Konformität (Zertifizierung/IWTS-Standard)

Im Bereich der Zertifizierung bezeichnet Konformität die Erfüllung eines, als Voraussetzung für eine Zertifizierung zu erfüllenden, Prüfkriteriums. Beim IWTS-Standard, dem ersten Standard für die Prüfung von Webseiten hinsichtlich Cyber-Sicherheit, Einhaltung von Vorschriften zum Datenschutz, Inhaberschaft und Ausweisungspflichten sowie Benutzerfreundlichkeit, werden Details und Elemente der zu prüfenden Webseiten auf Konformität zu zahlreichen Kriterien inspiziert.

Private-Key-Verfahren

Das Private-Key-Verfahren ist ein symmetrisches Verschlüsselungsverfahren, bei dem nur ein geheimer Schlüssel, der Private Key, sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet wird. Als Voraussetzung für dieses Verfahren muss im Vorfeld der Private Key zwischen den Kommunikationspartnern über einen sicheren Kanal ausgetauscht werden, damit die Geheimhaltung des Private Key durchweg gewährleistet ist.

Public-Key-Verfahren

Das Public-Key-Verfahren ist ein asymmetrisches Verschlüsselungsverfahren, bei dem zwei, nicht voneinander ableitbare Schlüssel verwendet werden: Ein öffentlich zugänglicher Public Key und ein geheimer, nur dem Inhaber bekannter, Private Key. Die Verschlüsselung von Daten und Nachrichten sowie die Verifizierung von mit dem Private Key getätigter Signaturen, erfolgt mit dem Public Key. Die Entschlüsselung sowie die Signatur von Daten und Nachrichten erfolgt mit dem Private Key.

Public Key

Der Public Key ist im Bereich von asymmetrischen Verschlüsselungsverfahren (bspw. dem Public-Key-Verfahren) der öffentlich verfügbare Schlüssel, der dazu verwendet wird, Nachrichten zu verschlüsseln, die nur mit dem nicht öffentlich verfügbaren Private Key entschlüsselt werden können. Darüber hinaus können mit dem Public Key Signaturen verifiziert werden, die vorher mit dem dazugehörigen Private Key getätigt wurden.

Private Key

Im Bereich von asymmetrischen Verschlüsselungsverfahren (bspw. dem Public-Key-Verfahren) ist der Private Key ein geheimer Schlüssel zur Entschlüsselung von sensitiven Daten und zum Schutz vor unberechtigtem Zugriff. Ein Private Key besitzt, bei asymmetrischer Verschlüsselung, einen zugehörigen Public Key, mit dem die Daten verschlüsselt wurden, während es bei einem symmetrischen Verschlüsselungsverfahren (bspw. dem Private-Key-Verfahren) nur einen Private Key gibt. Darüber hinaus ist es mit dem Private Key möglich, Daten zu signieren, indem damit eine eindeutige Zeichenfolge generiert wird, die anschließend mit dem Public Key auf Echtheit überprüft werden kann.

Malware

Als Malware werden Schadprogramme bezeichnet, die unaufgefordert und unbemerkt auf Computer übertragen werden und dort schadhafte Prozesse und Funktionen durchführen. Malware ist somit der Oberbegriff für Viren, Trojaner, Würmer, etc. Antivirenprogramme sind eine der wichtigsten Schutzkomponenten, um sich vor Malware zu schützen, da einmal auf dem Computer, Malware nur schwer aufgespürt und vollständig entfernt werden kann.

