Kennen Sie das? Ihre Onlineagentur soll für Ihren Onlineshop eine digitale Zahlungsart wie Amazon Pay einrichten. Damit sie die Zugangsdaten für die Zahlungsabwicklung abrufen kann, geben Sie der Einfachheit halber Ihren Amazon-Pay-Zugang inkl. des zugehörigen Passworts weiter, damit der Dienstleister Ihren Shop entsprechend konfigurieren kann. Wenn Sie das so oder so ähnlich bereits erlebt haben, arbeiten Sie noch nicht mit personalisierten Accounts und sollten unbedingt weiterlesen.
Bei Zugangsdaten gilt: Sicherheit über (vermeintlichen) Komfort
Viele sind sich dabei häufig keines Problems bewusst. Das ist möglicherweise sogar auf den ersten Blick nachvollziehbar. Denn das ursprüngliche Problem ist ja gelöst, der Onlineshop funktioniert, bringt vielleicht sogar den geplanten Umsatz und Sie als Kunde sind zufrieden.
Im TYPO3-Umfeld ist das Rechtemanagement durchaus eine Herausforderung. Die meisten Kunden haben verschiedenste Mitarbeitergruppen, die alle unterschiedliche Zugriffsrechte im Backend bekommen sollen. Zusätzlich müssen auch unsere Entwickler einen Blick ins Backend werfen können – meist benötigen sie einen Administratorzugang, um Extensions zu konfigurieren, auf Fehlersuche zu gehen oder – ganz allgemein – die Installation zu betreuen. Kommen dann auch noch Entwicklungssysteme hinzu, so wird das Ganze schnell komplex und muss aufwändig betreut werden.
Das Content Management System (CMS) TYPO3 hat festgelegte Update- und Support-Zeiträume. Hinter TYPO3 steht nicht nur eine große Entwickler-Community, die das CMS stets weiterentwickelt , sondern auch eine eingetragene Firma – die TYPO3 GmbH, die zusätzliche Leistungen anbietet.
Die Entwickler-Community unterstützt jede LTS-Version für je 3 Jahre mit regelmäßigen Sicherheits- und Wartungsupdates. Alle 18 Monate wird zudem eine neue, stabile major Version von TYPO3 CMS veröffentlicht, die simultan dazu weiterentwickelt wird. Es gibt demnach immer zwei stabile, laufende Versionen von TYPO3.
Doch nicht nur Ihr CMS sollte in regelmäßigen Zeiträumen gewartet und geupdated werden – auch Blogs, Plugins und Extensions müssen in regelmäßigen Abständen auf ihre Sicherheit und Funktionalität hin überprüft werden. Das Einspielen von Sicherheits-Patches und neuen Versionen sollte ebenso zum Arbeitsalltag gehören, wie das Beantworten von E-Mails.
Unter dem Begriff „Compliance“ versteht man grundsätzlich die Befolgung und Einhaltung von Vorgaben und Regeln. IT-Compliance bedeutet, dass die IT eines Unternehmens nachweislich alle ihr aufgetragenen Regeln und Gesetze sowohl technisch, als auch organisatorisch befolgt. Hierbei ist es unwichtig, ob die IT-Leistungen ausschließlich unternehmensintern oder durch externe Dienstleister erbracht werden (darunter fallen auch Entwicklungs-, Hosting- und Outsourcing-Verträge).
Rechtliche Grundlagen
Die IT eines jeden Unternehmens unterliegt im Allgemeinen dem Bundesdatenschutzgesetz (BDSG), welches die Erhebung, Verarbeitung und Nutzung von Daten natürlicher Personen regelt.
Verwendet ein Unternehmen ein IT-basiertes System zur Unterstützung ihrer Buchführung, so fallen sämtliche Tätigkeiten diesbezüglich unter die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS).
Teil 2: IT Compliance in Zusammenarbeit mit der Agentur
Teil 3: Wie Sie die Maßnahmen richtig umsetzen
Das neue IT-Sicherheitsgesetz in Deutschland
Im Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten, das zur Erhöhung der Sicherheit informationstechnischer Systeme beitragen soll. Das Gesetz entstand in Folge der im Juni 2011 beschlossenen Cyber-Sicherheitsstrategie für Deutschland. Webseiten-Betreiber hatten nun 2 Jahre Zeit, ihre Anwendungen an die neuen Regulationen anzupassen.
Die NIS-Richtlinie für EU-Mitgliedsstaaten
Im Juni diesen Jahres ist zusätzlich auf europäischer Ebene die Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) beschlossen worden. Diese definiert die Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union. Bis Ende Mai 2018 haben die EU-Mitgliedsstaaten nun Zeit, die Richtlinie in nationales Recht umzuwandeln.
