Aber auch etablierte mittlere und große Unternehmen haben hier ihre Probleme: Waren früher noch USB-Sticks Synonym für einen unkontrollierten Datenabfluss, haben heute Cloud-Speicherdienste die Situation verschärft: Die Mitarbeiter wollen immer und überall mit allen Endgeräten auch auf ihre beruflichen Daten zugreifen können. Gerade für E Commerce-Händler, die erhebliche Mengen an sensiblen personenbezogenen Daten verarbeiten, ist es eine große Herausforderung, mit dieser Entwicklung Schritt zu halten.

Die aktuelle Studie „Informationssicherheit im E-Commerce“ der ibi research GmbH (mit Unterstützung der Brainloop AG) identifiziert den aus Händlersicht drängendsten Handlungsbedarf hinsichtlich Informationssicherheit und Datenschutz, dem sich E Commerce-Händler stellen müssen. Dabei stehen organisatorische Maßnahmen im Vordergrund: Sie stellen das Fundament für alle anderen Maßnahmen dar und sorgen für Struktur und Awareness.

Um den Kunden zu zeigen, dass ihre Daten in sicheren Händen sind, setzen viele Händler beispielsweise auf Gütesiegel. Aber eignen sichGütesiegel wirklich als Indikator für den korrekten Umgang mit personenbezogenen Daten? Verschlüsselte Übertragungswege vom Kunden zum Shop-System sind zwar hilfreich, mindestens genauso wichtig sind jedoch geschulte Mitarbeiter und kommunizierte Regeln im Umgang mit sensiblen Daten.

Wie gehen die E-Commerce-Händler mit diesen Daten in ihrem Backoffice um? Welchen Stellenwert nehmen Informationssicherheit und Datenschutz im Unternehmen ein? Werden die Mitarbeiter regelmäßig geschult oder „jonglieren“ sie mit den Kundendaten in ihren privaten Dropbox-Accounts? Wie real sind überhaupt die Gefährdungen durch kriminelle Handlungen für E-Commerce-Händler?

Diese und weitere Fragen werden in der Studie der ibi research GmbH untersucht. Im Zeitraum von November 2013 bis März 2014 wurden E-Commerce-Händler und deren Mitarbeiter mittels einer online-gestützten Umfrage zu fünf Themenbereichen rund um Informationssicherheit und Datenschutz befragt. Von den Rückläufern konnten nach qualitätssichernden Maßnahmen 119 für die Studie verwertet werden.

Auch wie wichtig diese Instrumente sind zeigen die Daten der Umfrage. In Unternehmen, in denen Anweisungen seitens der Geschäftsführung zu Informationssicherheit und Datenschutz existieren, haben diese Themen einen erheblich höheren Stellenwert als in Unternehmen, in denen keine solchen Anweisungen existieren. Dies ist nicht verwunderlich: Alleine die Tatsache, dass sich die Geschäftsführung zur Erstellung der Policies aktiv mit Informationssicherheit und Datenschutz beschäftigen muss, ist hilfreich, damit die Themen den richtigen Stellenwert im Unternehmen erhalten. Darüberhinaus schulen die Unternehmen ihre Mitarbeiter wesentlich häufiger: Ihre Mitarbeiter haben deutlich bessere Kenntnisse bei Themen wie zum Beispiel „Risiken und Bedrohung der IT-Nutzung“, „Grundlagen der IT-Sicherheit“ oder „Social Engineering“ . Mitarbeiter von Unternehmen, in denen keine Anweisungen existieren, wünschen sich dagegen, erheblich stärker geschult zu werden.

Gütesiegel erfreuen sich bei Betreibern von Onlineshops großer Beliebtheit. 41 % der Befragten, deren Unternehmen einen eigenen Onlineshop betreiben, gaben an, dass dieser für ein Gütesiegel zertifiziert ist. Von denen, die noch kein Gütesiegel verwenden, planen 35 % eine Zertifizierung.

Informationssicherheit und Datenschutz sind integraler Bestandteil der Prüfkriterien aller verbreiteten Gütesiegel im E-Commerce. Die Initiative D21 hat Qualitätskriterien formuliert, welche die Anbieter der Gütesiegel bei der Überprüfung der Onlineshops beachten sollten. Unter anderem heißt es darin: „Der Integrität und Authentizität der Anbieterinformationen sowie der Integrität und Vertraulichkeit der gesamten Daten der Geschäftsabwicklung ist durch ein geeignetes IT-Sicherheitskonzept Rechnung zu tragen“. Diese Sicherheitsziele sind auch Kernbestandteile von internationalen Standards wie beispielsweise der ISO/IEC 2700x Normenreihe. Unternehmen, die Zertifizierungen für diese Standards durchführen, haben in der Regel einen enorm hohen initialen Aufwand den Anforderungen gerecht zu werden.