Cookie

Ein Cookie oder HTML-Cookie (aus dem Englischen übersetzt Keks oder Plätzchen) ist eine, auf dem Computer des Users gespeicherte, kleine browserspezifische Textdatei. Die Datei enthält in der Regel Daten über bereits besuchte Webseiten. Ein Webseitenbetreiber kann anhand von Cookies erkennen, ob der Benutzer die Webseite vorher bereits besucht hat. Basierend auf diese Informationen kann er dem User auf ihn zugeschnittene Angebote unterbreiten. In Foren können Cookies dazu genutzt werden, um einen schon vorher angemeldeten bzw. registrierten Benutzer zu erkennen. Zusätzlich kann in einem Cookie gespeichert werden, welche Themen bereits angesehen wurden. In jedem Browser kann eingestellt werden, ob Cookies zugelassen oder generell abgelehnt werden sollen. Zudem muss bei einem Besuch auf einer vorher noch nicht aufgerufenen Webseite auf nicht ausschließlich technische Cookies hingewiesen werden (Cookie-Info-Pflicht) und dem Nutzer die Möglichkeit gegeben werden, ausdrücklich die Cookies zu erlauben oder diese abzulehnen.

Trusted Computing Group (TCG)

Die Trusted Computing Group (TCG) ist eine Standardisierungs-Organisation, die von der Industrie betrieben wird. Die TCG entwickelt offene Standards für Trusted-Computing-Plattformen. Das Ziel der TCG ist, laut Webseite frei übersetzt, die Entwicklung und Förderung offener und von Herstellern unabhängiger Spezifikationen von Industriestandards für plattformübergreifende Softwareschnittstellen und Bausteine von Trusted-Computing-Plattformen. Diese sollen auf den Geräten, welche die Standards der Trusted-Computing-Plattformen verwenden, ungewollte Veränderungen erkennen und verhindern sowie externe Software-Angriffe verhindern können.

Trusted Platform Modul (TPM)

Das Trusted Platform Modul (TPM) ist ein Mikrochip, mit dessen Hilfe bei bestimmten Geräten Softwaremanipulationen, wie beispielsweise Raubkopien, erkannt werden können, indem es Daten über vertrauenswürdige, extern ausgeführte Software sammelt und speichert. TPM wird zum Schutz von Lizenzen und Anwendungen im Telekommunikations- und Unterhaltungsbereich verwendet. Sofern durch das TPM Veränderungen von Softwaremerkmalen festgestellt werden, wird der Zugriff auf das Gerät verweigert, wodurch das Gerät unbrauchbar wird. Das TPM basiert auf einem Standard, der von der Trusted Computing Group (TCG) entwickelt wurde.

Cyber-Grooming

Als Cyber-Grooming werden Aktivitäten durch Ansprechen von Personen im Internet bezeichnet, die das Ziel verfolgen, sexuelle Kontakte herzustellen. Demnach kann es sich bei Cyber-Grooming um eine Form sexueller Belästigung handeln oder um das konkrete Ziel sexuellen Missbrauch, online, bspw. durch Chat, Erlangung von Bildern oder Videos oder offline durch reale Treffen, anzubahnen. Üblicherweise wird durch Vortäuschung von Verständnis, Schmeicheln oder durch Geschenke zuerst Vertrauen aufgebaut, um daraufhin eine Straftat, wie beispielsweise die Anfertigung von kinderpornografischem Material oder durch sexuellen Missbrauch, begehen zu können.

TAN

Eine Transaktionsnummer (TAN) ist ein einmalig verwendbares Passwort, das in der Regel aus sechs Ziffern besteht und überwiegend beim Online-Banking Verwendung findet. Die TAN muss bei einer Transaktion, wie zum Beispiel einer Überweisung, angegeben werden, um die Gültigkeit des Auftrags zu bestätigen. Ursprünglich wurden TAN anhand einer TAN-Liste bereitgestellt. Inzwischen wurde die Liste, vor allem aufgrund erhöhter Gefahren von Phishing-Angriffen, durch andere Verfahren wie beispielsweise pushTAN oder TAN-Generator ersetzt, bei denen die TAN unmittelbar vor einer nötigen Auftragsbestätigung durch eine von der Bank zur Verfügung gestellten mobilen App oder eines speziellen TAN-Generator-Geräts mitgeteilt wird.

