Teil 1: Worauf achten, wenn man seinen Webshop plant. Welche Kriterien sind bei der Wahl des Shopsystems, bzw bei der Entwicklung des Webshop-Systems wichtig?
Hiermit eröffne ich diesen neuen Themenbereich, der nicht nur für Webshop Gründer von Relevanz ist.
Kriterien für die Wahl eines Shopsystems
Teil 1: Datensicherheit / Schutz der Unternehmensdaten
Als erstes Thema geht es um einige Aspekte der Sicherheit von Daten / Webshopdaten.
Datensicherheit für das Shopsystem.
Neben den Shop-Funktionen, der Qualität der Suchfunktion des Webshops, die Anbindung an CRM, WaWi, FiBu, ... ERP, dem Bedienkomfort für Kunden sowie Mitarbeiter, der Support und die Implementierung, .... und und und ist das Kriterium der Sicherheit von Daten wichtig; ... und gerade bei Gründung gerne vernachlässigt oder gar übersehen.
Daher soll das Theme der Sicherheit von Webshopdaten / Kundendaten hier den Opener in dieses Themenspektrum darstellen.
- High Availability und Verfügbarkeit von Backups (Daten-Verfügbarkeit)
- Schutz vor externen Zugriffen
- auch sehr wichtig: Schutz vor internen unberechtigten Zugriffen
Webshop / e-commerce Daten-Sicherheit
Bei jedem Unternehmen können unterschiedliche Aspekte relevant sein, um den Schutz von Unternehmensdaten / Kundendaten sicherzustellen.Drei Aspekte betreffen aber jedes Unternehmen: die Verfügbarkeit der Daten, um die Unternehmensabläufe fluent zu gewährleisten, der Schutz der Daten vor Einsicht oder zugriff unbefugter Dritter von aussen und last not least auch der interne Schutz der Daten vor unerlaubtem Zugriff, Verönderung oder Kopie von unberechtigten Personen innerhalb des Unternehmens. Gerade bei Webshops und andere e-commerce Projekten im Aufbau werden diese Basics mitunter übersehen. Dabei geht es sowohl um das reibungslose funktionieren der Firma / des webshops als auch um Datenschutz im Sinne der Kunden.
Schutz vor Ausfall des Systems
"High Availability" ist für alle Webshops und e-commerce Anwendungen sehr wichtig. Doppelte Datensicherung - möglichst als Backups auf / in verschiedenen Medien stellt eines der Basics dar. Dazu muß aber auch das Serversystem schnell und sicher funktionieren und es muß sichergestellt sein,. dass die Datensicherung und auch der Zugriff auf gesicherte Daten schnell und zuverlässig geschehen kann.
Eine gute Planung und die systematische Betrachtung und Sicherung gegen diese Risiken ist essentiell. Schon bei Webshopgründung sollte man sich damit beschäftigen, dass man bei der Erstellung oder Einrichtung des Shopsystems auch diesbezüglich beraten lässt und ggf selbst Ressourcen (Personal) dafür einplant.
Schutz vor externem Zugriff
Externe Zugriffe, sprich Hacker, stellen den klassischen Fall des IT-Angrifs dar. Daher sollten
wichtige Systeme und ganz besonders die Kundendaten besonders sicher vor dem Zugriff von Aussen geschützt sein. Stichworte sind Firewall, eine DMZ (Demilitarisierte Zohne) und das aktive Monitoring der Zugriffe. Ich würde dieses Thema bei der Wahl des Webshops / im Gespräch mit dem Entwickler und dem SysAdmin lieber einmal öfter nennen.
Häufig sind Zugriffe von Mitarbeitern von aussen möglich / nötig, z.B. per Laptop über VPN oder um mobile Apps des Unternehmens zu nutzen. Dies macht es dummerweise unmöglich, das Unternehmenssystem vollständig von aussen abzutrennen. Hier sollte man alle Schutzmaßnahmen auch immer aktuell halten und pflegen. Das gleiche gilt für den Datenverkehr. Neben der reinen Verschlüsselung und dem Zugriffsschutz von Systemen sollte man die Zugriffe wirklich auch auch aktiv überwachen. das bindet Ressourcen, kann aber ggf durch den SysAdmin etwas automatisiert werden. Denn nur druch ein aktives Monitoring können Hackingangriffe frühzeitig erkannt werden.
