Der Gebrauch von Cookies erlaubt uns Ihre Erfahrung auf dieser Website zu optimieren. Wir verwenden Cookies zu Statistikzwecken und zur Qualitätssicherung. Durch Fortfahren auf unserer Website stimmen Sie dieser Verwendung zu.

Erfahren Sie mehr

06.04.2020 So kommen Händlerinnen und Händler zu einem Online-Shop

Am Österreichischen Wirtschaftsstandort sind Organisationen und Unternehmen in ihrem Betriebsablauf zum Verkauf von Waren immer häufiger auf das Internet angewiesen.

Dieser Artikel beantwortet die Frage, wie Sie zu einem Online-Shop als Händlerin oder Händler kommen. Es gilt, Transparenz ist beim Online-Shopping neben der Sicherheit der geschätzten Kundinnen und Kunden ganz besonders hervorzuheben und sollte von Beginn an in Ihre Planungen einfließen. Störungen der Online-Shops können damit großen Einfluss auf die Handlungsfähigkeit eines Unternehmens bzw. auf die Reputation haben, denn Sie wollen ja Ihre Transaktionen quasi „rund um die Uhr” abwickeln und herausragende Serviceleistung für Ihre Kundinnen und Kunden bieten. Der Online-Shop muss demnach für Kundinnen und Kunden quasi jederzeit verfügbar sein.

Die folgenden vier Aspekte können Sie bereits frühzeitig berücksichtigen, damit Sie zu einem Online-Shop für Ihr offiziell registriertes Unternehmen kommen.

  • Zumindest zu beachtende Rechtliche Grundlagen
  • Drei notwendige Schritte zum Online-Shop
  • Allgemeine Verhaltensweisen
  • Optionen aus der Perspektive der IT-Sicherheit

Für die vier oben beschriebenen Aspekte werden vier Fragen abgeleitet, deren Antworten Sie im Anschluss finden. 

Welche Rechtlichen Aspekte sind zumindest zu berücksichtigen?

  • Datenschutzgrundverordnung (DSGVO)
  • Datenschutzgesetz (DSG)
  • Fern- und Auswärtsgeschäfte-Gesetz (FAGG)
  • Konsumentenschutzgesetz (KSchG)
  • Mediengesetz (MedienG)
  • Urheberrechtsgesetz (UrhG)
  • Wettbewerbsgesetz (WettbG)

Prüfen Sie genau, welche ausgewählten Rechtsgrundlagen für Ihren Online-Shop zweckmäßig bzw. relevant sind. Über die sieben relevanten Rechtsgrundlagen sind noch weitere Bestimmungen anwendbar. Details dazu finden Sie unter anderem auf help.gv.at. Neben rechtlichen Randbedingungen sind noch allgemeine Aspekte zu beachten, wenn Sie einen Online-Shop betreiben wollen.

Welche drei notwendigen Schritte sind erforderlich, um zum Online-Shop zu kommen?

Kurz zusammengefasst sind drei wesentliche Arbeitsschritte zum Online-Shop:

  • Einhalten der erforderlichen Rechtsgrundlagen (siehe voriger Abschnitt)
  • Aufsetzen eines Shopsystems auf einer geeigneten technischen Infrastruktur unter frühzeitiger Berücksichtigung der IT-Sicherheit für Ihre registrierte Internet-Domäne
  • Regelmäßiges Prüfen der IT-Sicherheit des betriebenen Online-Shops und Warten der Infrastruktur

Ihre Internet-Domäne können Sie auf nic.at (oder bei alternativen zuverlässigen Anbietern) registrieren lassen. Dieser Artikel geht in weiterer Folge etwas detaillierter auf die relevanten Verhaltensweisen und Aspekte vor dem Hintergrund der IT-Sicherheit ein:

Welche generellen Verhaltensweisen zum Betrieb eines transparenten Online-Shops gibt es?