PIN

PIN steht für den englischen Begriff “Personal Identification Number” oder auf Deutsch “Persönliche Identifikationsnummer” und wird umgangssprachlich auch als Geheimzahl bezeichnet. Die PIN ist ursprünglich eine Zahlenkombination, die nur einer oder sehr wenigen Personen bekannt ist und zur Authentifizierung gegenüber einem Gerät, wie Computer, Mobiltelefonen oder Bankautomaten verwendet wird, um den Missbrauch durch unbefugte Personen oder Maschinen zu verhindern.

Datenschutzbeauftragter (DSB)

Ein Datenschutzbeauftragter (DSB) organisiert in Betrieben oder Behörden die Einhaltung des Datenschutzes. Der DSB kann ein Mitarbeiter sein oder als externer DSB bestellt werden, muss die notwendige Fachkunde besitzen und darf seine Tätigkeit durch konfliktreiche Selbstkontrolle nicht gefährden.

Die generellen Aufgaben und Tätigkeiten des DSB, die in Deutschland im Budesdatenschutzgesetz (BDSG) geregelt werden, sind insbesondere:

  • Umsetzen von Datenschutzrichtlinien
  • Dokumentieren der Prozesse zum Datenschutz
  • Ansprechpartner für alle Datenschutzthemen
  • Überwachen und Prüfen der Einhaltung der Datenschutzbestimmungen beim Umgang mit personenbezogenen Daten und der Rechtmäßigkeit bei der Datenerhebung
  • Melden von Datenschutzverstößen und Verfolgung derer in Kooperation mit internen oder externen Organisationen
  • Überwachen der Datenlöschung
  • Aufbau einer internen oder externen Organisation zur Überwachung der Einhaltung des Datenschutzes

Webseiten-Check

Nicht nur während und direkt nach dem Erstellen einer Internetseite ist es für Webseitenbetreiber wichtig, einen Webseiten-Check durchzuführen. Vielmehr ist es für den Erfolg und die Sicherheit im Internet, sowohl von den Eigentümern der Webseite als auch von Besuchern, sehr von Bedeutung, regelmäßig die Internetseite zu prüfen. Was ist beim Webseiten-Check jedoch zu beachten, welche Arten gibt es und wie hoch sind die Kosten dafür?

Vielen Webseitenbetreibern ist nicht bewusst, dass deutsche Internetseiten zu den beliebtesten Zielen von Cyber-Kriminalität gehören. Circa zwölf Prozent aller mit Malware befallenen Webseiten stammen aus Deutschland. Insbesondere Homepages von kleinen und mittleren Unternehmen sind davon betroffen, ohne dass sie etwas davon ahnen. 

Das Problem und die Folgen sind dabei eindeutig, wenn die eigene Internetseite verseucht ist. Nicht nur die IT-Infrastruktur des Webseitenbetreibers kann mit Schadprogrammen infiziert werden. Trojaner und Viren können auch die Rechner von Interessenten und Geschäftspartner befallen und dadurch missbräuchlich für Phishing oder Spam-Mails oder sogar für Wirtschaftsspionage verwendet werden. Dabei liegt nicht nur das Risiko eines Reputationsschadens oder wirtschaftlichen Schadens beim Webseitenbetreiber, sondern auch die Haftung und Verantwortung bei Fremdschäden.

Doch das muss nicht sein. Im Internet gibt es eine ganze Reihe von Anbietern, welche die eigene Homepage einfach und oft ohne Kosten überprüfen können. Auch das Bundesministerium für Wirtschaft und Energie bietet in Rahmen von IT-Sicherheit in der Wirtschaft einfache Anleitungen und seriöse Anbieter zur Befreiung von Schad- und Malware und Abwehr künftiger Angriffe an.

