IT-Sicherheitssysteme werden auch für Website-Betreiber wichtig

Schon im Juli 2015 wurden Website-Betreiber durch das IT-Sicherheitsgesetz verpflichtet, die technische Umgebung auszubauen und zu schützen. Durch die EU-Datenschutz-Grundverordnung (DSGVO) wurden die Maßnahmen entsprechend erhöht. Die Anforderungen sind offen formuliert, allerdings kennen sich Laien nur selten mit den Sicherheitssystemen aus und kennen die Vorteile nicht.

Welche Sicherheitssysteme muss jeder integrieren?

Der unbefugte Zugriff auf Websites findet täglich statt, es werden immer wieder (auch automatisiert) Websites Opfer eines Angriffs. Die Attacken unterscheiden sich stets, entweder werden lediglich Daten ausgelesen oder die Website wird sogar kompromittiert. Es geht primär darum, dass es zu sogenannten „Drive-by-Downloads“ kommt. Der Nutzer lädt mit dem Besuch der Website automatisch eine schädliche Datei.

Diese Vorgänge müssen verhindert werden, denn derartiges schadet dem Ansehen deutlich. Zudem kann es gar zu einem Bußgeld kommen, da möglicherweise gegen die DSGVO verstoßen wird. Somit ist es für jeden im eigenen Interesse, das Sicherheitssysteme integriert werden. Der Standard ist ein Einsatz von SSL- oder TLS-Verschlüsselungen, diese gibt es mittlerweile bei jedem Hoster (alternativ kostenlos über Lets Encrypt).

Der Gesetzgeber erwartet außerdem eine Sicherung gegen Störungen durch äußere Angriffe, darunter wurden DoS- und DDoS-Attacken definiert. Bei diesen Angriffen wird eine ganze Reihe an Abfragen an den Server gesendet, welche er nicht mehr bearbeiten kann und somit durch Überlastung zusammenbricht. Der Server ist nicht mehr erreichbar. In der Praxis ist es jedoch schwierig, einen solchen Angriff abzuwehren. Mittlerweile gibt es dafür zuverlässige Maßnahmen.

Muss sich jeder an die gleichen Regeln halten?

Nicht jeder Website-Betreiber muss den gleichen Regeln folgen, dies ist der Tatsache geschuldet, dass es das Korrektiv der technischen Möglichkeit (und wirtschaftlicher Zumutbarkeit) gibt. Welche Sicherheitsmaßnahmen befolgt werden müssen, ist individuell zu bestimmen. Für gewöhnlich gibt es strengere Regeln entsprechend bei Shops und anderen E-Commerce-Projekten.

Allerdings gibt es vom Gesetzgeber keine deutliche Aussage, welche Projekte nun in diese Beurteilung fallen. Es gibt immer eine gewisse Unklarheit, ob die gesetzlichen Anforderungen umgesetzt worden sind. Daher ist es zu empfehlen, das Maximum an Möglichkeiten auszuschöpfen und zugleich eine Rechtsberatung in Anspruch zu nehmen. Dies gilt mit Projekten auf Basis eines Content-Management-Systems und auch für jene, welche eine Website rein mit HTML, CSS und PHP erstellen.

Sicherheitssysteme sind allgegenwärtig

Je nach Branche gibt es aber auch weitere Voraussetzungen, insbesondere bei Banken müssen Systeme bezüglich des „Anti Money Laundering“ bestehen. Banken können jedoch nicht jede Transaktion manuell überprüfen und somit werden automatische Systeme eingebunden, welche auf Verdacht Transaktionen zusammenfassen, welche ein Sachbearbeiter anschließend genauer betrachten kann.

Neuerdings basieren all diese Systeme auf einer künstlichen Intelligenz, welche anhand der Daten täglich hinzulernt. Die Betreiber einer Website können sich diesem System zunutze machen und damit gewisse Prozesse automatisieren. Das wäre unter anderem das Prüfen von Kommentaren, Bewertungen und Ähnliches auf Plausibilität und als Anti-Spam-Maßnahme.

In diversen Bereichen, wie etwa im Motorsport, werden ebenfalls Software-Anwendungen angewendet, um die Rundenzeiten zu verbessern oder auch um eine Rennstrategie zu entwickeln. Häufig wird für diese Art von System auf Python zurückgegriffen, dies ist an sich eine „alte“ Programmiersprache aus 1991, welche heute beliebter denn je ist. Mit PHP kann entsprechend ein Frontend und Backend gestaltet werden.