  • Sorgen Sie für absolut unzweifelhafte Transparenz. Verheimlichen Sie keine Kosten (wie z.B.: Liefergebühren) und stellen Sie auf der Webseite Ihres Online-Shops umfangreiche Kontaktdaten zur Verfügung. Manchmal ist es sogar besser, mehr Angaben zu machen, als die jeweilige Rechtsgrundlage Sie dazu verpflichtet. Relevant kann dies beispielsweise bei anzugebenden Kontaktdaten in Verbindung mit den Offenlegungspflichten nach dem Mediengesetz sein. Dabei wird etwa zwischen einer sogenannten „Kleinen Webseite“ im Vergleich mit einer sogenannten „Großen Webseite“ unterschieden. Details dazu finden Sie auf help.gv.at.
  • Prinzip der Datenminimierung. Speichern Sie nur absolut notwendige Kundendaten, die zur Erfüllung der Geschäftsbeziehung erforderlich sind in Ihren Systemen. Eine solche Vorgehensweise trägt sehr stark zur Vertrauensbildung bei.
  • Gängiges Shopsystem verwenden. Weit verbreitete Shop-Systeme sind vordergründig deswegen weit verbreitet, weil diese sich über viele Jahre bewährt haben. Nicht nur vor dem Hintergrund der IT-Sicherheit ist ein zentral gewartetes aber an Ihre Bedürfnisse individualisiertes Shop-System ganz besonders hilfreich, da auch die Usability oftmals sehr gut ist. Darüber hinaus verwenden große Webseiten sogenannte Content-Management-Systems (CMS). Damit ist auch mit geringen Programmier-Kenntnissen der Betrieb eines Online-Shops durchführbar.
  • IT-Infrastruktur bei spezialisiertem Anbieter in Österreich oder der EU. Wählen Sie einen Anbieter für IT-Infrastruktur, der sich darauf spezialisiert hat. Dabei kann es sich um einen reinen Anbieter von sogenannten „virtuellen Servern“ handeln oder um einen Anbieter, der das gesamte Shop-System zur Verfügung stellt. Achten Sie darauf, dass der Anbieter für die Infrastruktur die technischen Systeme nur innerhalb Österreichs oder der EU betreibt.
  • Bereiten Sie sich auf KäuferInnen vor, die in betrügerischer Absicht handeln. Insbesondere bei Warenrücksendungen sollten Sie prüfen, ob die Ware auch tatsächlich im Paket enthalten ist. Darüber hinaus können Sie mittels Probebuchungen von „Kleinstbeträgen“ verifizieren, ob eine angegebene Bankverbindung oder eine Kreditkarte auch tatsächlich existiert.

Was kann aus der Perspektive der IT-Sicherheit berücksichtigt werden?

Einleitend ist vor dem Hintergrund der DSGVO zu bedenken, dass die Umsetzung geeigneter IT-Sicherheit durch diese Verordnung auch die Auftragsverarbeitenden betrifft. Das bedeutet, dass beispielsweise Besucher-Tracking, Newsletter-Versand, Warenversand sogenanntes „Fulfilling“, Server-Hosting oder das Shopsystem davon umfasst sind.