Aber nicht nur sicherheitsspezifische Aspekte sind wichtige Gründe für einen regelmäßigen Webseiten-Check. Auch für die Auffindbarkeit und Sichtbarkeit einer Webseite im Internet und für die Nutzerfreundlichkeit lohnt es sich, seine Internetseite regelmäßig zu prüfen. Hierfür gibt es im Internet ebenfalls zahlreiche Anbieter und Anleitungen, um seine Homepage zu optimieren. Die folgenden Punkte sind eine Zusammenfassung der wichtigsten Kriterien für erfolgreiche Webseiten, auf die bereits beim Erstellen der Internetseite geachtet werden sollte:

Viele technische Mängel und weitere Aspekte kann man nicht auf den ersten Blick erkennen, weil sie unter der Haube verborgen sind. Ein Webseiten-Check erleichtert es, diese aufzudecken und zu beheben. So wird in der Regel geprüft, ob es Fehler im Quellcode gibt, der Server schnell genug antwortet und alle Links funktionieren.

Die Ladezeit der eigenen Internetseite sollte durch einen Webseiten-Check regelmäßig, sowohl für Desktop-Computer und Laptops als auch für mobile Endgeräte wie Smartphones und Tablets, überprüft werden. Dies erhöht nicht nur die Verweildauer der Besucher auf der Webseite, was die Wahrscheinlichkeit eines Geschäftsabschlusses erheblich erhöht, sondern verbessert auch das Ranking und somit die Auffindbarkeit bei Suchmaschinen wie Google.

Dies führt gleich zum nächsten sehr wichtigen Punkt, der Suchmaschinenoptimierung oder kurz SEO. Zwar ist SEO ein ganz eigener Bereich, auf den ständig besonderes Augenmerk gerichtet werden muss. Viele Webseiten-Checks bewerten aber auch mitunter, wie viele Besucher die Internetseite aufgesucht haben, durch welchen Suchbegriffe sie gefunden wird und wie sie im Google-Index eingeordnet ist. 

Da heutzutage der überwiegende Teil der Webseitenaufrufe mit mobilen Endgeräten geschieht, muss die Webseite hierfür die relevanten Standards wie beispielsweise Responsive Design erfüllen, um auf Smartphones und Tablets richtig angezeigt zu werden, sodass alle Funktionalitäten wie Buttons, Grafiken oder Links funktionieren und, genauso wie alle Texte, richtig angezeigt werden.

Digitaler Verbraucherschutz

Der digitale Verbraucherschutz hat zum Ziel, Endkunden durch die Etablierung von grundlegenden Sicherheitsstandards sowie durch Informationen und Sensibilisierung vor cyber-kriminellen Handlungen zu schützen. Weitere Ziele sind die Warnung vor aktuellen und strukturellen Sicherheitsrisiken bei gängigen und etablierten IT-Systemen und -Diensten sowie die Unterstützung von befugten Stellen, um berechtigte Sicherheitsinteressen bei Herstellern und Diensteanbietern durchzusetzen.

IT-Sicherheitsforschung

Die IT-Sicherheitsforschung beschäftigt sich mit vielen wichtigen Bereichen von kritischen Infrastrukturen und IKT-Systemen für beispielsweise Verwaltung, Strom, Verkehr und Gesundheitswesen, da diese essenziell für eine funktionierende Wirtschaft und Gesellschaft sind und mit der zunehmenden Digitalisierung auch das Risiko von Cyber-Angriffen stetig steigt.

IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz oder Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, das vom deutschen Bundestag verabschiedet wurde und seit 2015 gültig ist, soll dazu beitragen, dass die in Deutschland betriebenen IT-Systeme und digitalen Infrastrukturen zu den sichersten der Welt gehören. Dies spielt vor allem in den Bereichen der kritischen Infrastrukturen, wie Wasser- und Stromversorgung, Ernährung oder Finanzen, eine herausragende Rolle. Ein weiteres wichtiges Ziel ist aber auch die Verbesserung der IT-Sicherheit in Unternehmen und ein verbesserter Schutz im Internet.

