Sicherer geht nicht: 7 Schritte zu einer IT-Sicherheit, der Sie wirklich vertrauen können.

Wo man sich sicher fühlt, da wächst Vertrauen. Eine einfache Feststellung, die auch für Webpräsenz und IT-Infrastruktur Ihres Unternehmens gilt.

Die Skandale häufen sich: Webseiten werden gehackt, Passwörter und Kreditkarteninformationen weiterverkauft. Internetnutzer wissen am Ende nicht mehr, in welche Hände die eigenen Daten gelangen. Die Folge ist steigende Unsicherheit, die sich auch auf das Grundvertrauen in kommerzielle Webseiten und Online-Shops auswirkt. Umso wichtiger ist es, aktiv Vertrauen aufzubauen.

Am meisten Vertrauen schafft ein Nicht-Ereignis: Wenn etwas nicht passiert, wenn das Image des Unternehmens nicht durch den Diebstahl von Millionen Kunden-Datensätzen nachhaltig beschädigt wird. Sorgen Sie also auch für solche Sicherheitsmaßnahmen, die Kunden nicht direkt auffallen. Sprechen Sie aber darüber, welche Priorität Sie der Sicherheit von Kundendaten einräumen. Lassen Sie sich dies durch ein Gütesiegel zertifizieren. „Keine Katastrophe“ macht sich bezahlt.

Wenn Sie es schaffen, dass der Kunde auf Ihrer Website oder in Ihrem Online-Shop ein gutes Gefühl hat, motiviert ihn das nicht nur wiederzukommen, er empfiehlt Sie auch gern weiter: Werden Sie zum Geheimtipp, zu einem Ort, wo man sich online als Kunde gut aufgehoben fühlt.

1) Kundendaten sicher transportieren: Verschlüsselung via https einrichten

Den Datentransport über das Internet sollte man mit Hilfe des SSL/TSL-Protokolls verschlüsseln und sich das von Dritten zertifizieren lassen.

Durch die Verschlüsselung der http-Verbindung beugen Sie „man-in-the-middle“-Angriffen vor. Böswillige Dritte kommen dann nicht mehr an die Daten, die zwischen Sender und Empfänger ausgetauscht werden. Das ist vor allem für sensible Nutzerinformationen relevant, wie Kreditkarteninformationen, Login-Daten oder private Nachrichten. Das schützt die Privatsphäre Ihrer Besucher und Kunden.

Durch ein SSL-Zertifikat bestätigt eine unabhängige Instanz dem Besucher Ihrer Website, dass sie sicher verschlüsselt ist.

Das SSL-Zertifikat erhalten Sie über eine der offiziellen Vergabestellen (genannt Certificate Authority / CA), über Ihren Hosting-Anbieter oder die kostenlose Alternative „Let’s encrypt“. SSL-Zertifikate sind inzwischen auch für KMU erschwinglich oder gar kostenlos.

2) Sorgsamer Umgang mit Daten in der eigenen IT-Infrastruktur

Ein sorgfältiger Umgang mit Kunden- und Unternehmensdaten schlägt sich in einer Reihe von Sicherheitsmaßnahmen nieder. Grundsätzlich müssen sensible Kundendaten, wie Passwörter oder Kreditkartennummern, verschlüsselt abgelegt werden. Der Gesetzgeber regelt das in §13 Abs. 7 Telemediengesetz (TMG).

Maßnahmen zum Schutz der Daten gehen aber noch viel weiter. Dazu gehören ein sicherer Serverraum samt Zutrittskontrolle, eine differenzierte Rechtevergabe, so dass nur diejenigen an Daten kommen, die sie auch benötigen, Firewalls gegen Hackerangriffe, Schulungen von Mitarbeitern in Sicherheitsfragen, zum Beispiel darin, nicht jeden Link in jeder Mail anzuklicken, und ein professionelles Monitoring des Netzwerks, von Hardware, Server, Serverraum und Firewall, so dass Ausfälle von IT-Infrastruktur und Schutzsystemen sowie verdächtiger Traffic schnell erkannt werden können.

Man muss es klar sagen: 100%ige Sicherheit gibt es nicht. Für den Fall, dass trotz aller Vorsichtsmaßnahmen der Daten-Super-GAU eintritt, sollte man ein transparentes und schnelles Katastrophenmanagement vorbereiten: Kunden schnell informieren, kommunizieren, dass man sich kümmert, dem Kunden eine Anleitung an die Hand geben, was er selbst tun kann, Öffentlichkeitsarbeit organisieren und natürlich die Ressourcen besitzen, Sicherheitslücken schnell zu schließen.

3) Daten in der Cloud durch clientseitige Verschlüsselung schützen

Ohne eigene Infrastruktur zum Datenaustausch mit Kunden oder Lieferanten nutzen Mitarbeiter fremde Cloud-Dienste. Die firmeneigene IT-Abteilung hat darüber keine Kontrolle, weiß sogar oft gar nichts davon. Das ist ein Risiko für den Datenschutz und Unternehmensgeheimnisse. Es empfiehlt sich daher, für den Datentransfer eine eigene Lösung zu entwickeln oder mit einem Anbieter einen Dienstleistervertrag einzugehen.

