E-Commerce
Cyber-Security im E-Commerce und wie man seine Website effizient sichert
Online-Handel investiert verstärkt in IT-Sicherheit
Von Thien Schlodinski, Chief Information Security Officer (CISO) der novomind AG .
E-Commerce-Websites sind beliebte Ziele für Cyberangriffe. Durch das Überwinden der Sicherheitsbarrieren wie Firewalls und Passwörtern gelangen Hacker an personenbezogene oder vertrauliche Daten der Kunden. Für betroffene Unternehmen können die Kosten einer solchen Cyber-Attacke enorm sein, nicht nur in finanzieller Hinsicht. Denn ein Nebeneffekt des Datenverlusts ist schwindendes Vertrauen der Kunden.
Unternehmen im Bereich E-Commerce wissen um die Probleme und haben damit begonnen, verstärkt in die eigene Cyber-Security zu investieren. Laut dem VMware Carbon Black 2020 Cybersecurity Outlook Report haben schon 2019 etwa 77 % aller befragten Unternehmen neue Dienstleistungen bzw. Produkte im Bereich IT- Sicherheit gekauft und 69 % haben das Personal in ihren IT-Abteilungen aufgestockt.
Ein effizienter Weg, die eigenen Online-Shop-Systeme zu schützen und so weiter wettbewerbsfähig zu bleiben, ist der Einsatz innovativer Technologien. Das ist eine Herausforderung, denn auch die Cyber-Angreifer entwickeln ihre Fähigkeiten stetig weiter und finden immer neue Schwachstellen, die sie für ihre Zwecke ausnutzen können. Letztlich ist das Ganze eine Art Katz-und-Maus-Spiel, bei dem jede Seite versucht, der anderen stets einen Schritt voraus zu sein.
Was Cyber-Security leisten soll
Auch als eine Folge der zunehmenden Digitalisierung ist die Häufigkeit und Komplexität von Cyberangriffen sprunghaft gestiegen. Um dem entgegenzuwirken, bedarf es eines ausgereiften und zum jeweiligen Unternehmen passenden Konzepts für IT-Sicherheit. Das heißt, es braucht Lösungsanbieter, die Dienstleistungen und Produkte anbieten, mit denen sich notwendigen und sinnvollen Maßnahmen ergreifen lassen, um ein Unternehmen und seine Kunden maximal vor potenziellen Cyber-Bedrohungen zu schützen.
Gerade für Unternehmen, bei denen IT nicht zum Kerngeschäft gehört, ist es häufig schwierig, sich große IT-Abteilungen mit ausgewiesenen IT-Sicherheitsexperten zu leisten. Kompetente Anbieter stellen ihren Kunden SaaS (Software-as-a-Service) zur Verfügung, der auch den Themenkomplex Cyber-Security berücksichtigt.
Um die Informationssicherheit zu gewährleisten, lassen sich Unternehmen mit Spezialisierung auf IT-Sicherheitslösungen mithilfe von ISO-Zertifizierungen ihren hohen Sicherheitsstandard offiziell bestätigen. So dient beispielsweise das Zertifikat der unabhängigen, akkreditierten Konformitätsbewertungsstelle ESecurity-CERT dazu, die ordnungsgemäße Implementierung eines Informationssicherheits-Managementsystems (kurz ISMS) in Übereinstimmung mit der aktuellen internationalen Norm DIN EN ISO/IEC 27001:2017-06 zu bescheinigen.
Durch die Integration der Anwendungssicherheit in die Software-Entwicklung und der Informations- und IT-Sicherheit in den Betrieb von SaaS-Produkten wird sichergestellt, dass Daten und IT-Systeme größtmöglich geschützt werden. Die Norm ISO/IEC 27001 wird weltweit branchenübergreifend anerkannt und gibt Standards für die Einrichtung, Umsetzung, Aufrechterhaltung sowie die stetige Optimierung eines dokumentierten ISMS vor. Die Standards haben zum Ziel, die Informationssicherheit in allen Bereichen eines Unternehmens weitestgehend zu steigern. Das beginnt bei der IT-Sicherheit, setzt sich in einer sicheren Software-Entwicklung fort und gilt ebenso für Finance und Legal als auch für den Personalbereich.
Eine ISO/IEC 27001-Zertifizierung gilt deshalb als Beleg, dass ein Unternehmen sein ISMS insbesondere im Bereich der Software-Entwicklung und des Betriebs eines Software-as-a-Service (SaaS)-Produkts alle Anforderungen erfüllt, die von der internationalen Norm verlangt werden.
IT-Sicherheitskonzepte aus einer Hand
Eine effizient arbeitende Cyber-Security sollte also in der Lage sein, sämtliche Daten und Informationen sowie die interne und externe Kommunikation von E-Commerce-Unternehmen zu schützen. Dazu können technische (meist in Form von Software erhältlich) und auch nichttechnische Maßnahmen dienen. Unter Letztere fallen etwa regelmäßige Schulungen für Mitarbeitende, z. B. hinsichtlich der Phishing-Mail- bzw. Passwort-Problematik. Wenn ein entsprechendes Konzept aus einer Hand stammt, sorgt dies für eine weitere Stärkung der IT-Sicherheit, da der Kunde nicht mit verschiedenen Ansprechpartnern arbeiten muss.
Über die Autorin
Thien Schlodinski ist Chief Information Security Officer bei der novomind AG, einem der führenden E-Commerce Softwareanbieter Deutschlands. Die studierte Informatikerin und Masterabsolventin und konnte ihre Expertise im Feld der Cyber-Security über mehrere Jahre Branchenerfahrung hinweg durch Tätigkeiten an der TU Hamburg und bei Beiersdorf entwickeln. Sie unterstützt seit nunmehr drei Jahren den E-Commerce Spezialisten novomind als Information Security Manager und seit Mitte diesen Jahres als Chief Information Security Officer bei der Sicherheit der digitalen Infrastruktur.