Wird Google Analytics zur bedrohten Tierart?

Der 12. Jänner 2022 war in Österreich kein guter Tag für Google Analytics und all jene, die es für ihre Websites nutzen. Die österreichische Datenschutzbehörde hat eine wegweisende Entscheidung getroffen. Der Einsatz von Google Analytics verstößt gegen die Datenschutzgrundverordnung (DSGVO). Diese Entscheidung betrifft die Website „netdoktor.at“, aber man kann sie exemplarisch für anderen Websites verstehen. Das Urteil ist noch nicht rechtskräftig. Aufgrund des Richterspruchs „Schrems-II“ des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2020, ist aber davon auszugehen, dass dieses auch bei einem Einspruch beim Bundesverwaltungsgericht nicht aufgehoben wird.

Schrems-II Urteil: Noch nie gehört?

Um das zu erklären, muss ich etwas ausholen. Der Österreicher Max Schrems hat die Initiative „NOYB – non of your business“ 2017 gegründet, um gegen Datenschutzverstöße in der EU vorzugehen. Bereits 2016 erstritt er ein Urteil beim EuGH, welches das Safe-Harbour-Abkommen für ungültig erklärt.

Nach diesem Urteil wurde „Privacy Shield“ ausgehandelt. Es war eine informelle Absprache im Bereich des Datenschutzes zwischen der EU und den USA. Sie regelte den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der EU in die USA übertragen werden. Dagegen brachte NOYB bei der irischen Datenschutzbehörde Beschwerde ein. Sie beanstandete, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Am 16. Juli 2020 kippt der EuGH in seinem Urteil die EU-US-Datenschutzvereinbarung „Privacy Shield“. Die vereinfacht formulierte Begründung: Mit Blick auf die Zugriffsmöglichkeiten der US-Behörden seien die Anforderungen an den Datenschutz nicht gewährleistet. Zudem sei der Rechtsschutz für Betroffene unzureichend. Dieses Urteil wurde als Schrems-II bekannt.

Google Analytics: Was ist das?

Du hast eine Website für dein Unternehmen. Die soll Besucher anziehen und zu Kund*innen werden lassen. Um Deine Website erfolgreich zu machen, ist es wichtig Daten über das Besucherverhalten zu sammeln. So kannst Du an den richtigen „Schrauben“ zum Erfolg Deiner Website drehen. Mit Google Analytics kannst Du diese Daten sammeln. Es gibt Dir unter anderem Aufschluss:

• Über die Besucheranzahl auf Deiner Seite.
• Wie lange ein Besucher auf Deiner Seite bleibt.
• Über welche Suchbegriffe Deine Seite gefunden wird.
• Welche Browser Deine Besucher nutzen.
• Über welche Endgeräte sie auf Deine Seite kommen.
• Welche Inhalte haben sich die Besucher angesehen.
• u. v. m.

Google Analytics ist ein sehr umfangreiches Tool und hat viele Vorteile sowie – aus Datenschutzgründen – einen großen Nachteil. Es speichert die Daten auf den Servern von Google.

Quiz: Mitarbeiterin des Monats oder Büroschläferin?

Teste doch mit einem Quiz, wie gute Deine Website bereits für Dich arbeitet. Ist sie die Top-Performerin oder eher die Schlaftablette der digitalen Welt.

Lass Dich überraschen und erfahre mehr über Deine Mitarbeiterin. Mit dem Ergebnis erhälst Du ein paar Tipps, wie Du Deine Website zur echten   Wonder Woman machst.

Worin liegt das Problem?

Wenn man Google Analytics nutzt, liegt das Problem vor allem am Speicherort der Nutzerdaten. Jene Daten, die das Programm erhebt, werden auf den konzerneigenen Servern von Google gespeichert. Das Unternehmen hat seinen Hauptsitz in den USA. Daher können US-Behörden, nach amerikanischem Recht, jederzeit Zugriff auf die Daten nehmen können. Das widerspricht den europäischen Datenschutzgesetzen. Google versucht vorzubeugen. Es bietet seinen Nutzern die Möglichkeit, die Daten auf den entsprechenden Servern zu anonymisieren. Doch sobald ein Datensatz dorthin gelangt ist, macht es aus juristischer Sicht keinen Unterschied mehr, wie schnell Google diese Daten anonymisiert.

