
Wie IT-Security und Datenschutz Vertrauensbildung fördern
Es ist ein wenig Zeit ins Land gezogen seitdem ich das letzte Mal über Datenschutz geschrieben haben. Das Thema ist aber nach wie vor absolut aktuell für mich. Im Hintergrund wird fleißig an dem Setzen neuer persönlicher Maßstäbe und natürlich das Erreichen derselben gearbeitet. Wie du sehen kannst, habe ich das Erscheinungsbild meiner Seite geändert. Das hat nur teilweise etwas mit Design zu tun (obwohl mir mein neuer Look sehr gut gefällt, was meinst du?), sondern – natürlich – mit Datenschutz. Bevor ich mich jedoch dem Schutz fremder Daten widmen kann, hieß es für mich, auf meine eigene Website Security zu schauen. Sicherheit kommt eben vor dem Datenschutz und hat viel mit Vertrauensbildung zu tun.
Dieser Artikel vom April 2016 wurde von Elisa Drescher, Datenschutzexpertin, von der SCALELINE LTD an die neueste Rechtsprechung angepasst. Viele Blogbeiträge zu Themen zum Datenschutz findest auch direkt auf SCALELINEs Blog. Die Ergänzungen berücksichtigen den Stand April 2022.
Sicherheit in aller Munde…
…aber bei weitem nicht in jeder IT. Immer wieder tauchen Studienergebnisse und Berichte in Medien auf, die zeigen, wie wenig Aufmerksamkeit österreichische und deutsche Unternehmen dem Thema IT-Security widmen, wie letztlich hier im Bereich der Energieversorgung. Zusätzlich kommen laufend Nachrichten in unsere Feeds und Timelines, die uns auf potenzielle, digitale Sicherheitsrisiken aufmerksam machen. Ich finde das wirklich erschreckend. Auch deshalb, weil viele von uns absolut leichtsinnig ihre Sicherheit aufs Spiel setzen. Muss ich überhaupt erwähnen, dass ich von Pokémon Go nicht viel halte? (Nicht vom Zeichentrick, den habe ich ja geliebt!)
Zurück zum Thema IT-Security, hier ein Auszug aus dem durchaus lesenswerten Bericht zu Cyber Security in Österreich:
Hinsichtlich der Trends ist feststellbar, dass vor allem die Vorfallsarten Ransomware und DDoS eindeutig steigende Tendenzen aufweisen, die einer besonderen Beobachtung und gezielter Gegenmaßnahmen bedürfen. Diese Schlussfolgerungen liegen dabei durchaus im internationalen Trend.
Für die Zukunft ist zu erwarten, dass Cyber Angriffe auch weiterhin immer mehr mit »klassischen« Verbrechensmodellen verschmelzen und zunehmend als reines Werkzeug für Betrug oder Erpressung eingesetzt werden. (Quelle: Bericht Cyber Sicherheit 2016)
Cyber Crime ist längst nicht mehr nur ein Problem der großen Fische. Kleinvieh macht bekanntlich auch Mist (bzw. bringt diesen Kriminellen Geld) und daher sollten wir uns nicht in Sicherheit wägen. Es kann dich genauso treffen, wie mich.
Datenschutz und Sicherheit gehen Hand in Hand
Eine nicht ausreichend gesicherte Webseite kann daher dich viel Zeit und Geld kosten, sie kann aber auch den Schutz fremder, gesammelter Daten nicht garantieren. Es macht daher absolut Sinn mit der Absicherung des eigenen Onlineauftritts zu starten, wenn wir uns dem Thema Datenschutz nähern wollen – und genau das habe ich auch getan. Ich habe Mike Kuketz, der mich ja in meinem Projekt Datenschutz in der digitalen Kommunikation bzw. im Content Marketing, unterstützt, gebeten meine alte Seite einem Security Scan zu unterziehen. Das Ergebnis war, naja, sagen wir ernüchternd.
Viele Informationen konnte er, wie aus einem offenen Buch, auslesen:
- vorhandene User-Accounts (aber keine Passwörter),
- installierte Plugins, inklusive Versionen und daher bekannten Schwachstellen,
- fehlende Verschlüsselung,
- aktives Directory Listing
- und noch einige Dinge mehr, mit denen ich auf Anhieb nicht wirklich etwas anfangen konnte.
Mein Glaube, dass ich meine Webseite bei ihrer Erstellung auf sichere Beine gestellt hatte, war dahin. Wie gut, dass Mike in seinen Bericht auch die passenden Lösungen aufgezeigt hatte. Gemeinsam mit meinem Programmierer haben wir diese auch umgesetzt.
Eine Veränderung, die im Hintergrund bereits erfolgte, wird dir aber sicherlich nicht entgangen sein: meine Seite ist nun verschlüsselt! Das freut mich natürlich noch auf einer zweiten Ebene: für das Ranking bei Google spielt Verschlüsselung eine immer wichtigere Rolle. Mal schauen, wie es sich langfristig auswirkt.
Ergänzung 2022: Das gilt unverändert fort. Wir erschrecken förmlich, wenn wir im Jahr 2022 noch unverschlüsselte Websites finden.
Falls auch du dich näher mit dem Thema Sicherheit bei WordPress-Installationen auseinandersetzen möchtest, dann empfehle ich dir diesen Beitrag, besser gesagt diese Sammlung an Beiträgen, wo Mike die häufigsten Probleme und ihre Lösungen zusammengeschrieben hat. Ob und in welcher Art andere Content-Management-Systeme (CMS) ähnliche Sicherheitsprobleme aufzeigen, kann ich nicht beurteilen. Sich hier schlau zu machen, macht allerdings auf alle Fälle Sinn!
IT-Sicherheit und Datenschutz müssen Hand in Hand gehen. Share on XWordPress – gut gemeinte Bevormundung?
