Sicherheitsupdates – Oft erwähnt aber zu selten durchgeführt

 CMS Sicherheitsupdates

Im Jahr 2017 wurden wir mit zahlreichen Sicherheitsthemen im Bereich Web konfrontiert. Besonders dreist gestalteten sich Hacking Angriffe durch Ransomware wie Locky, TeslaCrypt, Cryptolocker oder Cryptowall. Auch Google verstärkt aufgrund der gestiegenen Hacking Angriffe die Information an die User und rät besonders zu Sicherheitsupdates bei CMS Systemen und Webshops.

Im Mai 2016 haben wir in unserem Blog bereits über die hinterlistigen Angriffe von Ransomware berichtet. Auch hilfreiche Tipps für Maßnahmen, die im Vorfeld gegen einen Hackerangriff schützen können, haben wir in einem Artikel für unsere Leser zusammengefasst. Eine dieser Maßnahmen betraf das Thema Sicherheitsupdates. Aufgrund der steigenden Relevanz dieser Thematik veröffentlicht Google im Rahmen seiner #NoHacked-Kampagne regelmäßig Studien zur Sicherheit von Webseiten und gibt Anweisungen für deren sicheren Betrieb. Laut dieser Kampagne ist die Anzahl der gehackten Webseiten in den letzten Jahren rasant angestiegen und es ist längst kein Ende in Sicht. Im Jahr 2016 betrug der Anstieg ganze 32%; für 2017 kann man sicher noch höhere Anstiegsraten erwarten.

Sicherheitsupdates werden zu oft vernachlässigt

Als professioneller Web-Dienstleister weisen wir unsere Kunden oft auf die Notwendigkeit von Versionsupdates hin. Im Bereich von TYPO3 betrifft dies  die im März 2017 abgelaufene Version 4.5. Diese Version ist seit Jänner 2011 auf dem Markt und somit schon 6 Jahre alt. Aufgrund der hohen Verbreitung dieser Version wurde der Support bereits zweimal verlängert. Mit März 2017 war dann endgültig Schluss. Neben Neuerungen im Backend und der Unterstützung von responsive View für Mobile Devices ist das Sicherheitsthema eines der wichtigsten Gründe für ein Versionsupgrade. Ein Update, zumindest auf Version 6.5, wäre somit der nächste logische Schritt.

Leider reagieren viele Kunden eher gereizt auf das Thema Versionsupdates, da einerseits zusätzliche Kosten und andererseits ein interner Arbeitsaufwand entstehen können. So wird dann oft aus „Gemütlichkeit“ auf das Update verzichtet. Dass man damit ein großes Sicherheitsrisiko eingeht wird oft mit: Wenn bisher nichts passiert ist, dann wird auch weiterhin nichts passieren, abgetan.

Welche Risiken bestehen bei Missachtung von Updates?

Werden auf der Webseite Kundendaten verwaltet, verstärkt sich das Risiko noch um ein Vielfaches. Gerade solche Seiten stellen für Hacker ein gefundenes Fressen dar. Die Verantwortung, die man in diesem Fall trägt, ist vielen Unternehmen oft gar nicht bewusst. Fahrlässiges Verhalten ist somit an der Tagesordnung. Speziell die Datenschutzgrundverordnung, welche ab dem 25.05.2018 in Kraft tritt, wird sich besonders in der Anfangsphase verstärkt um Unternehmen „kümmern“, die sich nicht an die gesetzlichen Bestimmungen halten. Das wird speziell Webshops betreffen, die ja bekanntlich viel mit Kundendaten arbeiten. Dem Thema Sicherheitsupdates sollte hier ein besonders hohes Maß an Aufmerksamkeit geschenkt werden. Bei unseren Recherchen zu diesem Thema mussten wir leider feststellen, dass bei vier von fünf Webshops zumindest ein relevantes Sicherheitsupdate gefehlt hat. Das Interesse von Kunden in diesem Bereich etwas zu unternehmen war gering bis gar nicht vorhanden.

Die von uns angebotene e-commerce Lösung Magento, welche in der Zwischenzeit schon in der Version 2.x erschienen ist, liefert regelmäßige Sicherheitsupdates. Auch bei der vorigen Version 1.9 wurde aufgrund der hohen Verbreitung eine Verlängerung des Supports beschlossen. Diesen Vorteil sollte man sich als Webshop-Betreiber auf jeden Fall zu Nutze machen.

