Sicherheitsaudit für einen Online-Shop

Aktuelle Prognosen für das Jahr 2013 sagen laut dem Statistik-Portal Statista voraus, dass „[…] der Einzelhandel in Deutschland mit E-Commerce 33,1 Milliarden Euro erwirtschaften [wird]. Das entspricht einer Steigerung von 12 Prozent gegenüber dem Vorjahr.“  Darüber hinaus belegt die folgende Tatsache, dass noch immer ein enormes Wachstumspotenzial im E-Commerce zu heben ist: „[…] 75 Prozent der Online-Käufer [haben] schon einmal einen Bestellvorgang abgebrochen […], weil ihnen die Seite nicht sicher schien. 53 Prozent von ihnen hätten die Bestellung jedoch fortgesetzt, wenn die Website ein Sicherheitszertifikat aufgewiesen hätte“ , meint wiederum der Shopbetreiber-Blog.

Um den Vertriebsweg Internet kundenfreundlicher und dadurch kommerziell noch erfolgreicher zu gestalten, haben sich zahlreiche verschiedene Gütesiegel am Markt etabliert, mit denen die Online-Shop-Betreiber gegenüber ihren Kunden einen vertrauensvollen und sicheren Umgang nachweisen und belegen.  Doch welche Prüfungen muss ein Online-Shop-Betreiber auf sich nehmen, wenn er ein Sicherheitsaudit auf Basis der ISO/IEC 27001 durchlaufen möchte? Bei der ISO/IEC 27001 handelt es sich um eine international anerkannte Sicherheitsnorm. Im Moment bezieht man sich noch auf die Version aus dem Jahr 2005, eine Aktualisierung und grundlegende Überarbeitung ist für dieses Kalenderjahr angekündigt und bereits in einer Draft-Version veröffentlicht.

Das Für und Wider einer Sicherheitszertifizierung

Um die Sinnhaftigkeit einer Sicherheitszertifizierung bewerten zu können, muss deren ökonomischer Nutzen ermittelt werden. Die Implementierung der notwendigen technischen und organisatorischen Maßnahmen ist mit einem relativ hohen zeitlichen und monetären Aufwand verbunden, der sich erst mittel- bis langfristig amortisieren kann. Daher erscheint es empfehlenswert, sich diesem Thema schrittweise zu nähern und die maßgeblichen Aspekte der Informationssicherheit normkonform umzusetzen, um für eine spätere Zertifizierung bereit zu sein. Die regelmäßige Durchführung von Sicherheitsaudits stellt eine maßgebliche Forderung der ISO 27001 dar. Daher liegt es nahe, mit einer derartigen Bewertung zu beginnen. Eine externe Sichtweise bringt viele Vorteile mit sich, da bestehende Strukturen nicht als gegeben hingenommen, sondern kritisch hinterfragt werden.

Angemessene Absicherung des Betrachtungsgegenstands (Scopes)

Im Rahmen eines Sicherheitsaudits auf Basis der ISO 27001 müssen in vollem Umfang alle Maßnahmenziele (Objectives) und Maßnahmen (Controls) betrachtet werden. Für eine erste Überprüfung  sollte der Betrachtungsgegenstand (Scope) nicht zu groß gezogen werden, um sicherzustellen, dass die für einen Online-Shop wesentlichen Aspekte Berücksichtigung finden. Dabei gilt es,  die Angemessenheit der getroffenen Maßnahmen realistisch einzuordnen und den Betrachtungsgegenstand des Audits immer wieder kritisch zu hinterfragen.

Fazit und Zusammenfassung

Die im Kasten genannten Punkte stellen die grundlegende Basis für die Durchführung eines Sicherheitsaudits bei dem Betreiber eines Online-Shops dar. Unabhängig davon, ob sich das Unternehmen einer Zertifizierung stellen möchte, sind angemessene Prozesse und Technologien einzuführen und diese umfassend zu dokumentieren. Ein kontinuierlicher Verbesserungsprozess ist für die Zukunft sicherzustellen, um zu gewährleisten, dass die getroffenen Maßnahmen mit der aktuellen Entwicklung Schritt halten können.

Zusammenstellung der wesentlichen Prüfgegenstände und Lösungsmöglichkeiten (Best Practice)