Inhärenz

Im Bereich der Technik bedeutet inhärente Sicherheit, ähnlich wie bei der Redundanz, dass ein System derart erstellt ist, dass es weiterhin sicher arbeiten kann, auch wenn mehrere Komponenten ausgefallen sind.

Im Rahmen der PDS2 bedeutet Inhärenz “etwas, das einem Nutzer körperlich oder persönlich zu eigen ist, wie beispielsweise ein Fingerabdruck.” und ist, neben Wissen und Besitz, eines der drei Authentifizierungskategorien, von denen, im Rahmen der Zwei-Faktor-Authentisierung mindestens zwei für die starke Kundenauthentifizierung herangezogen werden müssen.

OWASP – Open Web Application Security Project

Die Non-Profit-Organisation Open Web Application Security Project (OWASP) hat das Ziel zur Erhöhung der Sicherheit von Diensten und Anwendungen im Internet beizutragen und diese zu verbessern. Im Mittelpunkt steht das Schaffen von Transparenz, um Organisationen und Endanwender auf Sicherheitsrisiken hinzuweisen, auf deren Basis fundierte Entscheidungen getroffen werden können. Hierfür werden innerhalb des Projekts Methoden, Werkzeuge, Technologien und Informationsmaterialien erarbeitet und für Interessierte frei zur Verfügung gestellt. Am OWASP sind weltweit verteilt sowohl Firmen und Bildungseinrichtungen als auch Einzelpersonen beteiligt.

Ein vielfach beachtetes Dokument ist OWASP Top 10, das regelmäßig aktualisiert und veröffentlicht wird und einen breiten Konsens über die kritischsten Sicherheitsrisiken für Webanwendungen darstellt. OWASP Top 10 findet mitunter auch bei der Zertifizierung mit dem IWTS-Standard Beachtung.

IKT – Informations- und Kommunikationstechnik

Als Informations- und Kommunikationstechnik (kurz IKT oder ITK für Informationstechnik und Kommunikationstechnik), wird im weitesten Sinne jede technische Kommunikationsanwendung verstanden. Die Verbindung der beiden Technologien hat die Entstehung und den heutigen Standard von bspw. Internet, Mobilfunk oder Netzwerken begünstigt, was sich auch auf Organisationsstrukturen und deren Flexibilität auswirkt.

BDSG – Bundesdatenschutzgesetz

Das Bundesdatenschutzgesetz (BDSG) besteht in seiner ursprünglichen Form seit 1978. Dessen Neufassung ist am 25.05.2018, zusammen mit der Datenschutz-Grundverordnung, in Kraft getreten. Es umfasst alle, die Bundesrepublik Deutschland betreffenden Datenschutzregeln und legt, zusammen mit den Datenschutzgesetzen der Bundesländer und weiterer Regelungen, fest, wie mit personenbezogenen Daten umzugehen ist, welche durch Informations- und Kommunikationssysteme oder auch manuell verarbeitet werden, um somit auch die allgemeine Cyber-Sicherheit zu erhöhen. Das Gesetz besteht aus vier Teilen und insgesamt 85 Paragraphen.

TLS

Das TLS (Transport Layer Security, auf Deutsch etwas holprig Transportschichtsicherheit) ist als Nachfolgemodell des SSL ein Verschlüsselungsprotokoll, um die Sicherheit von Internetprozessen zu gewährleisten. Es fußt auf dem Protokol SSL und ist auch landläufig weiter unter diesem Namen bekannt.

Allianz für Cyber-Sicherheit

Die Allianz für Cyber-Sicherheit ist eine Initiative des Bundesamts für Sicherheit in der Informationstechnik (BSI), mit dem Ziel, die Widerstandsfähigkeit des Wirtschaftsstandorts Deutschland gegenüber Cyber-Angriffen zu stärken. Dem ständig wachsenden Netzwerk der Allianz für Cyber-Sicherheit gehören bereits mehr als 4000 Unternehmen und Institutionen an, die  sich aus IT-Dienstleistungsunternehmen, IT-Herstellern, Beratungsunternehmen sowie Anwenderunternehmen aller Größen und Branchen zusammensetzen.

