Sind Sicherheitsprüfungen wirklich notwendig? Eigentlich ist es schon erstaunlich, dass die Bedeutung von Updates und regelmäßige Sicherheitsprüfungen immer noch begründet werden müssen. Natürlich kostet das regelmäßige Patchen und Sicherheitsprüfungen auch Geld. Aber im Verhältnis zum Schaden, gilt aus unserer Sicht, hier das Gleiche, was auch z.B. für Performance gilt:
Sicherer ist immer besser!
Warum? Das möchten wir im Folgenden erläutern.
1. Sicherheitsprüfungen – Updates bringen nicht nur Sicherheit, sondern auch mehr Funktionalität
Häufig wird übersehen, dass Updates nicht nur allgemein die Sicherheit erhöhen, sondern gleichzeitig auch mehr Funktionen bedeuten. Neue Funktionen wiederum bedeuten häufig auch Wettbewerbsvorteile. Allein aus diesem Grund können sich regelmäßige Updates schon lohnen.
2. Bereinigung eines Systems nach einem erfolgreichen Angriff ist deutlich aufwendiger als regelmäßige Sicherheitsprüfungen
Temporary closed for construction
Lassen wir mal ein „Mir passiert schon nichts!“ oder „Wer soll denn schon unsere Webanwendung hacken?“ weg und unterstellen mal, dass doch was passiert. Was bedeutet das, wenn Sie keine Sicherheitsprüfungen durchführen? Was riskieren Sie eigentlich?
2.1 Imageverlust und Ausfallzeit
Zunächst ist der Imageverlust zu nennen. Ihre Webanwendung muss vom Netz genommen werden. Das wirft sicher auch bei Ihren Kunden Fragen auf.
Die Betreuer der Webseite und/oder des Servers, seien sie nun externe Agenturen oder interne Mitarbeiter, trifft der Vorgang i.d.R. dann auch unvorbereitet. Das heißt Prioritäten müssen angepasst werden. Eigentlich fest eingeplante Arbeiten bleiben liegen oder, sofern Externe Hilfe leisten müssen, vielleicht sind kurzfristig gar keine Ressourcen verfügbar.
2.2 Schließen des Einbruchwegs
Anschießend muss geklärt werden, wie der unerlaubte Zugriff erfolgt ist. Schließlich soll es keine Wiederholungen geben und der Einbruchsweg muss geschlossen werden. Dies setzt häufig für die Analyse teure und rare Sicherheits- oder Forensikexperten voraus.
I.d.R. gilt aber, dass die letzten Updates und Patches eingespielt werden müssen. Der Aufwand bleibt also.
2.3 Bereinigung der Webanwendung
Anschließend sollte die gesamte Anwendung auf unerwünschte Änderungen und Modifikationen, sowohl im Dateisystem als auch in der Datenbank, geprüft werden.
3. Sicherheitsprüfungen – Sicherheit wird bei Google immer wichtiger
Google warnt vor gehackten Webseiten
Sicherheit wird auch bei Google (Google Trends – Wichtiges für Ihr B2B Geschäft) immer wichtiger. Allerdings warnt Google nur Webseitenbesucher vor unsicheren Webseiten. Die Webseitenbetreiber sind selbst gefordert Sicherheit sicherzustellen. Sofern das Hacken von Webanwendung nur spät genug bemerkt wird, sind Ihre Kunden vielleicht bereits gewarnt worden und verunsichert.
4. Sicherheitsprüfungen – Die Gesetzeslage zwingt zum Handeln
Rechtslücken sollten unbedingt vermieden werden
4.1 IT-Sicherheitsgesetz
Bereits seit Mitte 2015 ist das IT-Sicherheitsgesetz in Kraft getreten und hat das bestehende Telemediengesetz um einen zusätzlichen Paragrafen erweitert. Nach §13 Absatz 7 des Telemediengesetzes sind Betreiber von Websites und Onlineshops dazu verpflichtet, „durch technische und organisatorische Vorkehrungen sicherzustellen, dass kein unerlaubter Zugriff auf die für Ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und diese gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind“. Bei Unterlassung geeigneter Maßnahmen droht zudem ein Bußgeld von bis zu 50.000 €.