Vorteile von Sicherheitsupdates
Das Informationsangebot zu sicherheitsrelevanten Themen für den Bereich von Webseiten und Webshops ist sehr groß. Der Wille der Kunden etwas für die Sicherheit zu tun ist hingegen eher verhalten. Wobei Maßnahmen oft nicht teuer sind und Updates für viele Webseitbetreiber auch eine Möglichkeit sein können, bereits veraltete Webseiteninhalte wieder einmal zu aktualisieren.

Was man auf jeden Fall beachten sollte, sind die Kosten für die Wiederherstellung von gehackten Webseiten bzw. Webshops. Diese sind um ein vielfaches höher und bringen neben dem kostentechnischen Aufwand noch einen nicht zu verachtenden negativen psychologischen Effekt für die Kunden aber auch das Unternehmen. Die Zeit, die es benötigt, um den Kunden wieder ein sicheres Gefühl beim Besuch der Webseite zu geben ist oft nicht absehbar und die Ausfallskosten für lahmgelegte Webshops sind hier noch gar nicht einkalkuliert. Ein Versions- bzw. Sicherheitsupdate hingegen hat in vielen Fällen bereits Abhilfe geschaffen.

Wollen Sie den Sicherheitsstand Ihrer Webseite oder IT Infrastruktur überprüfen lassen, helfen wir Ihnen natürlich auch gerne weiter. Senden Sie ein Mail an support@ixsol.at oder rufen Sie uns an unter 01/ 581 01 30.

 

 

DSGVO – Was ändert sich im Datenschutz 2018?

Datenschutzgrundverordnung

Die vom europäischen Parlament beschlossene neue Datenschutz-Grundverordnung tritt in einem halben Jahr europaweit in Kraft. Unternehmen müssen daher schon jetzt die Weichen stellen. Wir geben einen kurzen Überblick was sich 2018 ändern wird und was das für Unternehmen bedeutet.

EU-Datenschutzgrundverordnung –
Was ist das?

Die „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“, kurz europäische Datenschutzgrundverordnung (DSGVO) genannt, wurde im Frühjahr 2016 beschlossen.

Ab dem 25. Mai 2018 stellt sie eine anwendbare Verordnung dar, die in der gesamten europäischen Union greift. Bisher galten in jedem Land andere Gesetze zum Datenschutz. Ziel der neuen Verordnung ist es daher, die Regelung zur Verarbeitung personenbezogener Daten durch private oder öffentliche Unternehmen auf Europaebene zu vereinheitlichen.

Die wesentlichen Ziele sind dabei die Stärkung der Betroffenenrechte, ein verstärkter Fokus auf der Datensicherheit, die Einführung von Beauftragten des Datenschutzes im öffentlichen Sektor sowie eine Verstärkung der Strafmaßnahmen bei einem Verstoß.

Wen betrifft die DSGVO?

Ganz konkret kann diese Frage pauschal leider nicht beantwortet werden. Weil sich verschiedene Details ändern, müssen sämtliche Unternehmensprozesse überprüft werden, bei welchen eine Verarbeitung von Nutzer- beziehungsweise Kundendaten von Bestand ist.
Einige Aspekte, die wohl die meisten Webseitenbetreiber und Betreiber von online Shops betreffen, sind im hier angeführt.

Newsletter & (Kontakt-) Formulare
Mit Ausnahme der E-Mail-Adresse müssen alle Angaben auf freiwilliger Basis erfasst werden. Das heißt, in Zukunft darf nur mehr die Mail-Adresse als Pflichtfeld gekennzeichnet sein. Zudem sollte die Seite, auf der die Anmeldung zum Newsletter erfolgt SSL geschützt sein.

Log-In-Daten
Im Log-In-Bereich wird in der Regel nach einem Benutzernamen oder der E-Mail-Adresse gefragt. Hinsichtlich der Anonymität sollte dem Benutzernamen in Zukunft der Vorzug gegeben werden. Generell lohnt es sich bei Registrierungsseiten vorsichtshalber an Datensparsamkeit zu halten – Es sollte sich auf die Erhebung von zwingend benötigten Daten beschränkt werden. Auch hier ist auf einen ausreichenden SSL-Schutz zu achten.