Gerne vergessen, aber oft die größte Lücke: die Richtlinien für alle Mitarbeiter für sicheres Verhalten sind wichtiger denn je. Ich würde das in den regelmäßigen Besprechungsrunden immer mal wieder thematisieren und auch mal den SysAdmin, den man sich zur Betreuung ausgesucht hat, bitten, hierüber zu informieren und zu kontrollieren, dass auch wirklich alle Rechner gemäß den Vorgaben aktualisiert und genutzt werden.
Passwortwechsel, keine 1234 Passwörter, keine private Nutzung der Rechner, .... sind Maßnahmen, die im Sinne von Datensicherung und damit Bestand des Unternehmens nicht zu unterschätzen sind.
Externe Zugriffe, sprich Hacker, stellen den klassischen Fall des IT-Angrifs dar. Daher sollten
wichtige Systeme und ganz besonders die Kundendaten besonders sicher vor dem Zugriff von Aussen geschützt sein. Stichworte sind Firewall, eine DMZ (Demilitarisierte Zohne) und das aktive Monitoring der Zugriffe. Ich würde dieses Thema bei der Wahl des Webshops / im Gespräch mit dem Entwickler und dem SysAdmin lieber einmal öfter nennen.
Häufig sind Zugriffe von Mitarbeitern von aussen möglich / nötig, z.B. per Laptop über VPN oder um mobile Apps des Unternehmens zu nutzen. Dies macht es dummerweise unmöglich, das Unternehmenssystem vollständig von aussen abzutrennen. Hier sollte man alle Schutzmaßnahmen auch immer aktuell halten und pflegen. Das gleiche gilt für den Datenverkehr. Neben der reinen Verschlüsselung und dem Zugriffsschutz von Systemen sollte man die Zugriffe wirklich auch auch aktiv überwachen. das bindet Ressourcen, kann aber ggf durch den SysAdmin etwas automatisiert werden. Denn nur druch ein aktives Monitoring können Hackingangriffe frühzeitig erkannt werden.
Sicherheits-Regeln für Webshops, e-commerce, ...
Gerne vergessen, aber oft die größte Lücke: die Richtlinien für alle Mitarbeiter für sicheres Verhalten sind wichtiger denn je. Ich würde das in den regelmäßigen Besprechungsrunden immer mal wieder thematisieren und auch mal den SysAdmin, den man sich zur Betreuung ausgesucht hat, bitten, hierüber zu informieren und zu kontrollieren, dass auch wirklich alle Rechner gemäß den Vorgaben aktualisiert und genutzt werden.
Passwortwechsel, keine 1234 Passwörter, keine private Nutzung der Rechner, .... sind Maßnahmen, die im Sinne von Datensicherung und damit Bestand des Unternehmens nicht zu unterschätzen sind.
Ich empfehle, den Mitarbeitern extra Rechner für die private facebook- etc Nutzung zur Verfügung zu stellen und dieses Nutzung auch sehr liberal zu handhaben. Nur so kann sichergestellt werden, dass die Kollegen nicht heimlich die Sicherheitsregeln umgehen. Schließlich will man ja gute und eingearbeitete Webshopmitarbeiter halten und weiterentwickeln. Dazu muß man schon ein angenehmes Umfeld bieten - im Rahmen der Sicherheits-Überlegungen.
Schutz vor internem unberechtigten Zugriff
Neben dem Zugriff von aussen darf man nicht den unberechtigten Zugriff von Mitarbeitern übersehen.
Es wird immer wieder berichtet, dass Angriffe auf das IT-Systeme aus dem Unternehmen selbst heraus geschehen. Daher sollte man durch Zugriffssicherungen den Zugriff auf Daten regeln, so dass nicht jeder Mitarbeiter alle Daten sehen und verändern kann. Auch hier ist das Monitoring wichtig. Es ist hilfreich, die Zugriffe zu protokollieren. Das erzeugt zumindest eine Nachvollziehbarkeit und bei frühzeiteriger Erkennung Verhinderung vor schlimmeren.