PSD2

Die PSD2 oder Zweite Zahlungsdienstleisterrichtlinie ist seit dem 13. Januar 2018 in kraft und soll unter anderem Online-Transaktionen gleichzeitig vereinfachen und sicherer gestalten. Hierfür muss der Auftraggeber einer Transaktion, oft der Kunde, seine Identität mit einer 2-faktoriellen Authentifikation verifizieren (z.B. durch PIN und Handynummer).

Cyber-Sicherheit

Der Terminus Cyber-Sicherheit aus der Kommunikationstechnik erweitert den herkömmlichen Begriff der IT-Sicherheit auf den gesamten Raum der nationalen und internationalen Vernetzung. Cyber-Sicherheit erstreckt sich auf alle am virtuellen Datenfluss beteiligten Systeme und Prozesse.

Spyware

Spyware (Kunstwort aus englisch spy – Spion und dem letzten Teil aus Software) ist Software, die zur Spionage eingesetzt wird. Mittels Spyware können Externe die Daten eines Internetbenutzers sichten und sammeln. Diese können entweder weiterversendet oder analysiert werden. Spyware ist zum Beispiel wichtig, um Werbeeinblendungen auf Benutzer zuzuschneiden.

SCA – Strong-Customer-Authentication

SCA oder Strong-Customer-Authentication bedeutet auf Deutsch starke Kundenauthentifikation. Die SCA basiert auf einer Verifikation eines Zahlungsleisters durch zwei verschiedene Faktoren (zum Beispiel Tablet und Gesichtserkennung). Mittels SCA sollen Betrugsfälle bei Onlinetransaktionen signifikant minimiert werden. SCA gilt nur für Transaktionen, die vom Zahlenden eingeleitet werden.

Weitere Informationen finden Sie in unserem Beitrag: SCA – Strong-Customer-Authentication

Hashfunktion

Mittels einer Hashfunktion können sogenannte Schlüssel (größere Eingabemengen wie Texte oder Wörter) in kleineren Zielmengen dargestellt werden. Diese Zielwerte heißen Hashwerte. Während die Schlüssel in der Menge ihrer Elemente variieren können, sind die Hashwerte in der Regel numerisch festgelegt. Wenn verschiedene Schlüssel denselben Hashwert zugewiesen bekommen, kommt es zu einer Kollision.

HTTPS

HTTPS oder Hypertext Transfer Protocol Secure (sicheres Hypertext Übertragungsprotokoll) bezeichnet eine Verschlüsselungsmethode für die Datenübertragung zwischen einem Browser und einem Server. Das Transportverschlüsselungsprotokoll sorgt dafür, dass die Daten abhörsicher übertragen werden. Die Verschlüsselung erfolgt hierbei in beide Richtungen. HTTPS basiert auf HTTP und gewährleistet die Datensicherheit durch eine zusätzliche Verschlüsselung.

DSGVO – Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO) gilt für alle Arten von Unternehmen, welche automatisiert personenbezogene Daten verarbeiten. Für Unternehmen erhöht sich dadurch die Dokumentations- und Rechenschaftspflicht gegenüber ihrer Kunden über die gespeicherten personenbezogenen Daten. Darüber hinaus dürfen die personenbezogenen Daten nur zweckgebunden verwendet werden. Im Falle der Nichtbeachtung drohen den betroffenen Unternehmen hohe Abmahnungen.

Weitere Informationen finden Sie in unserem Beitrag: EU-Datenschutz-Grundverordnung (DSGVO) und Datenschutzbestimmungen durch die DSGVO auf Webseiten