Die meisten Praxisinhaber glauben nicht, dass Ihre Webseite gehackt wird, da sie davon ausgehen, dass immer eine direkte Person hinter einem Angriff steckt und keine Sorge besteht, solange es auf Ihrer Seite vermeintlich „nichts zu holen“ gibt. Die meisten Hackerangriffe erfolgen mittlerweile jedoch automatisiert durch kleine Computerprogramme. Diese checken tausende von Webseiten auf das Vorhandensein möglicher Schwachstellen wie etwa zu kurze und zu einfache Passwörter oder bekannte Schwachstellen im CMS-System, dem Theme oder eines Plugins von Webseiten, die nicht regelmäßig upgedated werden. Die Angriffe erfolgen häufig aus dem Ausland. Ziel der Angriffe sind in der Regel die Übernahme der Kontrolle über Ihre Website zur Verbreitung von Schad-Programmen (Computerviren, Trojaner etc.), zum unbemerkten Verschicken von Spam-E-Mails oder dem Angriff auf andere Server und Websites, die von Ihrer Website ausgehen.
IT-Sicherheitsgesetz
Am 25.07.2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Das neue Regelwerk soll in erster Linie kritische Infrastrukturen zur Einführung eines einheitlichen und hohen Schutzniveaus für ihre informationstechnologischen Systeme verpflichten um der zunehmendem Bedrohung durch Cyber-Angriffe vorzubeugen und rechtswidrige Zugriffe auf sensible Daten unterbinden. Durch den durch das IT-Sicherheitsgesetz modifizierten §13 TMG gelten folgende Regeln für alle Diensteanbieter:
„Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind.
Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“
Werden die nach §13 Abs. 7 Satz 1 Nr. 1 und Nr. 2 lit. a TMG geeigneten Maßnahmen nicht, unzulängliche oder fehlerhafte eingeführt, kann dies mit einem Bußgeld von bis zu 50.000€ geahndet werden (siehe auch z.B.: https://www.it-recht-kanzlei.de/ssl-verschluesselung-online-shop.html?print=1).
Aus diesem Grund sollten auch Praxisinhaber bestimmte Schutzvorkehrungen für Ihre Praxiswebseite treffen.
Gut zu Wissen
Beim Bayerisches Landesamt für Datenschutzaufsicht kann jede bayerische Webseite aus dem privaten Bereich (und sofern diese personenbezogene Daten verarbeitet) über den HTTPS-Check zur Prüfung angemeldet werden (Wir haben unsere eigene Webseite ebenfalls eingereicht und erfüllen die Vorgaben). Unter anderem wird getestet, ob die Seite über HSTS (Strict Transport Security – Sicherheitsmechanismus für HTTPS-Verbindungen zum Schutz vor Man-in-the-Middle angriffen) verfügt Ob Ihre eigene Webseite über HSTS verfügt, können unter anderem hier testen: https://www.ssllabs.com/ssltest/
Schutz Ihrer Praxiswebseite
Als Kunde, deren Webseiten wir dauerhaft betreuen, setzen wir auf Ihrer Praxiswebseite zahlreiche Schutzmaßnahmen ein. Hierzu gehören u. a.:
- Sichere Passwörter: Für das Back-end Ihrer Webseite vergeben wir ausschließlich sichere Passwörter und wählen unterschiedliche Namen für Benutzer- und öffentlichem Namen.
- SSL-Zertifikat: Wir stellen keine Webseite ohne SSL-Zertifikat online. (HTTPS sorgt für eine verschlüsselte Kommunikation von und zu Ihrer Website)
- Anti-Spam Schutz: Wir setzen verschiedene Anti-Spam Maßnahmen auf Ihrer Webseite ein, um den Spam-Versand zu reduzieren.
- regelmäßige Updates: Mit regelmäßigen Updates des CMS, Theme und Plugins sorgen wir dafür, dass Ihre Praxiswebseite gegen zahlreiche bekannte Schwachstellen geschützt ist
- regelmäßige Back-ups: Mit regelmäßigen Back-ups sorgen wir dafür, dass Ihre Webseite auch im Falle eines Hackerangriffs nicht verloren ist. Für jede Webseite halten wir mehrere und auch ältere Backups vor.
- aktuelle PHP-Version: Soweit dies Seitens Ihres Hosters möglich ist, achten wir darauf, dass Ihre Webseite auf einer aktuellen PHP-Version läuft und so bekannte Schwachstellen alter Versionen nicht ausgenutzt werden können (PHP ist eine beliebte Skriptsprache im Web. Die Verwendung aktueller PHP-Versionen macht sich auch in einer Verbesserten Leistung der Webseite bemerkbar).
- verschiedene Sicherheitstools: Mit mehreren Sicherheitstools sorgen wir dafür, dass die Angriffsmöglichkeiten auf Ihre Praxiswebseite minimiert werden.