• Prüfgegenstand Nr. 1: Durchführung einer Risikoanalyse     
• Lösungsansatz/Erwartungshorizont: Um zu wissen, welche Prozesse und Applikationen den wesentlichen Kern des Unternehmens ausmachen, muss eine Risikoanalyse durchgeführt werden. Zum einen lässt sich dadurch ermitteln, wie hoch ein angemessenes Schutzniveau festzulegen ist und zum anderen wird dokumentiert, mit welchen Bedrohungen und Schwachstellen sich das Unternehmen aktuell konfrontiert sieht.
• Prüfgegenstand Nr. 2: Klassifikation von Daten und Informationen
• Lösungsansatz/Erwartungshorizont: In Abhängigkeit von dieser grundlegenden Definition werden zahlreiche weitere Entscheidungen getroffen, die künftige Prozesse wesentlich beeinflussen. So etwa, welche Informationen auf welchen Datenträgern abgespeichert oder über welchen Kommunikationskanal übertragen werden dürfen.
• Prüfgegenstand Nr. 3: Sicherstellung einer datenschutzkonformen Abwicklung
• Lösungsansatz/Erwartungshorizont: Eine datenschutzkonforme Abwicklung aller Online-Transaktionen stellt in der heutigen Zeit eine grundlegende Basis für den Geschäftserfolg dar. In der ISO 27001 wird explizit die Einhaltung der gesetzlichen Vorgaben des BDSG gefordert, so dass dem Datenschutzbeauftragten des Unternehmens im Audit eine wesentliche Rolle zukommt. Er muss sowohl die grundlegenden Forderungen des Bundesdatenschutzgesetzes (BDSG), etwa ein Verfahrensverzeichnis, vorlegen können, als auch Kundenanfragen in angemessener Zeit beantworten. Darüber hinaus müssen auch die internen Prozesse den Vorgaben des Datenschutzes entsprechen.
• Prüfgegenstand Nr. 4: Bei der Zusammenarbeit mit Dienstleistern: vertragliche Absicherung, unter anderem durch SLAs  
• Lösungsansatz/Erwartungshorizont: Sobald externe Unternehmen in der Erbringung der E-Commerce-Leistung eingebunden sind, muss diese Zusammenarbeit auf Basis umfassender Verträge und so genannter Service Level Agreements (SLA) erfolgen. In diesen wird die Zuarbeit des Dienstleisters quantifiziert und für eine Leistungskontrolle messbar gemacht. Die Erhebung und Analyse entsprechender Kennzahlen sind wesentliche Aspekte eines Audits.
• Prüfgegenstand Nr. 5: Sicherstellung einer rechtssicheren Abwicklung der Online-Geschäfte
• Lösungsansatz/Erwartungshorizont: Neben dem bereits genannten Thema des Datenschutzes müssen zahlreiche weitere juristische Forderungen erfüllt werden.
• Auf Basis einer umfassenden Übersicht über alle geltenden Gesetze und der damit verbundenen Folgen für das Unternehmen müssen zum Beispiel die Allgemeinen Geschäftsbedingungen (AGB) und das Impressum der aktuellen Gesetzeslage entsprechen.
• Es ist ein Prozess zu etablieren, der auf etwaige Änderungen zeitgerecht hinweist und dadurch die Bedrohungen durch Abmahnungen aufgrund veralteter Regelungen ausschließt.
• Falls vorhanden, müssen die genannten Punkte auch für die (Marketing-)Präsenzen im Web 2.0 – wie Facebook oder Twitter – vorhanden sein.
• Prüfgegenstand Nr. 6:Etablierung eines Freigabe-Workflows          
• Lösungsansatz/Erwartungshorizont: Gerade weil im WWW veröffentlichte Daten bindend sein können, muss der interne Freigabe-Workflow entsprechend umfassend implementiert werden. Für die wesentlichen Daten ist dringend anzuraten, ein Vier-Augen-Prinzip zu verankern: Bevor diese der Öffentlichkeit zugänglich gemacht werden, muss eine weitere Person sie überprüfen und freigeben, um Fehler zu vermeiden.
• Prüfgegenstand Nr. 7: Technische Überprüfung der Shop-Technologie
• Lösungsansatz/Erwartungshorizont: Immer wieder ist in der Presse zu lesen, dass Webseiten erfolgreich angegriffen werden. Ein derartiger Angriff (Hacking) führt entweder zum Abfluss interner Daten oder zur Korruption des Online-Shops. Beide Szenarien sind extrem schädlich für den Betreiber und führen zu nachhaltigem Verlust von Kundenvertrauen.
• Daher müssen durch regelmäßige Penetrations- und/oder Verwundbarkeitstests Schwachstellen ermittelt werden. Die Ergebnisse einer derartigen Prüfung sind in Follow-ups intern zu priorisieren und es gilt, ihnen mit angemessenen Schutzmaßnahmen zu begegnen.
• Prüfgegenstand Nr. 8: Etablierung von Not- und Alarmplänen mit entsprechenden Eskalationsschritten    
• Lösungsansatz/Erwartungshorizont: Im Falle eines Stör- oder gar eines Notfalls müssen entsprechende Vorgehensweisen definiert werden, um schnell den Geschäftsbetrieb wieder herzustellen. Gerade wenn der Online-Shop der einzige Vertriebskanal des Unternehmens ist, ist hier höchste Eile sowie eine professionelle Umsetzung geboten.
• Prüfgegenstand Nr. 9: Absicherung des internen Netzwerks und aller damit verbundenen Komponenten    
• Lösungsansatz/Erwartungshorizont: Nicht nur der Online-Shop muss geschützt werden, auch alle intern genutzten IT-Komponenten sind nach allgemein üblichen Standards abzusichern. Dabei müssen alle grundlegenden Schutzmaßnahmen wie Firewall, IDS/IPS, Anti-Malware usw. Anwendung finden. Für alle Komponenten ist ein Update-Prozess sicherzustellen.
• Prüfgegenstand Nr. 10: Change Management
• Lösungsansatz/Erwartungshorizont: Unter dem Begriff Change Management werden alle Tätigkeiten zusammengefasst, die sich mit der Aktualisierung von Applikationen befassen.
• Diese Anpassungen müssen gewissenhaft geplant und umfassend getestet sein. Darüber hinaus dürfen sie nur dann eingespielt werden, wenn sie von der verantwortlichen Stelle freigegeben wurden.

Autor: Dr. Andreas Gabriel ist seit 2012 bei Ethon in Ulm verantwortlich für die weltweite Durchführung von Sicherheitsaudits. Zum Kundenkreis gehören neben Family Offices und dem international aufgestellten Mittelstand auch Global Players aus der Automobilbranche. Dr. Gabriel beschäftigt sich seit vielen Jahren mit den verschiedenen Facetten der Informationssicherheit, ist ausgebildeter Lead Auditor ISO/IEC 27001 und Datenschutzbeauftragter.

Dieser Beitrag erschien erstmals im Schwerpunkt „Sicherheit in Onlineshops“, e-commerce Magazin 06/2013