4.2 GDPR – Die neue EU-Datenschutz-Grundverordnung (DSGVO)
Wer mit Kundendaten umgeht, so diese speichert oder verarbeitet, ist besonders betroffen.
Die im Mai 2016 veröffentlichte Datenschutz-Grundverordnung (DSGVO; englisch: General Data Protection Regulation, kurz GDPR) der Europäischen Union löst die vorhergehende „Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ der Europäischen Gemeinschaft ab. Anders als die vorhergehende Richtlinie gilt sie als Verordnung unmittelbar und muss nicht erst in den Mitgliedsstaaten durch ein Patchwork an nationalen Gesetzen umgesetzt werden.
Ab diesem Datum gilt dadurch in der ganzen EU ein einheitliches Schutzniveau personenbezogener Daten ihrer Bürger, wodurch sowohl der Warenverkehr ungestörter möglich ist, als auch das durchschnittliche Schutzniveau insgesamt angehoben wird.
Ab 25. Mai 2018 gilt die DSGVO unmittelbar und wird lediglich in Details durch nationale Gesetze gestaltet werden. Am 1. Februar 2017 hat die deutsche Bundesregierung einen Entwurf für ein solches Anpassungs- Gesetz beschlossen (DSAnpUG-EU). Das daraus resultierende neue Bundesdatenschutzgesetz (BDSG- neu), ist allerdings mit 85 Paragrafen als unnötig lang und europarechtswidrig (Wiederholung von DSGVO und Abschwächung des Datenschutzes in einigen Bereichen) kritisierbar. Es bleibt spannend, ob das Anpassungsgesetz so am 8. März 2017 vom Bundestag und -rat beschlossen wird oder ob noch Änderungen stattfinden.
4.3 Die wesentlichen Änderungen durch GDPR
Der Grundgedanke des Datenschutzes der bisherigen Richtlinie bleibt erhalten. Die Rechte von betroffenen natürlichen Personen sind durch die DSGVO im Sinne der informationellen Selbstbestimmung um folgende Punkte erweitert.
- Geschieht ein Zugriff auf geschützte Daten, so sind Betroffene und Aufsichtsbehörden innerhalb von 3 Tagen zu benachrichtigen (sofern die Daten nicht verschlüsselt oder pseudonymisiert waren)
- Strengere Anforderungen an rechtsgültige Zustimmungen von Datensubjekten
- Erweiterung der Auskunftsrechte. Beispielsweise müssen Verarbeiter zu jeder Datenverarbeitung alle beteiligten Stellen samt jeweiligem Datenschutzbeauftragten angeben können.
- Recht auf Datenportabilität (zwecks Übertragbarkeit bei Anbieterwechsel)
- Recht auf Vergessen (Datenlöschung)
Für Unternehmen, die die DSGVO einhalten müssen, kann die Strafhöhe bei Verstößen beachtlich sein: Möglich sind je einzelnem Verstoß bis zu 20 Millionen Euro oder vier Prozent des weltweiten(!) Umsatzes – je nachdem welche Grenze höher ist!
5. Fazit
Sicherheitsprüfungen nicht explizit zu berücksichtigen wird schnell viel teurer, als regelmäßig Updates einzuspielen. Allerdings ist die Definition was Sicherheit bedeutet und wann eine Anwendung als sicher gilt, deutlich mehr als das regelmäßige Einspielen von Updates.
Aus unserer Erfahrung sollte Sicherheit deshalb, neben technischen Antworten, auch organisatorische Antworten erhalten. Wir empfehlen hier auch unseren Leitfaden Sicherheit für eCommerce Systeme.