Die Verschlüsselung des Datentransports via SSL ist dabei das Minimum. Die Daten liegen dann allerdings immer noch unverschlüsselt auf dem Server. Eine serverseitige Verschlüsselung behebt dieses Manko, hat aber weiterhin den Nachteil, dass der Schlüssel zum Entschlüsseln ebenfalls auf dem Server liegt. Am sichersten ist eine clientseitige Lösung, bei der der Server auf den Client angewiesen ist, um Daten zu entschlüsseln.

4) Kostenloser Website-Check auf Malware mit Initiative S

Ob Ihre Website bereits Teil eines Botnetzes für Phishing-Mails, Wirtschaftsspionage oder Websiteausfälle ist? Bevor Sie spontan empört verneinen: Deutsche Seiten sind als Angriffsziel sehr beliebt. Deshalb sollten gerade deutsche Unternehmen ein besonderes Augenmerk darauf haben, dass der eigene Webauftritt nicht missbraucht wird. Dank der „Initiative S“, einem Angebot des Bundesministeriums für Wirtschaft und Energie, geht das recht einfach: Sie können Ihre Website kostenlos testen lassen.

Melden Sie sich unter www.initative-s.de für eine Untersuchung Ihrer Website auf Malware an. Sollten Viren oder Trojaner entdeckt werden, erhalten Sie via Mail eine Anleitung zum Entfernen. Ein Expertenteam steht für Ihre Fragen zur Verfügung.

Danach sorgen Sie am besten dafür, dass Malware keine Chance mehr hat.

Die Mozilla Foundation bietet übrigens auch einen einen kostenlosen Security-Check an. 

5) Die Einhaltung rechtlicher Vorgaben transparent gestalten

Es gibt weitere Bausteine, mit denen Sie bei potenziellen Kunden Vertrauen aufbauen können: Dazu gehört der transparente Umgang mit Formalien und die Einhaltung von Datenschutzvorgaben. Damit erreicht man nicht nur Rechtssicherheit, sondern signalisiert Kunden, die dafür einen Blick haben, auch, dass man Profi ist und sorgfältig arbeitet. Dazu gehören eine klare Formulierung der AGB, ein unkomplizierter Zugang zum vollständigen Impressum und die Einhaltung von Datenschutzvorgaben, wie beispielsweise bei Nutzung von Google Analytics.

6) Eine Website-Struktur, die Vertrauen schafft (Usability)

Eine Website, die ein klares Design hat, die übersichtlich und nutzerorientiert aufgebaut ist, wirkt von Anfang an vertrauenserweckender. Weder sollten plötzlich Fehlermeldungen auftauchen noch nervige Werbebanner. Und die Seite sollte schnell laden. Dauert das Laden zu lange, könnte Misstrauen entstehen, ob da nicht auch Unerwünschtes mitgeladen wird.

Eine gute Navigation, die einen zielstrebig zum Ziel führt und nicht irgendwo stranden lässt, gibt dem Kunden ein Gefühl der Kontrolle. Das ist wichtig, denn Kontrollverlust kann zum Abrücken von einer Kaufabsicht führen. Usability ist also ein unbedingtes Kriterium der Website-Gestaltung.

Ein kleiner Tipp: Sie wollen wahrscheinlich nicht, dass der Kunde während des Bestellvorgangs wieder Schritte zurückgeht. Verwehren sollten Sie es ihm aber nicht. In der Falle zu sitzen kann zu Frustration führen, der Kontrollverlust zu negativen Emotionen gegenüber Ihrer Firma.

7) Mit Nutzerinteraktion Vertrauen aufbauen

Schaffen Sie zuverlässige Kontaktmöglichkeiten und ermöglichen Sie Kunden Feedback zu geben. Stehen Sie auf Facebook und anderen Plattformen für Fragen, Beschwerden und Anregungen zur Verfügung. Keinesfalls sollte der Kontakt auf weit entfernten Unterseiten versteckt sein. Vermitteln Sie durch Erreichbarkeit, dass Sie als Unternehmen nichts zu verbergen haben.

Geben Sie Ihrem Unternehmen ein Gesicht! Zeigen Sie etwas Handfestes, worunter der Besucher sich etwas vorstellen kann. Das können Hintergrundinformationen über Ihr Unternehmen sein, Fotos vom Firmensitz, Mitarbeiterprofile oder aktuelle Neuigkeiten. Durch den Blick hinter die Kulissen können sich Besucher davon überzeugen, es nicht mit einer virtuellen Briefkastenfirma zu tun zu haben. Je realer das Unternehmen sich selbst präsentiert, desto mehr Vertrauen in die Prozesse und Produkte entsteht.

Bekommt man schnell Antworten, dann wächst auch das Vertrauen, dass man bei Bestellproblemen schnell Hilfe bekommt und nicht auf dem Problem sitzen bleibt.  Antworten sollte kein Anrufbeantworter, sondern ein professionelles Team. Geben Sie Ihren Kunden einfach das Gefühl, in guten Händen zu sein.