Zu beachten ist allerdings der arbeitnehmerrechtliche Aspekt. Hier kann ich keine Auskunft geben, möchte aber darauf verweisen, dass man die Mitarbeiter im gewissen Rahmen über die Kontrollmaßnahmen informieren muß. Diesbezüglich würde ich mir Rat bei einem Anwaltsbüro für Arbeitsrecht oder bei einer Gewerkschaft holen.
Langfristige Sicherung von Unternehmensdaten
Backups kennt heutzutage jeder - und diese vorzunehemen vergisst leider auch nahezu jeder. Dabei kann man das automatisieren oder durch Regeln zumindest organisieren.
Eine strukturierte Backupstrategie und ein daraus folgender Notfallplan sollte erstellt werden. Backups sollten nicht nur regelmäßig angelegt, sondern auch in regelmäßigen intervallen getestet und geübt werden.
Schließlich nützt es nichts wenn man eine Datensicherung angelegt hat, aber die Einspielung Stunden dauert.
Kriterien für Webshops / Shopsysteme
Was ergibt sich aus diesen Sicherheitsüberlegungen für die Wahl des Shopsystems und der eingesetzten Software für die Abwicklung der aufträge und der Kundenbetreuung?
- Die ERP und CRM muß einen einfach zu handhabenden Sicherrungsablauf anbieten.
- Man sollte nicht zu viele unterschiedlichenSysteme einsetzen, was sowohl Sicherung, Monitoring als auch Datensicherung komplizierter machen würde.
- Bei der Entwicklung des Shops / webshops / der e-commerce Anwendung sollte man den Aspekt der Datensicherung extern als auch intern in das Pflichtenheft, bzw. die Entwicklungsbeschreibung (bei agiler Softwareentwicklung) explizit ansprechen.
- Die Auswahl des Servers sollte sich nicht nur am Presi orientieren. SSL Verschüsselung sollte verwendet werden. Das sit sowieso ein für die SERPs und SEO wichtiger Aspekt, lohnt sich also doppelt!
... es gibt viel mehr zu beachten. Aber ich denke, dieser Beitrag hat ein wenig für das Thema sensibilisieren können. Webshop Gründer sowie etablierte Webshopbetreiber sollte Ihre Abläufe immer mal wieder in Bezug auf die Datensicherheit (sowohl aus Sicht des Unternehmens als auch aus Sicht des Datenschutzes für die Kunden) überprüfen.
Tipp: wenn man seinen Onlineshop durch eine Agentur einrichten und anpassen lässt, fährt man oft sicherer und spart nicht am falschen Ende. Es gibt Agenturen / Softwareentwickler, die vor dem Projektstart eine Beratung stellen. So eine Agentur würde ich wählen.
-----
In Teil 2 werde ich voraussichtlich den Aspekt des Software Supports mit SLA (Service Level Agreement) ansprechen. Denn wie eben schon erwähnt, geht es auch in Bezug der Datensicherheit um beständige Kontrolle und Überwachung der Systeme und Abläufe.
Wonach die richtige Webshop-Software finden?
Eure Kommentare mit Tipps und Erfahrungen zur Webshopwahl passen am besten in den nächsten Beitrag. Den lege ich sozusagen als Sammelstelle für Webshop-Software Tipps und Empfehluneg / Erfahrungen an.
Kommentarte und Erfahrungen:
Zu diesem Beitrag bitte die Kommentare, die sich auf Tipps, Erfahrungen und Meinungen zu Backup, Sicherheitsregeln für Shop-Mitarbeiter, datenverschlüsselung etc beziehen.
Arbeitsrecht Webshop, bzw Arbeitsrecht im e-commerce ist auch ein wichtiger Aspekt, der beachtet werden muss. Auch bei der Softwareerstellung kann man vor Beauftragung schauen, wie das Arbeitsrecht eingehalten wird. Da wo Arbeitnehmerrechte eingehalten werden, ist von weniger Fluktuation auszugehen und man kann erwarten, stabile Strukturen bei den Ansprechpartnern zu bekommen. Auch das hat was mit Sicherheit zu tun, was den Webshop auch langfristig stabil laufen lässt.
AntwortenLöschenArbeitnehmerrechte, Arbeitsrecht im E-Commerce sind auch wichtig.
Wer kennt das Saleor Shopsystem? Vorteile?
AntwortenLöschen