Im Folgenden gehe ich auf einige Punkte etwas näher ein, um Dir einen kurzen Überblick zu verschaffen.

Was haben die österreichischen Datenschützer entschieden?

Laut dem Urteil der österreichischen Datenschutzbehörde vom 12. Jänner 2022 sind folgende Punkte ausschlaggebend für die Entscheidung:

• Personenbezogene Daten dürfen von US-Anbietern nicht von der EU in die USA übermittelt werden.
• Das Datenschutzniveau in den USA ist niedriger als in der EU: EU-Bürger können sich nicht dagegen wehren, dass US-Geheimdienste auf ihre Nutzerdaten zugreifen.
• Google hat bisher keine ausreichenden Maßnahmen gesetzt, um die Nutzerdaten angemessen zu sichern.

Wie geht es nun weiter?

Die große Frage ist nun: Wie geht es weiter? Ist es möglich, Google Analytics in der EU legal einzusetzen? Laut Max Schrems gibt es für Google Analytics nur zwei Möglichkeiten: „Langfristig brauchen wir entweder einen angemessenen Datenschutz in den USA, oder wir werden am Ende getrennte Produkte für die USA und die EU haben. Ich persönlich würde einen besseren Schutz in den USA bevorzugen, aber das ist Sache des US-Gesetzgebers.„

Was kannst du nun tun?

Wenn Du Google Analytics einsetzt, solltest du es abdrehen. Das klingt jetzt hart, aber der Weiterbetrieb ist riskant. In dem Rechtsspruch der österreichischen Datenschutzbehörde wird klar: Der Websitebetreiber ist für die Sicherheit der Daten verantwortlich, nicht der US-Konzern Google.

Kläre für Dich, ob du tatsächlich ein derartiges Analysetool benötigst. Ist es unerlässlich, solltest Du auf Alternativen umsteigen. Es gibt Anbieter, die ihren Sitz in der EU haben (z. B. Plausible oder Fathom) und solche, bei denen die Daten auf deinem eigenen Server (Matomo oder Offen) gehostet werden.

Website-Sicherheit: ein wichtiges Thema für kleine Unternehmen

Gestern lief „Stirb langsam 4.0“ im Fernsehen. Da soll Bruce Willis einen Hacker zur Vernehmung zur Homeland Security bringen. Dieser Hacker hat einen Code geschrieben, mit dem die Kriminellen in Systeme einbrechen und diese für ihre Zwecke missbrauchen. Es ist ein Kinofilm und (hoffentlich) fern jeder Realität. Aber Du solltest auf keinen Fall unterschätzen, wie gefährlich Cyberangriffe auf Deine Website sind. Nicht nur bekannte Unternehmen werden zum Ziel zu werden. Auch Deine Website ist in Gefahr!

Viele Angriffe erfolgen heutzutage automatisiert mit komplexen Algorithmen und Anwendung von Künstlicher Intelligenz. Es kommt zu Massenattacken auf populäre und verbreitete Content-Management-Systeme (CMS), wie zum Beispiel WordPress. Dabei sucht ein Bot Deine Website nach Schwachstellen ab und nutzen diese, um in das System einzudringen und Schaden anzurichten.

Mein Ziel ist es, Dein Bewusstsein zu schärfen und Dir Möglichkeiten aufzeigen, wie Du Deine Website sicherer machst.

Warum ist Sicherheit so wichtig?