Datenschutzerklärungen
In diesem Zusammenhang werden auf inhaltlicher Ebene ein paar Änderungen auf die Website-Betreiber zukommen. Laut Artikel 13, Absatz 1 der DSGVO sind zum Zeitpunkt der Datenerhebung künftig folgende Informationen in der Datenschutzerklärung der betroffenen Person mitzuteilen:

–    Name und Kontaktdaten des Verantwortlichen beziehungsweise
gegebenenfalls dessen Vertreters
–    Gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
–    Zweck der Datenerhebung sowie die Rechtsgrundlage für die Verarbeitung
–    Gegebenenfalls Empfänger beziehungsweise Kategorien von Empfängern der betreffenden Daten
–    Gegebenenfalls die Absicht der Verantwortlichen, die betreffenden Daten an ein Drittland oder eine internationale Organisation weiterzugeben sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle einer Übermittlung gemäß Artikel 46, Artikel 47 oder Artikel 49 Absatz 1, Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Social-Media-Plug-Ins
Bei Social-Media-Plug-Ins handelt es sich immer um die Weitergabe personenbezogener Daten und ist daher bereits jetzt rechtlich vergleichsweise streng geregelt. Bisher gab es Lösungen, welche die Datenübermittlung ohne eine Einwilligung ermöglichten. In Zukunft muss laut DSGVO eine Erklärung vorliegen, welche eine Datenerhebung ohne Einwilligung der betroffenen Personen rechtfertigt – Dies trifft im Falle der Plug-Ins nicht zu. Da nicht bekannt ist, wie Social-Media-Plattformen wie Twitter oder Facebook Daten verarbeiten, wird es problematisch den Nutzern die nötigen Informationen bereitzustellen und so deren Einwilligung wirksam einzuholen. Um diesem Problem aus dem Weg zu gehen, kann beispielsweise auf Plug-Ins verzichtet werden oder auf andere Varianten wie dem Verlinken zurückgegriffen werden.

Cookies
Die Verwendung von Cookies wurde bisher in der Regel mithilfe sogenannter Cookie-Bars gehandhabt. Hinweise in Form von Bannern, welche die Nutzer auf den Einsatz von Cookies aufmerksam machen und auf diese Art deren Einverständnis einholen.

Datenschutzbezogene Regelungen, die im Rahmen des Telemediengesetzes bisher wirksam waren, werden mit der neuen Datenschutzverordnung ungültig. Allerdings fehlt in dieser Gesetzesnovelle eine eindeutige Regelung bezüglich dessen, daher werden Daten, die mithilfe von Cookies erhoben werden, in Zukunft mit allen anderen personenbezogenen Daten gleichgesetzt. Dies gilt unabhängig davon, ob die betroffenen Daten anonymisiert sind.

Ab Mai 2018 sollte im Vorhinein stets geprüft werden, ob vonseiten des Online-Händlers ein Interesse besteht, das den Einsatz von Cookies rechtfertigt und ob diese Datenverarbeitung zur Wahrung tatsächlich notwendig ist. Das Interesse vonseiten der Betroffenen am Schutz ihrer Daten muss gegen das Interesse des Händlers abgewogen werden.

Die Interessenabwägung erfolgt unter Beachtung des Artikel 6, Absatz 1, Satz 1 der Datenschutzgrundverordnung. Ist der Einsatz laut diesem Artikel zulässig, so entfällt die Pflicht ein Cookie-Banner zu verwenden, es ist also keine ausdrückliche Einwilligung erforderlich.

Es bleibt zu sagen, dass in Österreich und auch in Deutschland im Vergleich zu anderen europäischen Ländern bisher schon ein hohes Niveau des Datenschutzes erreicht wurde und dass sich deshalb auch in einigen Grundsätzen nicht gravierend viel ändert. Spätestens bis zum 25.Mai 2018 müssen alle Datenanwendungen an die neue Rechtslage angepasst sein, andernfalls drohen hohe Bußgeldstrafen in der Höhe von 2 % – 4 %, abhängig vom Jahresumsatz. Außerdem wurde bereits angekündigt, dass speziell in der Anfangsphase, also ab dem 25.05.2018, verstärkt geprüft wird.

Als professionelle Webagentur helfen wir gerne in allen Belangen zu diesem Thema weiter. Weitere hilfreiche Informationen zu diesem Thema sowie eine ausführliche Checkliste, was vor dem Inkrafttreten der Verordnung unbedingt zu beachten ist finden Sie unter folgendem WKO Link.

