Sieben effektive Maßnahmen für sicheren B2B-Webshop-Betrieb
Eine klassische Situation im B2B-Mittelstand in puncto E-Commerce: Der Webshop wird als strategischer Vertriebskanal positioniert, der zwar – noch – keinen großen Anteil am Gesamtumsatz ausmacht, aber viel dazu beiträgt, Order-Prozesse, Vertriebsstrukturen und Leadgenerierung zu optimieren. Häufig ist mit dem Webshop auch das Ziel verbunden, neue Geschäftsmodelle zu erschließen. Komplexe Anforderungen bei knappen Ressourcen – deshalb stehen beim Betrieb des Webshops Sicherheit und Effizienz im Fokus.
Ist dies gewährleistet, können sich mittelständische Unternehmen auf den strategischen Ausbau ihres elektronischen Handelskanals konzentrieren. Es gilt, E-Commerce-Kompetenzen kontinuierlich intern aufzubauen und weiterzuentwickeln mit dem Ziel, das Wachstumsgeschäft Online-Handel mit seinen vielfältigen Geschäftsmodellen selbst aktiv zu steuern.
Ein gesunder Ansatz, der bewährt und erfolgsversprechend ist – wenn die typischen Stolperfallen für einen zuverlässigen Webshop-Betrieb erkannt und vermieden werden, wie die Projekterfahrung von Sana Commerce mit Projekten für B2B-Webshop-Migrationen und -Modernisierungen zeigt:
- Die Basis: Sichere E-Commerce-Software
Sicherheit beginnt mit dem Quellcode. Es sollte daher darauf geachtet werden, dass zum einen die E-Commerce-Software selbst konsequent den Richtlinien von Open Web Application Security Project (OWASP) folgt, die unabhängig Standards und Maßnahmen für sichere Web-Anwendungen erarbeitet. Zudem sollte der Webshop zur Kommunikation zwischen Benutzern und Websites sowie zwischen zwei Systemen (etwa Webshop und ERP-System) Secure Socket Layer- (SSL) oder das aktualisierte Transport Layer Security- (TLS) Protokoll nutzen, um Daten während der Übertragung zu kodieren.
- Der Nachweis: Zertifizierte System-Integrationen
Individuell programmierte Schnittstellen zwischen Webshops und Drittsystemen sind in der Pflege aufwendig und damit ein potenzielles Sicherheitsrisiko. Maximalen Schutz hingegen bieten echte Integrationen – etwa mit ERP-Systemen wie Microsoft Dynamics oder SAP – die von den jeweiligen Anbietern zertifiziert sind und einer kontinuierlichen Sicherheits- und Funktionsprüfung unterliegen.
- Die Konformität mit geltendem Recht: DSGVO-Grundätze in Software-Architektur verankert
Grundsätzlich gilt: Je weniger personenbezogene Daten im Webshop-System selbst gespeichert oder verarbeitet werden (sondern nur durch Integration mit bereits DSGVO-konformen Backoffice-Systemen wie dem ERP über sichere Verschlüsselung übermittelt werden – siehe SSL), umso weniger zusätzliche DSGVO-Stolperstellen treten auf. Neben diesem Grundsatz ersparen sich Mittelstandsunternehmen viel Administrationsaufwand, wenn die Webshop-Software von vornherein DSGVO-konform ist und über Updates kontinuierlich auch Neuerungen integriert werden – wie etwa die Grundsätze des Privacy-by-Default und Privacy-by-Design im Hinblick auf Datenschutz durch Technikgestaltung bzw. durch datenschutzfreundliche Voreinstellungen.
- Die Schutzzonen: Standards für sicheren Datenverkehr
Sowohl für den Webshop als auch jeweils für angebundene Systeme wie ERP oder PIM (Product Information Management) eingerichtete Firewalls sorgen für eine mehrstufige Sicherheit. Eine DMZ (demilitarisierte Zone), die den direkten Zugriff auf einen Server mit Unternehmensdaten durch externe Nutzer verhindert, bietet zusätzlichen Schutz. Effektiv und einfach sind auch Whitelists mit IP-Adressen, die den Zugriff auf den Admin-Bereich des Webshops einschränken.
- Der gesicherte Zahlungsverkehr: Provider mit PCI DSS-Zertifizierung
Daten zu Zahlungsvorgängen haben im Webshop nichts verloren. Aus Sicherheits- und Effizienzgründen lohnt es sich, die Services von einem Payment-Service-Provider (PSP) mit PCI DSS Zertifizierung in Anspruch zu nehmen, der alle für ein Unternehmen relevanten Zahlungsmodelle aus einer Hand übernehmen kann. So muss man nur eine Schnittstelle im Webshop integrieren und profitiert – je nach Anbieter – von Zusatzservices wie intelligente Betrugsprävention, automatisiertes Mahnwesen oder Mechanismen für wiederkehrende Zahlungen bzw. Recurring Payments.
- Der doppelte Boden: Back-up-Strategie im Betrieb
Für das Back-up und damit die Hochverfügbarkeit aktiver Webshops bieten sich zwei Maßnahmen an, die ebenso wirkungsvoll wie wenig aufwendig sind: Die eine ist, ein Failover-System mit mehreren Webshop-Instanzen einzurichten. So ist sichergestellt, dass auch bei einzelnen Server-Ausfällen der Online-Handel unterbrechungsfrei läuft. Die zweite Maßnahme ist das Hosting des Webshops bei einem Provider, der mit hoch-redundanten Speichersystemen zuverlässig vor Datenverlusten schützt.
- Die realistische Einschätzung der eigenen Möglichkeiten: Cloud- und SaaS-Modelle
Spürbare Entlastung bei vielen Sicherheitsfragen schaffen Webshops als SaaS-Lösung (Software-as-a-Service) in Cloud-Umgebungen, die anerkannt und bewährt sind. In der Regel können Mittelstandsunternehmen nur schwer die Sicherheitskriterien erfüllen, wie sie etwa Microsoft Azure mit seinem Datencenter auch in Deutschland bietet. Werden Zertifizierungen nach Industriestandards nachgewiesen – wie ISO 27001 – ist das maximal mögliche getan, um nicht nur Hacker-Angriffe abzuwehren. SaaS-Lösungen in Azure sind kontinuierlich auf dem neuesten Stand, was beispielsweise auch rechtliche Anforderungen wie die bereits genannte DSGVO betrifft, und sie gewährleisten auch, dass ein Webshop stets mit den aktuellsten Sicherheitsfeatures ausgerüstet ist.
Wer diese sieben Aspekte bei der Auswahl und dem Betrieb von B2B-Webshops berücksichtigt, kann mit wenig Aufwand hohe technische Sicherheitsstandards für seinen Webshop gewährleisten. Sie zeigen auch, dass es selbst bei knappen technischen und personellen Ressourcen möglich ist, einen zuverlässigen Webshop zu betreiben und Ideen für Umsatzmöglichkeiten durch E-Commerce umzusetzen.
Von Johan Janssens, Senior Global Pre-Sales Consultant, Sana Commerce
