Kanzleien können auch ohne umfassende Programmierkenntnisse eine eigene Website erstellen und bespielen. Eine gewisses Grundverständnis bezüglich der Technik hinter einer Website sowie verschiedener Anforderungen ist allerdings notwendig. Auch wenn die Erstellung der Website an einen externen Fachmann abgegeben wird, ist ein Grundverständnis darüber wie die Seite funktioniert wichtig, um selbstständig mit der Seite arbeiten zu können. Dabei spielt auch die Sicherheit der Website eine große Rolle.
Content Management Systeme (CMS) – Website erstellen leicht gemacht
Definition
Ein Content-Management System ist eine Software, mit der Anwender ohne Programmierkenntnisse eine Website gestalten können. Das CMS ermöglicht über eine einfache Benutzeroberfläche das Erstellen, Bearbeiten und Veröffentlichen von verschiedenen Webinhalten wie beispielsweise Texten oder Multimedia-Elementen.
Zwei beliebte Content Management Systeme im Vergleich
WordPress
WordPress
ist das weltweit meistgenutzte Open-Source CMS. WordPress wurde ursprünglich
als Blogsystem konzipiert, verfügt aber inzwischen über diverse Erweiterungen,
die die Software zu einem voll funktionsfähigen Content-Management-System
aufrüsten.
Die Vorteile des Systems liegen in seiner leichten Bedienung, der schnellen
Installation und der großen Community. Für nahezu jedes Problem ist eine Lösung
im Netz auffindbar. Die einfache Bedienung von WordPress bringt leider auch
einen Nachteil mit sich, denn sie geht sehr zu Lasten der Sicherheit. Die
Software ist im Gegensatz zu anderen für Angriffe sehr anfällig. Wer einen
hohen Sicherheitsstandard gewährleistet haben möchte, sollte daher auf ein
anderes CMS zurückgreifen.
Typo3
Typo3 zählt
ebenfalls zu den bekanntesten Open-Source CMS und gilt vor allem im
deutschsprachigen Raum als Paradelösung für Unternehmens-Portale. Auch hinter
dieser Software steht eine große Community, die sich stetig aktiv an der
Weiterentwicklung des Systems beteiligt.
Typo3 ist, vor allem im Vergleich mit WordPress, erheblich umfangreicher dafür
aber auch komplizierter. Die Nutzung ist meist mit längerer Einarbeitung und
einem höheren Administrationsaufwand verbunden. Die Software ist dafür aber
auch erheblich sicherer. Typo3 ist weniger anfällig für Angriffe und sollte
daher WordPress vorgezogen werden.
Webhosting
Was ist Webhosting?
Unter Webhosting versteht man das Bereitstellen eines Service für das Veröffentlichen von Websites. Wenn eine Kanzlei also eine Website veröffentlichen möchte, muss sie zwangsläufig Webhosting in Anspruch nehmen, denn es gehört zur technologischen Basis, um Inhalte im Netz zu veröffentlichen.
Arten von Webhosting
Dabei kann zwischen verschiedenen Arten von Webhosting gewählt werden. Die relevantesten Möglichkeiten für Kanzleien sind:
Shared Hosting
Beim Shared Hosting werden mehrere Websites von verschiedenen Unternehmen auf einem Server gehostet. Dabei teilen sich die verschiedenen Betreiber die Hardware-Ressourcen, haben jedoch keinen Zugriff auf die Daten der anderen Konten. Der Vorteil dieser Variante liegt bei den relativ geringen Gebühren. Allerdings sprechen Sicherheitsaspekte gegen das Shared Hosting. Auch die Performance, also beispielsweise die Ladezeit der Website, ist begrenzt.
Virtuelle dedizierte Server
Diese Variante bietet mehr Sicherheit. Zwar teilen sich immer noch mehrere Unternehmen die Hardware eines Servers, jedoch werden ihre Accounts als eigene virtuelle Systeme angelegt.
Cloud Hosting
Das Cloud-Hosting zählt zu den neueren Hosting-Varianten. Die Inhalte der Website liegen auf mehreren miteinander verbundenen Servern. Das hat zur Folge, dass sich die Auslastung besser verteilt. Ein Kritikpunkt kann der Datenschutz sein. Daher ist es wichtig zu überprüfen, dass der Hosting-Anbieter entsprechende Sicherheitsvorkehrungen zum Schutz der Daten trifft.
Deidizierte Server
Auch hier sind die Daten der eigenen Website klar von anderen Kunden des Hosting-Anbieters getrennt. Sie liegen sogar auf einem eigenen physischen Server, also einem komplett eigenen Gerät. Die Kanzlei erhält zudem den vollen Administrationszugriff und kann den Server jederzeit eigenständig konfigurieren.
