IT-Sicherheit im E-Commerce aus KMU-Perspektive

Mit welchen IT-Risiken sich kleine und mittlere Unternehmen in Österreich konfrontiert sehen und welche Maßnahmen zur IT-Sicherheit im E-Commerce beitragen, lesen Sie im Interview mit Martin Puaschitz.

Vektorgrafik Monitor mit Onlineshop
E-Commerce aus KMU-Sicht. Foto Adobe Stock

Über 99 Prozent der österreichischen Wirtschaftsbetriebe sind kleinere oder mittlere Unternehmen. Diese sind aus einer Reihe von Gründen anfällig für Cyberkriminalität: Neben fehlender Awareness verfügen viele kleinere Unternehmen oft nicht über die Ressourcen, um in Cybersicherheit zu investieren. Dadurch werden KMU zu leichteren Zielen für Cyberangriffe. In der 2022 vom KSÖ herausgegebenen Studie „Cybersecurity in Österreich“ gaben 67 Prozent der befragten Unternehmen an, bereits von Cyberkriminalität betroffen gewesen zu sein. Zu den spezifischen Formen von Internetkriminalität, denen KMU ausgesetzt sein können, gehören Phishing-Versuche, Ransomware, Datendiebstahl oder etwa auch Denial-of-Service-Angriffe.

Martin Puaschitz, IT-Security-Experte und UBIT-Fachgruppenobmann der Wirtschaftskammer Österreich (WKO), erklärt im Interview, mit welchen Cyberbedrohungen heimische Unternehmen zu kämpfen haben und wo sie Unterstützung im Bereich IT-Sicherheit finden.

Hinweis

Der IT-Security-Experte Thomas Stubbings erklärt im Interview „Ransomware im Firmennetzwerk: Was Sie über den Trojaner wissen sollten“, auf welchem Weg Verschlüsselungstrojaner in das Netzwerk eines Unternehmens gelangen.

Was bedeutet IT-Sicherheit für Onlinehändlerinnen und -händler?
Martin Puaschitz: Ein eigenes Onlineangebot, ohne die IT-Sicherheit laufend im Auge zu behalten, ist fatal. Ohne entsprechende Maßnahmen ist es nur eine Frage der Zeit, bis etwas passiert. Die Auswirkungen können je nach Angriffsszenario recht unterschiedlich sein. Ist der Onlineshop bereits eine veritable Umsatzquelle im Unternehmen, würde der Ausfall direkt zu Umsatzverlust und entsprechenden Reparaturkosten führen. Werden personenbezogene Daten von Kunden gestohlen, muss vonseiten des Unternehmens eine Meldung an die Datenschutzbehörde sowie an alle betroffenen Kunden gemacht werden. Darüber hinaus entscheidet die Datenschutzbehörde über eine etwaige Strafe, die für das Unternehmen durchaus existenzbedrohend sein kann.

Welche IT-Schwachstellen gibt es im Bereich E-Commerce?
Puaschitz: Onlinedienste werden nahezu rund um die Uhr angegriffen. Das liegt daran, dass viele Angriffe automatisiert erfolgen. Die IT-Sicherheit muss also laufend und am besten von Expertinnen und Experten überprüft und sichergestellt werden. Je nach Unternehmensgröße, Menge der gespeicherten Kundendaten oder eingesetzten Standardmitteln wie etwa vorfertigte Onlineshops sollte ein individueller Schutzschirm etabliert werden. Wesentlich sind dabei die laufende Überwachung und Kontrolle sowie das Aktualisieren aller relevanten Komponenten.

Mit welchen konkreten Herausforderungen sehen sich heimische Onlinehändlerinnen und -händler in Bezug auf ihre IT-Systeme konfrontiert?
Puaschitz: Hacking-Angriffe finden oftmals automatisiert statt. Ein größerer Shop kann aber auch Ziel von Organisationen werden, die aus einem Angriff Profit schlagen wollen oder im Auftrag Dritter handeln. Hier bedarf es über die laufenden Updates der eingesetzten Komponenten hinaus noch weiterer Maßnahmen wie zum Beispiel einer Application Firewall. Diese ist herkömmlichen Firewalls dahingehend überlegen, als dass jedes einzelne Datenpaket geöffnet, geprüft, analysiert und freigegeben wird. Diese Systeme werden meist herstellerseitig laufend und automatisch bezüglich neuer potenzieller Gefahren aktualisiert. Dadurch können sogenannte Zero-Day-Exploits abgefangen werden.

Auf welche IT-Schwachstellen sollten Händlerinnen und Händler im E-Commerce generell achten?
Puaschitz: Ein professioneller Onlineshop wird nicht einmalig gebaut und dann jahrelang wie ein Gebäude betrieben. Es gibt eine Vielzahl von notwendigen laufenden Adaptierungsarbeiten. Im Bereich der technischen Sicherheit ist schon viel geschafft, wenn alle Komponenten regelmäßig sämtliche verfügbaren Updates eingespielt bekommen. Betreiberinnen und Betreiber, die einen laufenden Aufwand kalkulieren und IT-Fachleute dafür beauftragen, reduzieren das Risiko eines Vorfalls wesentlich – bei durchaus überschaubaren Kosten.

Neben der IT-Sicherheit ist es aber stets auch ratsam, das eigene Personal vorab über potenzielle Risiken und Methoden zu schulen, damit es entsprechend aufmerksam zum Beispiel gegenüber Phishing-Angriffen ist. Ein Maßnahmenplan für den Fall der Fälle sollte ausgearbeitet, aber auch den betroffenen Unternehmensbereichen bekannt sein.

Wie sieht das IT-Sicherheitsniveau im heimischen E-Commerce aus?
Puaschitz: Die Zahl der Vorfälle steigt jedes Jahr, entsprechend hoch ist der Handlungsbedarf. Eine laufende Betreuung der unternehmenseigenen IT-Infrastruktur, aber auch die sichere Einrichtung von Cloud-Computing durch heimische IT-Fachleute sollte 2023 für Unternehmen aller Größen Standard werden.  

Wo finden Onlinehändlerinnen und -händler professionelle Beratung und Unterstützung für die Sicherheit ihrer Onlineshops?
Puaschitz: Bei externen IT-Beraterinnen und IT-Beratern. Für Wien gibt es eine Suchmaschine der WKO, wo auch nach den jeweiligen Fachgebieten gefiltert werden kann.

Tipp

Wichtige Informationen zur IT- und Datensicherheit für Unternehmer und IT-Verantwortliche finden Sie auch im „IT-Sicherheitshandbuch für KMU“ der WKO.

Letzte Aktualisierung: 30. Oktober 2023

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria