Eine klassische Situation im B2B-Mittelstand in Sachen E-Commerce: Der Händler positioniert seinen Webshop als strategischen Vertriebskanal, der zwar - noch - keinen grossen Anteil am Gesamtumsatz ausmacht, aber viel dazu beiträgt, Order-Prozesse, Vertriebsstrukturen und Leadgenerierung zu optimieren. Häufig ist mit dem Webshop auch das Ziel verbunden, neue Geschäftsmodelle zu erschliessen.

Daher stehen auch beim Betrieb des B2B-Webshops Sicherheit und Effizienz im Fokus. Sana Commerce, Anbieter von Software-Lösungen für den Online-Handel, nennt sieben Tipps für einen sicheren B2B-Webshop-Betrieb.

Sicherheit beginnt mit dem Quellcode. Daher sollte zum einen die E-Commerce-Software selbst konsequent den Richtlinien von Open Web Application Security Project (OWASP) folgen. Diese erarbeitet unabhängig Standards und Massnahmen für sichere Web-Anwendungen.

Zum anderen sollte der Webshop zur Kommunikation zwischen Benutzern und Websites sowie zwischen zwei Systemen (etwa Webshop und ERP-System) das Secure Socket Layer- (SSL) oder das aktualisierte Transport Layer Security- (TLS) Protokoll nutzen, um Daten während der Übertragung zu kodieren.

Individuell programmierte Schnittstellen zwischen Webshops und Drittsystemen sind in der Pflege aufwendig und damit ein potenzielles Sicherheitsrisiko. Maximalen Schutz hingegen bieten echte Integrationen - etwa mit ERP-Systemen wie Microsoft Dynamics oder SAP - die von den jeweiligen Anbietern zertifiziert sind und einer kontinuierlichen Sicherheits- und Funktionsprüfung unterliegen.

Grundsätzlich gilt: Je weniger personenbezogene Daten im Webshop-System selbst gespeichert oder verarbeitet werden (sondern nur durch Integration mit bereits DSGVO-konformen Backoffice-Systemen wie dem ERP über sichere Verschlüsselung übermittelt werden - siehe SSL), umso weniger zusätzliche DSGVO-Stolperstellen treten auf.

Neben diesem Grundsatz ersparen sich Mittelstandsunternehmen viel Administrationsaufwand, wenn die Webshop-Software von vornherein DSGVO-konform ist und über Updates kontinuierlich auch Neuerungen integriert werden - wie etwa die Grundsätze des Privacy-by-Default und Privacy-by-Design im Hinblick auf Datenschutz durch Technikgestaltung beziehungsweise durch datenschutzfreundliche Voreinstellungen.

Sowohl für den Webshop als auch jeweils für angebundene Systeme wie ERP oder PIM (Product Information Management) eingerichtete Firewalls sorgen für eine mehrstufige Sicherheit.

Eine DMZ (demilitarisierte Zone), die den direkten Zugriff auf einen Server mit Unternehmensdaten durch externe Nutzer verhindert, bietet zusätzlichen Schutz. Effektiv und einfach sind auch Whitelists mit IP-Adressen, die den Zugriff auf den Admin-Bereich des Webshops einschränken.

Daten zu Zahlungsvorgängen haben im Webshop nichts verloren. Aus Sicherheits- und Effizienzgründen lohnt es sich, die Services von einem Payment-Service-Provider (PSP) mit PCI DSS-Zertifizierung in Anspruch zu nehmen, der alle für ein Unternehmen relevanten Zahlungsmodelle aus einer Hand übernehmen kann.

So muss man nur eine Schnittstelle im Webshop integrieren und profitiert - je nach Anbieter - von Zusatzservices wie intelligente Betrugsprävention, automatisiertes Mahnwesen oder Mechanismen für wiederkehrende Zahlungen respektive Recurring Payments.

Für das Back-up und damit die Hochverfügbarkeit aktiver Webshops bieten sich zwei Massnahmen an. Sie sind wirkungsvoll und wenig aufwendig: Die eine ist, ein Failover-System mit mehreren Webshop-Instanzen einzurichten. So ist sichergestellt, dass auch bei einzelnen Server-Ausfällen der Online-Handel unterbrechungsfrei läuft.

Die zweite Massnahme ist das Hosting des Webshops bei einem Provider, der mit hoch-redundanten Speichersystemen zuverlässig vor Datenverlusten schützt.

Spürbare Entlastung bei vielen Sicherheitsfragen schaffen Webshops als SaaS-Lösung (Software-as-a-Service) in Cloud-Umgebungen, die anerkannt und bewährt sind. In der Regel können Mittelstandsunternehmen nur schwer die Sicherheitskriterien erfüllen, wie sie etwa Microsoft Azure mit seinem Datencenter auch in Deutschland bietet. Werden Zertifizierungen nach Industriestandards nachgewiesen - wie ISO 27001 - ist das maximal Mögliche getan, um nicht nur Hacker-Angriffe abzuwehren.

SaaS-Lösungen in Azure sind kontinuierlich auf dem neuesten Stand, was beispielsweise auch rechtliche Anforderungen wie die bereits genannte DSGVO betrifft, und sie gewährleisten auch, dass ein Webshop stets mit den aktuellsten Sicherheitsfeatures ausgerüstet ist.