Start-ups & Security: Risiken und Gefahren zum Website Launch

Wer heutzutage ein Start-up gründet, hat zunächst alle Hände voll zu tun. Was dabei allerdings gerne vergessen wird, ist das Thema Sicherheit im Zusammenhang mit der eigenen Website. Und das kann fatale Folgen haben.

Ein Fall, der weite Kreise zog, war beispielsweise jener Datendiebstahl, der sich im Hamburger Big-Data-Start-up Kreditech ereignete. Diese Firma hat sich darauf spezialisiert, blitzschnell die Bonität eines Kreditantragsstellers zu analysieren. Essentiell dabei: Daten des jeweiligen Kunden wie etwa Kontoauszüge oder Personalausweise.  Genau diese sensiblen Daten wurden allerdings von einem digitalen Angreifer gestohlen, der die Geschäftsführung in weiterer Folge damit erpresste. 

Anzeige

Auch bekannte Dating-Portale sind nicht vor derartigen Angriffen gefeit. Und erst jüngst kam der Fall des Unternehmens Schmersal ans Licht. Die Wuppertaler Firma hatte während der Covid-19-Pandemie ebenso mit einem Cyberangriff zu kämpfen. Daraufhin musste alles heruntergefahren werden, die Produktion stand mehrere Tage still. Das Bundesamt für Sicherheit in der Informationstechnik warnt generell davor, dass Kriminelle insbesondere die spezielle Situation seit Beginn der Pandemie nutzen, um verstärkt Firmen auf digitale Art und Weise zu attackieren. Zudem werden ihre Machenschaften immer dreister und ihre Methoden immer kreativer. So reicht die Liste ihrer Praktiken mittlerweile von Phishing über Ransomware bis hin zu Credential Stuffing. Vor allem Start-ups sollten daher wachsam sein.

Website Security: Fokus auf SSL-Zertifikate und Cookie-Richtlinien essentiell

Wer ein Start-up gründet, steht zunächst vor der Entscheidung, welches CMS er für die Firmenwebsite nutzen soll. Egal, ob WordPress, TYPO3 oder Storyblok – Anbieter gibt es reichlich. Das Veröffentlichen einer Homepage gelingt also meist rasch – auch mit Shop oder Blog. Doch Achtung: Solche Open-Source-Anwendungen werden auch von Hackern gerne aufgesucht. Wer auf ein professionelles CMS zurückgreift, muss sich auch mit dem Thema Sicherheit beschäftigen. 

HTTP und ein offener Datenaustausch – das war gestern. Wer auf Nummer sicher gehen will, setzt auf HTTPS zum Austausch sensibler Daten und benutzt ein SSL-Zertifikat. Mit diesem sogenannten Secure Socket Layer findet der Transfer zwischen Server und Client nunmehr verschlüsselt statt. Kriminelle, die im Internet ihr Unwesen treiben, können so nicht mehr einfach mitlesen oder Daten sammeln. Außerdem ist das Schloss-Symbol, das dadurch im Browser erscheint, ein Vertrauensindiz – Kunden, die die Website besuchen wissen um den Schutz und das kann ein Wettbewerbsvorteil sein. SSL-Zertifikate können bei verschiedenen Zertifizierungsstellen im Netz erworben werden. Wer die Website selbst hostet, muss das Zertifikat danach konfigurieren bzw. einrichten. Wer auf einen Hosting-Anbieter zurückgreift, hat mitunter die Möglichkeit, über diesen ein SSL-Zertifikat zu erhalten bzw. zu erwerben. 

Ebenso wichtig für Start-ups ist der korrekte Umgang mit Cookies. Die Europäische Union hat für das Thema Cookies Maßnahmen erstellt, die in der ePrivacy-Richtlinie zusammengefasst werden. Demnach müssen Seitenbetreiber nun das ausdrückliche Einverständnis von Seitenbesuchern einholen, wollen sie ein persönliches Profil dieser erstellen. Ein Hinweis, dass Cookies benutzt werden, ist daher auf der Firmenwebsite Pflicht. Und: Fehlerhafte oder nicht genügend Cookies sind auch anfällig für äußere Angriffe. 

Zudem sind Back-ups das Gebot der Stunde, schließlich können damit im Ernstfall Daten gerettet werden. Und: Auch hier hat sich viel getan. War es vor ein paar Jahren noch sehr mühsam, Back-ups zu erstellen, so gibt es auch dafür mittlerweile Tools wie Plug-ins oder Online-Programme, die rasch und automatisiert Back-ups erstellen. 

Für einige mag es banal klingen, aber sichere Passwörter sind nach wie vor oft Mangelware bei Website-Betreibern. Beliebte Zahlenkombinationen oder ein einziges Passwort, das für sämtliche Programme, Apps und Geräte verwendet wird – das ist leider oft nach wie vor Realität. Es ist also wichtig, auf möglichst sichere und komplexe Zugangsdaten zu achten und Passwörter regelmäßig zu ändern. 

Um festzustellen, wo sich Sicherheitslücken befinden, bietet sich vor dem Launch einer Website Security Check an. Diesen kann man entweder von Experten durchführen lassen oder eines der vielen kostenlosen Online-Programme nutzen. Doch Achtung: Jeder Website Security Check ist nur eine Momentaufnahme. Das heißt: Firmenchefs sollten solche Analysen in regelmäßigen Zeitabständen wiederholen. 

Up to date bleiben

Die Onlinewelt ist eine rasante. Sie entwickelt sich stetig weiter. Sicherheitslücken und Bugs werden kontinuierlich geschlossen, gleichzeitig tun sich jedoch wieder neue auf. Es ist daher zum einen essentiell, Updates nicht zu vernachlässigen und die Website auch in puncto Sicherheit zu warten. Zum anderen müssen Firmenchefs aber auch selbst wachsam bleiben und sich über neue Möglichkeiten informieren. Für Updates haben Entwickler mittlerweile ebenso Plug-ins oder Add-ons hervorgebracht, die Updates der Website automatisch durchführen. Doch Achtung: Dabei handelt es sich um eigenständige Programme – daher müssen auch diese regelmäßig überprüft und aktualisiert werden. Potentielle Gefahren und Sicherheitslücken werden heutzutage darüber hinaus in Echtzeit dokumentiert und werden auf einschlägigen Portalen und in Foren publiziert. Auch das Bundesamt für Sicherheit in der Informationstechnik aktualisiert seine Seite diesbezüglich kontinuierlich. Zu einem umsichtigen Verhalten gehört außerdem, auch die eigenen Mitarbeiter für das Thema Cybersicherheit zu sensibilisieren.

Anzeige

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.