  • Gleich zu Beginn IT-Sicherheit planen und integrieren. Nicht nur wegen der Anforderungen der Datenschutzgrundverordnung oder des Datenschutzgesetzes sollten Sie bereits zu Beginn Ihrer Überlegungen IT-Sicherheitsaspekte berücksichtigen. Denn die Sicherheit der Kundinnen und Kunden sowie derer Daten sollte schon alleine aus Transparenzgründen bzw. aus Gründen einer erfolgreichen Geschäftsbeziehung die absolute Priorität Nr. 1 genießen.
  • Zuverlässiges Shop-System auswählen. Zentral entwickelte und für Shop-Betreiber individualisierte Systeme eignen sich sehr gut für die rasche Behebung eventueller Sicherheitslücken.
  • Aktualisieren der eingesetzten Software. Aktualisieren Sie alle beteiligten Software-Komponenten, damit rechtzeitig Sicherheitslücken geschlossen werden können. Damit reduzieren Sie die Angriffsfläche erheblich. Insbesondere sollten Sie dabei beim Shopsystem bzw. der verwendeten Server-Infrastruktur auf regelmäßige Sicherheitsaktualisierungen achten.
  • Awarenessbildung für die Mitarbeiterinnen und Mitarbeiter. Ihre Mitarbeiterinnen und Mitarbeiter sind den Umgang mit Online-Shops aus der Betreiber-Sicht vermutlich nicht gewöhnt. Schulen Sie Ihre Mitarbeiterinnen und Mitarbeiter, damit die Sicherheit der Kundendaten verbessert werden kann.
  • So wenig wie möglich aber so viel wie notwendig Programme. Reduzieren Sie die Anzahl der aktivierten Programme und Applikationen auf ein absolut notwendiges Minimum. Stellen Sie nur Dienste nach außen zur Verfügung, die absolut zwingend notwendig sind.
  • Verschlüsselte Kommunikation über Serverzertifikate. Setzen Sie für gesicherte Verbindungen mittels https digitale Zertifikate ein. Erhältlich sind solche Zertifikate beispielsweise beim Österreichischen Anbieter „A-Trust“. Damit erhöhen Sie die Seriosität Ihrer Homepage und stärken darüber hinaus gleichzeitig das Vertrauen Ihrer Kundinnen und Kunden.
  • Verschlüsselte Speicherung von Kundendaten. Setzen Sie aktuelle Verschlüsselungsmethoden für die Speicherung der Kundendaten ein, um potenzielle Risiken zu minimieren, sofern das nicht schon durch das ausgewählte Shopsystem vorgegeben ist. Im Idealfall verschlüsseln Sie die Datenbank und die Daten selbst.
  • Zugangsdaten nicht im Klartext speichern. Die Speicherung von Zugangsdaten (z.B.: Passwörter) Ihrer Kundinnen und Kunden sollte niemals im Klartext erfolgen. Demnach ist es ganz besonders wichtig, die Daten mittels Hashfunktionen abzuleiten in die sogenannte „Salts“ einfließen und nur diese resultierenden Hashes zum Abgleich abzuspeichern, damit diese nicht im Klartext vorliegen.
  • Schützen des Kundenkontos mit Zugangsregeln. Stellen Sie für Kundenkonten eine 2-Faktor-Authentifizierung mit zwei voneinander unabhängigen Faktoren ein (2 aus 3: Besitz, Wissen, Inhärenz/Biometrie). Darüber hinaus sollten Sie bei der Verwendung von Passwörtern einfache, aber sichere Passwort-Regeln vorschreiben. Details zu sicheren Passwörtern finden Sie auf onlinesicherheit.gv.at oder im Österreichischen Informationssicherheitshandbuch.
  • TLS-Verbindung auf gesamter Seite. Nicht nur für den Bezahlvorgang oder einen ausgewählten Kundenbereich, sondern für das vollständige Nutzungserlebnis Ihrer Kundinnen und Kunden sollten Sie TLS-geschützte Verbindungen verwenden.
  • Geeigneten Prozess für die Passwortwiederherstellung umsetzen. Verschicken Sie niemals Passwörter per E-Mail – ganz besonders nicht im Klartext. Im Idealfall gibt es eine sichere Funktion, die von der Kundin bzw. vom Kunden ausgelöst wird, damit das Passwort erneuert werden kann. Diese Prozesse sollten protokolliert werden.
  • Schutzmaßnahmen gegen DDoS-Angriffe einsetzen. Damit Ihr Online-Shop nicht so leicht Opfer eines DDoS-Angriffs wird, sollten Sie passende Schutzvorkehrungen gegen solche Angriffe umsetzen. Dabei handelt es sich beispielsweise um netzwerk-basierte oder host-basierte WAFs.
  • Single Point of Failure“ vermeiden. Stellen Sie ihren Online-Shop redundant auf. Das bedeutet, es ist sehr zu empfehlen die Netzwerkanbindung, Firewalls, die Serverinfrastruktur und andere technische Komponenten mehrfach, also redundant auszulegen. Auch redundant ausgelegte Komponenten müssen mit vergleichbarem Sicherheitsniveau geschützt werden.
  • Installieren eines Queueing-Systems um Überlastung zu vermeiden. Greifen Sie auf die Möglichkeit von sogenannten Queueing-Systemen zurück. Damit können Sie den Traffic auf der Webseite einschränken und gezielt lenken. Besonders hilfreich ist das, wenn Sie nur beschränkte Ressourcen für Ihre technische Infrastruktur haben und die Auslastung der Server hoch ist.
  • Fokus auf Verfügbarkeit und Partitionstoleranz legen. Online-Shops sind oftmals verteilte Systeme mit vielen Knoten, die verfügbar sein müssen. Darüber hinaus legen sehr viele berühmte Online-Shops großen Wert auf sogenannte „Partitionstoleranz“, die auch als „Ausfallstoleranz“ bezeichnet wird. Das bedeutet, ein System arbeitet auch dann noch korrekt weiter, wenn Bestandteile ausfallen.
  • Externe Sicherheitstests durchführen lassen. Im Idealfall lassen Sie Ihren Online-Shop durch externe Security-Tests oder auch „Penetration-Tests“ genannte Testverfahren prüfen, damit Sie Schwachstellen identifizieren und anschließend beheben können.
  • Online-Shop zertifizieren lassen. Eine Zertifizierung durch eine unabhängige Stelle erhöht das Vertrauen, da diese nach einem nachvollziehbaren Prozess prüft und zum Zeitpunkt der Ausstellung des Zertifikats die Erfüllung der geprüften Anforderungen bestätigt. Anzumerken ist, dass die Reputation der Stelle für die Aussagekraft eines ausgestellten Zertifikats ganz besonders wichtig ist. Ein relevantes Beispiel für eine Zertifizierung ist das Österreichische E-Commerce-Gütezeichen

Es ist mit der Unterstützung spezialisierter Anbieter gut machbar, einen sicheren, einfach zu bedienenden und zuverlässigen Online-Shop aufzusetzen. Wenn Sie von Beginn an in adäquate Sicherheitstechnologie investieren und die verwendeten Sicherheitsverfahren regelmäßig aktualisieren, dann trägt das einerseits zur Vertrauensbildung bei und andererseits zu einem Schutz der Ihnen anvertrauten Kundendaten.

Weitere Details zur Gründung eines Online-Shops

Weitere Details zur Digitalisierung von Kaufprozessen

Weitere Details zu anwendbaren Rechtsgrundlagen

Weitere Details zum sicheren Betrieb von Webseiten 

Datum der Veröffentlichung: 06.04.2020

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria