![[schematische Darstellung eines Netzwerks]](46-1.jpg)
Zu den operationalen Risiken gehören auch technische Belange der Netzwerkarchitektur: Sind Kompionenten und Protokolle wirklich sicher?
Nach einer Studie von Ernst & Young haben zwei Drittel der befragten Unternehmen Sicherheitsbedenken gegen die Ausweitung ihrer E-Commerce-Aktivitäten. Eine sorgsame Prüfung der Risiken könnte viele dieser Bedenken zerstreuen. Während E-Business allgemein die Prozesse zwischen Geschäftspartnern mittels elektronischer Medien umfasst, soll hier unter E-Commerce die Abwicklung rechtsverbindlicher Geschäftsbeziehungen zwischen Partnern beispielsweise per Internet verstanden werden.
Einen Spezialfall stellt das Office-Banking mit der Abwicklung geldwerter Geschäfte über elektronische Medien dar. Diese Transkationen können zwischen Unternehmen untereinander, mit Banken oder Kunden ablaufen. Das E-Commerce umfasst dabei den gesamten Prozess vom Informationsaustausch über Bestellung, Lieferung und Rechnungsstellung bis hin zur Zahlung. Bei der Geschäftsabwicklung per E-Commerce sind strategische, operationale, finanzielle sowie Informations- und Rechtsrisiken zu prüfen.
Zu den operationalen Risiken gehören auch technische
Belange der Netzwerkarchitektur: Sind Kompionenten und Protokolle
wirklich sicher?
Unter strategischen Risiken ist zuerst zu prüfen, ob eine E-Business-Strategie vorhanden ist und welche Ziele man mit E-Commerce verfolgen will. Soll das Internet als Vertriebsplattform oder als Marktplatz für Produkte und Dienstleistungen dienen? Welche Chancen bieten sich realistisch betrachtet? Wer sind die Konkurrenten im Internet? Welchen Marktanteil strebt das Unternehmen mit E-Commerce-Aktivitäten an? Welche Preise fordert man für Produkte bei E-Commerce gegenüber traditionellen Vertriebswegen? Wie werden sie kalkuliert? Nur 10 % der im Internet tätigen Firmen aktualisieren ihre Internetseiten täglich – wie häufig sollen die eigenen Webseiten aktualisiert werden? In Sachen Qualitätsstandards: Welche Fehlerhäufigkeit oder Ausfallzeiten sind zulässig? Welche Zugriffs- und Bearbeitungszeiten sind akzeptabel?
Als operationale Risiken sind Prozessrisiken zu prüfen: Wie erfolgt die interne Kommunikation zwischen E-Commerce-Vertrieb und Ertragsplanung? Werden interne Vorschriften eingehalten? Sind die Prozesse plausibel und angemessen? Wie ist die Haftung geregelt, wenn ein Benutzer das Firmenportal über einen eingebundenen Link zu einem anderen Anbieter verlässt und es dort zu einem Rechtsstreit kommt? Die Gefahr besteht, dass Hacker die eigene Einstiegsseite manipulieren – Aufträge oder Preise könnten verfälscht, Zahlungen manipuliert werden. Circa 30 Prozent aller Hacker sind Inhouse-Täter. Ist der Internetauftritt gegen unerlaubte Zugriffe von innen und außen gesichert?
Als weitere operationale Risiken müssen sich die Prüfer technische Risiken zum Beispiel in der Netzwerkarchitektur vornehmen (vgl. Abb.). Zu fragen ist unter anderem, ob die Kommunikation authentifiziert und verschlüsselt erfolgt? Zwischen welchen Komponenten sind Firewalls installiert? Wie reagiert die Firewall auf Fehler? Gibt es ein Eskalationsmanagement, wenn Angreifer eindringen? Wer ist für fremde Inhalte verantwortlich, die auf dem Applikationsserver abgelegt sind? Sind zugekaufte Komponenten vertrauenswürdig? Gibt es bei Ausfall des Applikationsservers ein Notfallkonzept? Welche Rechte besitzen Administratoren auf dem Applikationsserver? Bei operationalen Risiken gilt es, den gesamten Prozess und alle Hard- und Softwarekomponenten zu prüfen.
Finanzielle Risiken erfordern die Frage nach Wirtschaftlichkeitsberechnungen: Nicht alle Kunden akzeptieren elektronische Transaktionen – braucht das Unternehmen überhaupt E-Commerce? Wurden finanzielle Risiken beispielsweise im Zahlungsverkehr analysiert? Wie sind geldwerte Transaktionen gesichert? Ist das Unternehmen bei Einsatz von E-Commerce gegen Wirtschaftsspionage gefeit?
Bei den Informationsrisiken ist zu prüfen, ob eine Bestellung bestätigt werden muss und welche Stornomöglichkeit besteht. Zu welchem Zeitpunkt muss sich ein Partner identifizieren? Wie wird ein Kunde auf eigene Risiken hingewiesen, zum Beispiel im Zusammenhang mit Cookies? Wie verhindert das System das Ausspähen von Passwörtern, Kundengewohnheiten oder der Häufigkeit von Kundenreklamationen? Gibt es einen Schutz davor, dass interessierte Kunden auf die Webseite eines Konkurrenten umgeleitet werden? Was tut das Unternehmen gegen die Gefahr von Denial-of-Service-Angriffen? Was tut es, damit ein Kunde auch nach dem Kauf im Internet mit dem Service zufrieden ist? Nutzt das System Zertifikate? Welche Protokollierung ist aktiviert? Sind unerwünschte Internet-Dienste abgeschaltet?
Rechtsrisiken betreffen im E-Commerce speziell die Einhaltung des Bundesdatenschutzgesetzes (BDSG) im Zusammenhang mit der EU-Richtlinie zum Datenschutz, das Signaturgesetz (SigG) und die zugehörige Verordnung (SigV) sowie das Telekommunikations- (TKG) und Teledienstegesetz (TDG) mit den zugehörigen Datenschutzbestimmungen. Im Bankenbereich sind darüber hinaus das Geldwäschegesetz und die Mindestanforderungen an das Betreiben von Handelsgeschäften der Kreditinstitute zu beachten.
Weitergehende Prüfungshinweise zum Datenschutz enthält
zum Beispiel auch der Datenschutzleitfaden von SAP, der kostenlos
im Internet verfügbar ist (![[externer Link]](../../../../images/link.gif)
http://service.sap.com,
SAPNet-Benutzerkennung erforderlich).
Dipl.-Kfm. Hans-Joachim Gaebert (gaebert@t-online.de) ist selbstständiger Unternehmensberater für DV-Revision und -Sicherheit.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 6/2001, Seite 46