Managed Hosting Server
Bei dieser Variante des Webhostings liegen die Website-Inhalte ebenfalls auf einem eigenen Server. Jedoch hat der Nutzer, also die Kanzlei, keine volle Kontrolle über die Hardware. Der Webhoster übernimmt die Administration und die Wartung.
Serverhousing
Hierbei stellt der Hosting-Anbieter nur einen Stellplatz für einen Server zur Verfügung. Damit liegt die Konfiguration, die Administration und die Wartung komplett in der Hand der Kanzlei.
Umfang des Webhosting-Services
Je nach Art umfasst das Webhosting unterschiedlich viele Elemente und Services. Basisumfang ist immer die Bereitstellung von Webspace und Webserver, also die Verknüpfung von Domain-Namen mit dem Webspace. Wer darüber hinaus weitere Services nutzen will, kann diese hinzubuchen. Häufig angebotene Services von Webhostern sind:
- Domain-Transfer
- E-Mail-Service
- Content-Management Systeme
- Backup-Service
- Datenbank
- Hochverfügbarkeit
- SSL-Zertifikate
- Statistische Auswertungen
- Technischer Support
- Monitoring
- Auswahl des Server Standorts
Website Security
Wer sich im Internet bewegt kann schnell mit Viren oder Spamattacken in Berührung kommen. Insbesondere E-Mail-Adressen sind hier anfällig. Um davor geschützt zu sein, sollte man daher auf eine Sicherheitslösung zurückgreifen.
Datevnet Netz
DATEVnet
Netz ist eine IT-Sicherheitslösung, welche die IT und das Netzwerk der Kanzlei
umfassend und professionell schützen kann. Neben einem sicheren Internetzugang
wird auch höchste Sicherheit beim E-Mailverkehr garantiert. Alle E-Mails und
Internetdaten durchlaufen dank DATEVnet Netz automatisch eine zentrale und
stets aktuelle Viren- und Spamprüfung sowie Firewalls im DATEV-Rechenzentrum.
Die Software agiert unauffällig im Hintergrund und wird bei der Internetnutzung
nicht wahrgenommen.
Konkret bietet die Software folgende Leistungen
- Absicherung der IT
Die Software schützt vor Viren und anderen Angriffen aus dem Netz. Mit der Nutzung des DATEV-Routers wird der Internet-Zugang abgesichert. Zudem werden Virenschutz und Firewalls ständig aktualisiert. - Geschützter Internetzugang
Der Aufruf bekannter schädlicher Internetseiten wird automatisch unterbunden. - Sicherheit in der
E-Mail-Kommunikation
Eine Spamprüfung schützt vor dem Erhalten von Mails mit Schadsoftwares. E-Mails werden außerdem bis zu 24h rückwirkend auf neue bekannte Bedrohungen geprüft. Beim Empfang einer E-Mail mit erhöhtem Gefährdungspotenzial, leitet die Software automatisch eine Warnung an den Nutzer weiter. - Lokaler Virenschutz
Zusätzlich wird das lokale DATEV-Antivirenprogramm VIWAS zur Verfügung gestellt.
E-Mail-Adresse schützen
Das Telemediengesetz (TMG) schreibt gewerblichen Webseitenbetreibern in Deutschland vor, dass durch ein Impressum Besuchern bestimmte Informationen zur Verfügung gestellt werden müssen. Laut §5 Abs. 1 Nr. 2 TMG gehören zu diesen Informationen auch:
„Angaben, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation mit ihnen ermöglichen, einschließlich der Adresse der elektronischen Post“.
Kurz gesagt, Kanzleien sind verpflichtet, eine E-Mail-Adresse auf ihrer Website zu veröffentlichen. Das birgt die Gefahr Opfer von Spam-Attacken oder gar von Phishing-Mails zu werden. Das ist nicht nur lästig, sondern stellt auch ein Sicherheitsrisiko dar. Es gibt jedoch verschiedene Tricks, wie der Zugriff von Spambots auf die E-Mail-Adresse eingeschränkt werden kann, ohne dass dabei das TMG verletzt wird. Möglichkeiten sind beispielsweise:
- CAPTCHAs einsetzen
Mit CAPTCHAs können sowohl das Kontaktformular, als auch eine E-Mail-Adresse auf der Website vor Bot-Zugriffen geschützt werden. Die E-Mail-Adresse wird erst sichtbar, wenn ein Nutzer sich als Mensch ausgewiesen hat. Dies kann über ein Rätsel oder eine Zahlenkombination, die abgetippt werden muss, erfolgen. - Schutz per Weiterleitung
Wenn Spam-Programme nach E-Mail-Adressen suchen, durchforsten sie den Quelltext von Websites nach bestimmten Kennzeichen die auf eine E-Mail-Adresse hindeuten, beispielsweise ein @-Zeichen. Diese Methode wird Harvesting genannt. Um die E-Mail-Adresse vor den Harvestern zu schützen, muss sie aus dem Quelltext verschwinden. Dies ist zum einen möglich, indem auf der Website nur ein Bild mit der E-Mail-Adresse hinterlegt wird. Diese Lösung ist allerdings wenig nutzerfreundlich. Besser ist es daher, ein Redirect-Script zu implementieren. Der menschliche Nutzer wird erst nach einem Link-Klick auf den eigentlichen mailto-Verweis weiter geleitet. Spam-Bots nehmen einen solchen Link im Quelltext als normalen Verweis auf eine Datei war und können die E-Mail-Adresse nicht mehr einfach auslesen.