 

Facebook Retargeting – Nutzen Sie das volle Potential Ihrer Website!

Facebook Retargeting Werbung schaltenWohl jeder kennt mittlerweile das Phänomen: Man sucht im Internet nach dem nächsten Urlaub in Italien und plötzlich tauchen überall Angebote für Flüge, Unterkünfte und ähnlichem auf. Woher weiß denn nun die Website meiner abonnierten Tageszeitung, dass ich mich für einen Italien-Urlaub interessiere? Die Antwort heißt Retargeting! 

Um diese Art der Werbung zu erklären muss man sich zunächst mit den sogenannten Custom Audiences befassen, die eng mit dem Begriff des Retargeting verbunden sind und so zu sagen dessen Grundlage darstellen.

Custom Audiences – Erreichen Sie genau die richtige Zielgruppe

Die Verwendung von Custom Audiences bei Facebook ermöglicht die Ausrichtung von Internet-Werbung auf eine spezielle Zielgruppe. Genauer gesagt, die Ausrichtung von Anzeigen auf die Nutzer, die schon Interesse an Produkten eines Unternehmens oder an dem Unternehmen selbst gezeigt haben.

Dabei gibt es verschiedene Arten der Custom Audiences. Die Zielgruppe kann anhand von Kundenlisten, Nutzern von mobilen Apps des Unternehmens oder aus den bisherigen Besuchern der Webseite generiert werden. Bei Letzterem wird aus allen Usern, welche die Firmen-Website besucht haben, eine Zielgruppe gebildet. Für speziell diese Zielgruppe wird anschließend eine Anzeige bei Facebook geschaltet.

Website Custom Audiences stellen also ein Remarketing Instrument dar, welches eine wiederholte Ansprache von Website Besuchern ermöglicht, wodurch der Website Traffic gesteigert werden kann. Des Weiteren hilft es, Conversions (vordefinierte Ziele wie z.B. der Kauf eines Produkts oder die Anmeldung zu einem Newsletter) zu erzielen. Indem die Anzeigen gezielt auf Kunden geschalten werden können, die schon Produktseiten, den Warenkorb oder einzelne Kategorien angesehen haben steigt die Wahrscheinlichkeit eines erfolgreichen Abschlusses. Außerdem können andere Nutzer, die bereits Produkte gekauft haben oder anderweitige Conversions vollzogen haben, über die Website Custom Audiences ausgeschlossen werden. In dem Fall wird ihnen die Werbung nicht angezeigt.

Technischer Hintergrund von Retargeting Kampagnen

Das Facebook Retargeting-Instrument funktionert grundlegend so, dass die Website-Besucher mittels Cookies markiert werden und anschließend getrackt werden können. So können die Werbetreibenden spezifische Nutzer jederzeit erneut mit gezieltem Content ansprechen und wieder zurück zur eigenen Website lenken.

Das Konzept dahinter ist so simpel wie effektiv und bereits seit Jahrzehnten bekannt: je öfter die Nachricht vom selben Interessenten wahrgenommen wird, desto eher wird die gewünschte Handlung erreicht.

Wertvolle Websitebesucher zurückholen

Die Conversion Rate von Webseiten liegt im Durchschnitt bei etwa 2%. Das heißt, 98% der Interessenten verlassen die Seite wieder, ohne die gewünschte Aktion des Unternehmens durchzuführen. Der Großteil der generierten Besucher geht also für immer verloren. Mit dem Retargeting können diese verlorenen Nutzer in einer Liste aufgefangen werden und mittels Remarketing auf Facebook erneut angesprochen werden und immer wieder zur Seite zurückgeholt werden.

Die Tracking-Codes sind relativ simpel auf der Website zu installieren. Es handelt sich um sogenannte Pixel, die mithilfe des Facebook-Tools „Werbeanzeigenmanager“ generiert und in die Seite eingebaut werden können.

Facebook-Retargeting bietet also eine einfache aber sehr effektive Möglichkeit, die eigene Website um einiges profitabler zu machen, jeden Tag neue Kunden sowie Umsatz zu generieren und sollte daher auf jeden Fall genutzt werden

Wenn Sie am liebsten gleich mit dem Facebook Retargeting starten wollen, freue wir uns über Ihre Anfrage!