21.11.2018

Unternehmens-Webseite: Besteht ein Sicherheitsrisiko?

Es dürfte heutzutage wohl kein ernsthaftes Unternehmen mehr geben, welches ohne eigenen Internetauftritt auskommt. Eine Unternehmens-Webseite zu haben gehört zumindest ab einer mittleren Grösse zum guten Ton. Zudem kann eine gut gemachte Webseite das professionelle Erscheinungsbild unterstreichen, die Auffindbarkeit im Internet erhöhen und dadurch letztlich den Umsatz steigern. Ohne eine eigene Webseite kommt vielleicht nur noch der Imbisswagen an der Ecke aus oder die von allem Internet abgeschnittene Sennerin auf der Alm.

Kommentieren Teilen Drucken

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 

Die Unternehmens-Webseite

Was vielen aber nicht bewusst ist: Eine Webseite (oder Website oder auch schlicht Homepage genannt) ist ein IT-System, welches wie alle solchen digitalen Gebilde fehlerbehaftet und niemals perfekt ist. Die Schlussfolgerung daraus: Sie müssen Ihre Webseite genau so hegen und pflegen wie Ihre Server, PCs, Smartphones, Router, Telefonanlagen und was sonst noch so unter dem Kürzel «EDV» in Ihrem Unternehmen subsummiert werden kann.

Das Zauber- und Stichwort heisst «Updates»! Damit sind nicht inhaltliche Updates gemeint - die sind auch wichtig, dienen aber eher der besseren Auffindbarkeit Ihrer Seite bei den gängigen Suchmaschinen. Übrigens: Falls Sie interessiert, wie das funktioniert und womit Sie Ihre Platzierung bei Google (das sogenannte Ranking) verbessern können, finden Sie interessante Informationen dazu in unserem Portal InformatikPraxis.

Technische Pflege des Internetauftritts

Aber zurück zur technischen Pflege Ihres Internetauftritts - dieser wird immer auf irgend einem Server abgelegt sein, einem sogenannten Webserver - dieser sorgt dafür, dass die Webseite Online erreichbar ist. Webserver werden in der Regel in Rechenzentren betrieben. So manches Unternehmen aus dem KMU-Bereich hat aber eine ausreichend stabile und schnelle Internetanbindung in Form einer Standleitung, und falls diese über eine feste IP-Adresse verfügt, kann man - die entsprechenden personellen und technischen Ressourcen vorausgesetzt - durchaus seinen eigenen Webserver betreiben. Da hierzu aber schon ein fundiertes Know-How nötig ist und die Verantwortung für eine möglichst durchgehende Erreichbarkeit des Servers und der Webseite, Updates, Datensicherung und Beobachtung des Systems somit komplett in die Hände des Betreibers (also Ihnen) fallen würde, greifen die meisten IT-Verantwortlichen dann doch zu einem angemieteten so genannten Webspace. Dabei handelt es ich um einen Webserver im Rechenzentrum eines entsprechenden Anbieters, der die Ressourcen seines Server meistens mehreren Abnehmern zur Verfügung stellt. Diese Hosting-Anbieter (manchmal auch als «Provider» bezeichnet) sind dann dafür verantwortlich, dass Ihre Webseite erreichbar ist. Und hier ist es wichtig, darauf zu achten beziehungsweise zu klären, wie diese Zuständigkeiten geregelt sind. Das geschieht am besten per Vertrag oder neudeutsch «Service Level Agreement».

Erschwert wird das Ganze noch dadurch, dass es meistens drei beteiligte Parteien in diesem Reigen gibt:

  • den Entwickler der Seite das kann eine einzelne Person sein, die das Design entwickelt und in die entsprechende Technik umsetzt, oftmals sind aber Design und Programmierung voneinander getrennt;
  • den Hoster, auf dessen Systemen die Webseite auf einem entsprechenden Webserver betrieben wird;
  • und schliesslich Sie als den Verantwortlichen für den Inhalt.

Wer ist für welche Bereiche zuständig?

Und hierbei gibt es oftmals Missverständnisse, wer was macht und vor allem für welche Bereiche zuständig ist! Hat man dies nicht präzise abgesprochen und geregelt, handelt man sich eine Schadsoftware auf der Webseite möglicherweise schneller ein, als man gedacht hat. Und es sei einmal mehr unterstrichen: Das Internet ist kein Ponyhof, das Böse lauert immer und überall, wie es einmal bei einer österreichischen Musikgruppe hiess.

Es ist nicht die Aufgabe des Hosters, das Design und die Inhalte zu machen! Dies fällt in den Zuständigkeitsbereich des Designers oder Programmierers und nicht in denjenigen des Hosters! Ein Webserverbetreiber kann, weil er in der Regel Zugriff auf den Code der Webseite und die meistens darunterliegende Datenbank hat, durchaus händisch Anpassungen vornehmen - aber das ist keine saubere Lösung und eher ein Notnagel.