Leider ist ein völliger Schutz der E-Mail-Adresse kaum möglich. Die E-Mail wird nicht nur im Impressum, sondern auch an anderer Stelle auf der Website auftauchen, bei der allgemeinen Information, bei der möglichen Newsletter-Bestellung, bei den Daten zu Ansprechpartnern usw. Ziel ist es daher einen größtmöglichen Schutz aufzubauen, es muss jedoch im Hinterkopf behalten werden, dass dennoch Spam-Attacken und andere Angriffe vorkommen können.
SSL-Zertifikate
Was ist ein SSL-Zertifikat
Wenn die Kommunikation zwischen Website-Besucher und Website verschlüsselt ist, wird im Browser vor der URL ein Schloss-Symbol angezeigt. Damit diese verschlüsselte Verbindung überhaupt aufgebaut werden kann, wird ein SSL-Zertifikat benötigt.
Wie funktioniert SSL-Verschlüsselung?
Durch die SSL-Verschlüsselung werden die Inhalte einer Website und alle eingegebenen Daten sicher und geschützt zwischen Browser und Server übertragen. Gibt ein Website-Besucher nun Daten, wie beispielsweise ein Passwort ein, wird dieses verschlüsselt, chiffriert übertragen und erst vom Webserver wieder entschlüsselt. Ein Hacker der diesen Datenverkehr abfängt, kann die Verschlüsselung nicht lösen.
Warum ist das SSL-Zertifikat so wichtig?
Ein
SSL-Zertifikat gewährleistet das Geheimhalten von Online-Interaktionen und verhindert
Sicherheitslücken in der Kommunikation. Das wissen auch viele Internetnutzer.
Sie vertrauen daher Websites, die durch SSL-Verschlüsselung abgesichert sind,
wesentlich stärker.
Zudem sind Hacker, Phisher und Datendiebe ein aktuelles Problem. Mit dem
IT-Sicherheitsgesetz sind kommerzielle Websites auch dazu verpflichtet, die
Daten ihrer Website-Besucher zu schützen. Mit einer SSL-Verschlüsselung ist das
möglich.
Cookie Consent
Die meisten Webseiten verwenden Cookies. Nutzer können dadurch wiedererkannt werden und sie müssen beispielsweise ihre Zugangsdaten nicht jedes Mal neu eingeben.
EU-Cookie-Richtlinie und Telemediengesetz
Die EU-Cookie-Richtlinie sieht eine ausdrückliche Einwilligung des Nutzers vor, falls die Website Cookies verwendet. Diese Richtlinie wurde in Deutschland jedoch nicht umgesetzt. In Deutschland besagt dafür das Telemediengesetz (TMG), dass Nutzer über die Cookies unterrichtet werden und auf ein Widerspruchsrecht hingewiesen werden müssen.
DSGVO
Die DSGVO gilt ebenfalls in Deutschland. Auch hier sind Vorschriften bezüglich Cookies festgehalten. Websitebetreiber sind demnach verpflichtet, in ihrer Datenschutzerklärung die Rechtsgrundlage für das Verwenden von Cookies zu nennen.
Lösung für Websitebetreiber
Wer sich rechtlich auf sicherem Boden bewegen möchte, sollte die Einwilligung der Nutzer per Cookie-Consent-Tool einholen. Hierfür kann beim ersten Aufruf der Seite ein Einwilligungstext eingeblendet werden. Der Nutzer sollte hier detailliert informiert werden und die Möglichkeit haben Cookies zu setzen. Vor der Zustimmung dürfen dann keine Daten übertragen werden.
Benötigen alle Cookies eine Einwilligung?
Momentan ist diese Frage noch nicht final geklärt. Tracking und Werbe-Cookies von Drittanbietern benötigen in jedem Fall eine Einwilligung. Dabei handelt es sich vor allem um Cookies, die für die eigentliche Funktion der Website nicht zwingend notwendig sind. Wer sicher gehen will, sollte immer eine Einwilligung einholen.