Bei E-Commerce-Händlern war der initiale Aufwand bezüglich Informationssicherheit und Datenschutz für eine Zertifizierung hingegen überwiegend gering. Nur knapp ein Drittel der Befragten hatte den Eindruck, dass die Zertifizierung hilfreich für die Themen Informationssicherheit und Datenschutz war. Ein ähnliches Bild ergibt sich bei den Unternehmen, die planen, sich für ein Gütesiegel zertifizieren zu lassen: Nur 37 % glauben, dass die geplante Zertifizierung zu Verbesserungen für die Themen Informationssicherheit und Datenschutz führt.

Besonders kritisch hervorzuheben ist, dass lediglich in 55,3 % der Unternehmen, die bereits für ein Internet-Gütesiegel zertifiziert sind, Anweisungen zu den Themen Informationssicherheit und Datenschutz existieren. Wie ein „IT-Sicherheitskonzept“ ohne Einbeziehung der Mitarbeiter aussehen kann, welches „Integrität und Vertraulichkeit“ gewährleisten soll, ist äußerst fraglich.

57 % der Unternehmen nutzen bereits Cloud-Speicherdienste wie zum Beispiel Dropbox, OneDrive, Google Drive oder Telekom Cloud. Für die Mitarbeiter verspricht dies in der Regel hohen Komfort: Sie können von überall auf die Unternehmensdaten zugreifen und die Zusammenarbeit mit Kollegen vereinfacht sich. Auch aus Sicht der IT-Abteilungen sind Cloud-Speicherdienste komfortabel. Die Versionierung und das Backup von Datenbeständen werdendamit erheblich vereinfacht. Dieser Komfort hat aber auch seine Schattenseiten. Für das Unternehmen wird es erheblich schwerer zu kontrollieren, wohin die eigenen Daten fließen. In fast der Hälfte der Unternehmen, die Cloud-Speicherdienste einsetzen, greifen die Mitarbeiter mit privaten Endgeräten auf berufliche Daten zu. Was mit den Unternehmensdaten auf den privaten Endgeräten passiert und wie die privaten Endgeräte vor Angreifern geschützt sind, ist für Unternehmen nur schwer nachzuvollziehen. Noch gefährlicher ist jedoch die Situation, dass Mitarbeiter Cloud-Speicherdienste selbst im Unternehmen „implementieren“ und einfach ihre privaten Accounts für ihr berufliches Umfeld nutzen. 26 % der Befragten gaben an, dass sie in ihrer beruflichen Nutzung nicht zwischen beruflichen und privaten Konten bei Cloud-Speicherdiensten trennen.

Spätestens hier wird klar, dass technische Vorkehrungen diese Probleme nur ungenügend lösen können. Es bedarf klarer Anweisungen der Geschäftsführung, wie mit Cloud-Speicherdiensten gearbeitet werden soll. Auch dann, wenn im Unternehmen keine Cloud-Speicherdienste zum Einsatz kommen, sollte dies den Mitarbeitern kommuniziert und erklärt werden. Anweisungen bezüglich des Umgangs mit Cloud-Speicherdiensten wirken sich auch unmittelbar aus: In Unternehmen, in denen Anweisungen zu Cloud-Speicherdiensten seitens der Geschäftsführung existieren, werden Daten erheblich häufiger verschlüsselt, bevor sie bei den Diensten abgelegt werden, die Mitarbeiter kennen sich besser mit den rechtlichen Rahmenbedingungen der Cloud-Speicherdienste aus, sie trennen strikt zwischen privaten und beruflichen Konten und greifen erheblich seltener mit privaten Endgeräten auf berufliche Daten zurück.Von solchen Anweisungen machen aber nur 36 % der Unternehmen, die Cloud-Speicherdienste einsetzen, Gebrauch.

Die Dunkelziffer dürfte noch um einiges höher sein. Zum einen befürchten viele Händler Reputationsschäden bei Bekanntwerden von derartigen Vorfällen und machen deswegen generell keine oder falsche Angaben. Zum anderen ist ein Delikt wie Datendiebstahl nicht ohne Weiteres verdachtsunabhängig feststellbar.

Bei vielen E-Commerce-Händlern beschränken sich Informationssicherheit und Datenschutz leider auf ihre Shop-Systeme. Von einem strukturierten Vorgehen oder gar einem Konzept kann viel zu häufig keine Rede sein. Damit gefährden die Händler nicht nur ihren eigenen geschäftlichen Fortbestand, auch den Kunden drohen zahlreiche Unannehmlichkeiten, wenn zum Beispiel Zahlungsdaten in die falschen Hände gelangen.

Die Geschäftsführungen aller Unternehmen, die im E-Commerce tätig sind, sollten zumindest ein Grundlagenwissen zur Informationssicherheit aufweisen können. Datenschutz liegt in der Verantwortung der Geschäftsführung. Dieser Aufgabe kann im E-Commerce ohne Grundlagenwissen zur Informationssicherheit nicht nachgekommen werden. Dabei ist die Größe des Unternehmens irrelevant. Die Kundendaten eines gerade erst gegründeten Kleinstunternehmens sind im selben Maße schutzwürdig wie die Kundendaten eines etablierten großen Unternehmens.