Wenn ein professioneller Internetauftritt wirklich immer top und Up-to-date sein soll, muss sich  jemand im Auftrag und gegen Bezahlung darum kümmern. Dabei gilt vereinfacht dargestellt folgende Aufgabenteilung, beginnend mit den Bereichen, für die der Hoster zuständig ist:

  • Betrieb des Servers
  • Aktualisierung des CMS (Content Management System) oder des sonstigen Programmcodes der Webseite
  • Aktualisierung der Zertifikate für den Zugriff per HTTPS (diese sollten sich automatisch aktualisieren, beispielsweise per Lets Encrypt, siehe InformatikPraxis)
  • Sicherung der Inhalte und der Datenbank der Webseite

Sie als Besitzer der Webseite kümmern sich hingegen um (bzw. delegieren es):

  • Inhalte
  • Design
  • Erscheinungsbild
  • Konformität mit gesetzlichen Grundlagen (Impressumspflicht, Datenschutz und sonstige)

Aller Erfahrung nach ist es am sinnvollsten, wenn Sie als Webseitenbetreiber auch die Inhalte pflegen - gegebenenfalls in Abstimmung mit dem Designer, weil zwischendurch auch Inhalte mal das Design durcheinanderbringen. Und der wiederum wendet sich an den Hoster, wenn dieser eventuell die technischen Grundlagen anpassen muss.

Umgekehrt behält der Hoster sich in der Regel das Recht vor, die Servergrundlagen (Betriebssystem, Apache o.a., PHP, Datenbank) zu aktualisieren. Wenn er das nicht tut, findet irgendwann vermutlich eine Schadsoftware eine Sicherheitslücke auf dem Server. Und dann kann (kann!) es sein, dass Ihr Design oder das CMS ebenfalls angepasst werden müssen, weil die Webseite ansonsten auf der aktualisierten Serverplattform merkwürdig aussieht. Hoster bereiten solche Aktualisierungen aber entsprechend vor und kündigen diese an - ein bekanntes Beispiel sind die Updates der weit verbreiteten Scriptsprache PHP, die auf vielen Systemen nur noch in der aktuellen Version 7 angeboten wird. Viele Webseiten sind aber noch auf PHP 5.3 oder 5.4 aufgebaut - hier kommt es leider immer wieder zu Problemen bei der Umstellung. Setzen Sie sich dann mit den Designern und Programmierern Ihrer Webseite zusammen, das «Anheben» eines Webseitensystems auf aktuellere Systemgrundlagen kann meistens simuliert und vorbereitet werden.

Wann wird es schwierig?

Schwierig wird es zum Beispiel dann, wenn Ihre Webseite nicht auf Grundlage eines CMS (Content Management System) gebaut ist, wie es heutzutage überwiegend der Fall ist, sondern wenn Ihre Seite auf einem eher individuell erstellten Programmcode beruht. Hier ist es Ihre Obliegenheit, für eine Aktualität dieses Codes zu sorgen. Da Sie dies vermutlich nicht selber können (sonst hätten Sie Ihre Webseite ja auch selbst entwickeln können), müssen Sie dafür sorgen, dass der Programmierer den Code laufend aktuell hält. Gerade bei einer individuell entwickelten Webseite ist dies aber manchmal schier unmöglich - es gibt dann ja vielleicht nicht einmal eine weltweite Gemeinschaft, die «Community», die Fehler im Programmcode mit entdecken hilft. Wenn ein Hacker aber per Fehler im Code ein Einfallstor in Ihre Webseite gefunden hat und diese ausnutzt, ist schlimmstenfalls nicht nur Ihre Webseite Offline oder zeigt ein hässliches Erscheinungsbild - wenn es ganz ungünstig kommt, sperrt Ihr Hoster auch gleich noch Ihre Seite, weil Schadsoftware auf dem Webserver möglicherweise auch die Reputation des Webserverbetreibers schädigt. Sind Sie hier nicht ständig wachsam und halten sich an Updates und Sicherheitswarnungen (die beispielsweise vom CERT herausgegeben werden), ist Ihr schöner Internetauftritt dahin, und Sie haben neben dem Schaden vielleicht auch noch den Spott der Mitbewerber zu ertragen.

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

Der Datenschutzbeauftragte nach DSGVO (GDPR)

Die neuen Anforderungen für Schweizer Unternehmen, die unter die DSGVO fallen, erfolgreich umsetzen

Nächster Termin: 21. Mai 2019

mehr Infos

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • Rechtssicher

    Rechtssicher

    Sicherheit bei Rechtsfragen im Geschäftsalltag

    Mehr Infos

  • Download-Paket IT-Musterverträge

    Download-Paket IT-Musterverträge

    Über 120 Mustervorlagen für ein sicheres und effizientes IT-Management

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 07. Mai 2019

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Workshop Datenschutz in der Praxis

    Die neue DSGVO und deren Folgen für Schweizer Unternehmen

    Nächster Termin: 20. März 2019

    mehr Infos

  • Praxis-Seminar, ½ Tag, ZWB, Zürich

    Update Datenschutz

    Neuerungen in der EU und der Schweiz

    Nächster Termin: 29. August 2019

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos