Skript-Bibliotheken wie jQuery gehören. Oft werden diese Art von Ressourcen von externen Webservern (sogenannten Content Delivery Networks, kurz: CDN) geladen.
Darüber hinaus gehören auch eingebettete YouTube-Videos und Google Maps zu den externen Ressourcen.
Wenn ein Besucher Ihre Website öffnet, werden auch Daten an die Anbieter dieser externen Ressourcen übermittelt. Die Anbieter könnten diese Daten missbrauchen, um den Besucher über verschiedene Websites hinweg zu verfolgen und ein Profil von ihm zu erstellen.
Die Verwendung aller externen Ressourcen muss daher in der Datenschutzerklärung aufgeführt sein. Viele Ressourcen könnten ohne einen Nachteil auf dem eigenen Webserver gespeichert werden.
Wir prüfen die Verwendung externer Ressourcen auf Ihrer Startseite sowie den ersten beiden Menü-Ebenen.
Unter Tracking versteht man die Sammlung von Nutzerdaten sowie deren Auswertung.
Dies kann auf Ihrer Website durch zwei Stellen erfolgen:
Beim Einsatz einer Webanalytik-Software sollten Sie darauf achten, die IP-Adresse zu anonymisieren. Wenn die Software Cookies setzt, muss dies zuvor vom Nutzer explizit erlaubt werden.
Zu den externen Ressourcen können – neben den oben genannten CDNs – etwa eingebundene Werbebanner gehören.
Auch hier geht es letztlich um das leidige Thema Tracking. Wie Sie merken, behandeln einige Teilaudits die gleiche Grundfrage.
Bei der Einbindung von Social-Media-Plugins gilt: erst bei einer Nutzerinteraktion mit den Share- oder Like-Buttons darf eine Datenübertragung an den Anbieter stattfinden. Hierzu gibt es technische Lösungen wie "Shariff" des c't Computermagazins.
Es existieren verschiedene Negativlisten ("Blacklists") im Internet. Diese enthalten Websites, auf denen Schadsoftware gefunden wurde oder von deren Domain aus Spam verschickt wurde.
Eine dieser Blacklists ist "Google Safe Browsing", die von verschiedenen Browsern als Datenquelle verwendet wird. Beim Aufruf einer solchen Website erfolgt dann ein deutlicher Warnhinweis im Browser.
Falls Ihre Website-Domain auf einer solchen Liste aufgeführt ist, kann dies verschiedene Ursachen haben. Möglicherweise wurde Ihre Website wirklich unbemerkt gehackt. Oder Sie verwenden eine Domain, die zuvor schon einmal jemand anderes registriert hatte. Und selbst wenn es ein Fehlalarm ist, müssen Sie tätig werden.
Das Audit prüft, ob Ihre Domain in einer dieser Listen bekannt ist.
E-Mail-Adressen werden zur Registrierung bei den verschiedensten Diensten verwendet. Dazu gehören Software-Produkte ebenso wie Foren und soziale Netzwerke. Alle Registrierungsdaten (E-Mail-Adressen, Passwörter, weitere personenbezogene Daten) werden in Datenbanken des jeweiligen Anbieters gespeichert.
Regelmäßig werden Datenpannen bekannt, bei denen diese Daten nicht ausreichend geschützt wurden und nun frei im Internet verfügbar sind.
Das Audit prüft, ob E-Mail-Adressen mit Ihrer Domain in einer solchen Datenpanne vorkommen.
Das fertige Audit bietet Ihnen eine klare Übersicht über notwendige Maßnahmen und Handlungsempfehlungen, um Ihre Website datenschutzgerecht und sicher aufzustellen.
Bitte beachten Sie, dass im Audit nicht alle Sicherheitsaspekte einer Website abgedeckt werden. Es ersetzt ausdrücklich keinen umfassenden Sicherheitstest (Penetrationstest). Ein solcher Pentest und weitere detaillierte Schwachstellenanalysen gehören ebenfalls zu unserem Leistungsportfolio – sprechen Sie uns an!
Generell gilt: halten Sie die Software Ihrer Website stets auf dem aktuellen Stand:
Ihr Webhosting-Anbieter und/oder Ihre Internetagentur können Sie hierbei unterstützen.