Ich liebe WordPress und da bin ich mit Sicherheit nicht die Einzige. Es ist einfach zu bedienen und schnell aufgesetzt, selbst wenn du keine Ahnung vom Programmieren hast, kannst du mit diesem CMS sehr gut arbeiten. Aber gerade dieser Punkt birgt potenzielle Gefahren: WordPress fokussiert Anwenderkenntnisse und blendet Verständnis und Kompetenz zunehmend aus. Ähnlich wie bei Kindern, die das Tablet ihrer Eltern problemlos bedienen können, jedoch die Fähigkeit zum kritischen Hinterfragen sowie das Verständnis über die Funktionalität nicht gegeben sind. WordPress will uns das Leben so einfach wie möglich machen und das schätze ich, dennoch sind nicht immer alle Out-of-the-Box-Einstellungen sinnvoll, wenn es um Sicherheit und Datenschutz geht.
Da ich auf meiner alten Seite immer wieder Probleme mit zu vielen Plugins hatte, war es an der Zeit ein neues, puristisches Theme für WordPress zu finden: ohne viel Schnickschnack, wenig vorinstallierte Plugins, anpassungsfähig an die eigenen Vorstellungen, dennoch sollte es auch hübsch aussehen und schnell laden. Oh Mann! Ich kann dir sagen, dass mich diese Suche wirklich zum Nachdenken gebracht hat, ja teilweise sogar richtig frustriert hat. So etwas findet man heute so gut wie gar nicht mehr! Die meisten Themes sind von Haus aus mit so viel Zeug vollgepackt, dass weder Sicherheit noch langfristige Funktionalität (Features können sich gegenseitig blockieren) gegeben ist. Letzten Endes haben wir uns doch auf ein Template einigen können und das Ergebnis siehst du bereits live. Anpassungen im Backend waren dennoch notwendig.
Infos zu diesen Anpassungen findest du wieder im oben verlinkten Beitrag von Mike, schau also unbedingt rein, falls du WordPress verwendest. Ich finde es super, dass er sein Wissen mit uns allen teilt und uns auf einige Dinge aufmerksam macht, die wir aus Bequemlichkeit (ich gebe es ja zu) lieber ausblenden.
Die zweite Seite der Sicherheits-Medaille
IT-Sicherheit hat alleine für sich, besser gesagt für das Unternehmen, schon einen Wert. Mit Blick auf den Datenschutz deiner LeserInnen und/oder KundInnen, erfüllt diese Sicherheit noch einen weiteren wichtigen Faktor: Vertrauen.
Sicherheit hat eine wichtige Aufgabe zu erfüllen: Vertrauensbildung! Share on XVertrauen bringt allen was, hatte ich bereits in einem meiner älteren Beiträge geschrieben und es hat damals wie heute nichts an seiner Richtigkeit verloren. Vertrauen zu jemanden zu haben, erleichtert das Leben ungemein:
- Je größer das Vertrauen, desto weniger Kontrollinstanzen brauchen wir. Das spart Zeit und manchmal auch Geld.
- Vertrauen hat trotz einer unbekannten Komponente, viel mit Wissen zu tun. Aus unseren bisherigen Erfahrungen können wir Vermutungen anstellen und sind so eher bereit Angelegenheiten und Aufgaben vertrauensvoll abzugeben und nicht mehr zu hinterfragen.
- Vertrauen eröffnet mehr Möglichkeiten, da die gesamte Gemeinschaft herangezogen wird; Misstrauen engt hingegen unseren Handlungsspielraum ein.
Und das sind nur drei von vielen Vorteilen, die Vertrauen auf zwischenmenschlicher und beruflicher Ebene bringt. Es ist daher ganz klar, dass Menschen vertrauen wollen. Gib Ihnen einfach die Chance dazu.
Trust is the glue of life. It’s the most essential ingredient in effective communication. It’s the foundational principle that holds all relationships. – Stephen Covey
Sicherheit muss gemeinsam mit Datenschutz gedacht werden
Mein heutiger Beitrag ist im Vergleich zu den bisherigen kürzer und eher praktisch orientiert – und das ganz bewusst. Ich lade dich ein, dich mit dem Thema Cyber Security als Basis für den Datenschutz und als Basis für die Vertrauensbildung mit deiner Zielgruppe näher auseinanderzusetzen. Falls du mit der praktischen Umsetzung Probleme hast, mach es so wie ich und hol dir Hilfe. Viel wichtiger, als alles selbst zu machen/können, ist zu wissen, wann man auf professionelle Unterstützung setzen sollte – und Vertrauen gehört ganz klar in professionelle Hände.
Wie siehst du dieses Thema? Hast du schon alles für die Sicherheit deiner Webseite getan? Wie wichtig ist Sicherheit für dich selbst? Beeinflusst sie deine Vertrauensbildung? Lass es mich wissen! Ich freue mich auf deinen Kommentar.
Nachtrag: Hier ist Mikes Beitrag zu unseren bisherigen Ergebnissen. Schau unbedingt rein, denn dort zeigt er noch einmal im Detail, welche Änderungen wir vorgenommen haben.
Mag. Elisa Drescher ist Data Protection Enthusiastin, Juristin und Co-Gründerin von SCALELINE LTD, einer Unternehmensberatung für Datenschutzrecht. Nach ihrer Tätigkeit bei einer renommierten Unternehmensberatung für Datenschutz in Deutschland verbindet sie die Anforderungen der DSGVO sowie den nationalen Datenschutzgesetzen in Österreich und Deutschland und vermittelt das für viele sehr trockene Thema Datenschutz auf eine sehr lockere und charmante Weise. Denn Datenschutz geht uns alle an. Und mit SCALELINE wird Datenschutz[R]echt easy.