Keine Website ist gegen Hackerangriffe immun. Allerdings haben einige ein besseres Immunsystem (Sicherheitsnetz) als andere. In den letzten Jahren haben Cyberangriffe stark zugenommen. Die Sicherheit Deiner Website ist also wichtiger als jemals zuvor. Bereits ein kleines Datenleck kann für Dein Unternehmen schwerwiegende Folgen haben, wie:

• Hohe Kosten und großer Aufwand, um verursachte Schäden zu beseitigen.
• Verlust von Daten wie z.B. E-Mail-Adressen und Zahlungsinformationen Deiner Kunden.
• Produktivitäts- und Umsatzausfälle durch eine nicht funktionierende Website oder Webshop.
• Imageschaden durch den Ausfall Deiner Website.
• Verlust Deines SEO-Rankings, weil Deine Seite von Google als nicht mehr sicher eingestuft wird.

Im schlimmsten Fall drohen Dir zusätzlich zivilrechtliche Klagen. Besonders, wenn Informationen über Kreditkartendaten oder Kontonummern in falsche Hände geraten. Laut Datenschutzgrundverordnung hast Du als Website-Betreiber*in eine Sorgfaltspflicht: Du musst sensible Nutzerdaten ausreichend schützen!

Welchen Angriffsmöglichkeiten kann Deine Seite ausgesetzt sein?

Es gibt zahlreiche Angriffsvarianten, denen Deine Website ausgesetzt sein könnte. Laufend kommen neue dazu. Cyberkriminelle sind sehr kreativ und erfinderisch. Wenn Du eine Website hast, ist die Wahrscheinlichkeit hoch, dass sie bereits Ziel von einem der folgenden Angriffe geworden ist:

Brute-Force-Attacken
Hier versuchen Hacker, eine typische Schwachstelle von Internet-Usern auszunutzen

→ schwache Passwörter und Benutzernamen

Viele Menschen sind unvorsichtig, wenn es um die Wahl ihrer Passwörter geht. Sie wählen ein „typisches“ Passwort, das von Computerprogrammen schnell erraten werden kann. Ist der Benutzername des Administrators einer Website dann auch noch „Admin“, haben Hacker ein leichtes Spiel. Bei einer typische Brute-Force-Attacke versucht der Bot zigfach, sich mit diesen typischen Anmelde-Daten in eine Website einzuloggen.

Leider sind sehr viele dieser Attacken erfolgreich. Dadurch können Hacker ohne Probleme mit der Administratoren-Rolle auf einer Seite wüten.

Maleware
Das ist kein Angriff, sondern das Ergebnis eines geglückten Hack-Versuchs. Hacker schleusen in Deine Website ein toxisches Stück Code ein. Das passiert meist, ohne dass Du es merkst. Es liegt im Interesse des Hackers, so lange wie möglich unbemerkt zu bleiben. In den häufigsten Fällen wird hier ein wirtschaftliches Interesse verfolgt. Der Schaden für Dein Unternehmen kann enorm sein. So ein schadhafter Code kann zum Beispiel Folgendes bewirken:

Cross-Site-Scripting (XXS)
Hier wird ein Skript, das auf der Programmiersprache Javascript basiert, auf Deiner Website eingefügt. Es fängt die Daten der Besucher ab. Landet ein Besucher auf einer mit Cross-Site-Scripting infizierten Seite, können Angreifer jene Daten auslesen, die der Internetnutzer in seinem Browser gespeichert hat. Das können Kreditkartendaten, Benutzernamen und Passwörter sein. Wie groß der angerichtete Schaden ist, hängt davon ab, wie sensibel die geklauten Daten sind.

Quiz: Mitarbeiterin des Monats oder Büroschläferin?

Teste doch mit einem Quiz, wie gute Deine Website bereits für Dich arbeitet. Ist sie die Top-Performerin oder eher die Schlaftablette der digitalen Welt.

Lass Dich überraschen und erfahre mehr über Deine Mitarbeiterin. Mit dem Ergebnis erhälst Du ein paar Tipps, wie Du Deine Website zur echten   Wonder Woman machst.

Wie stellst Du fest, ob Deine Website betroffen ist?

Nach allem, was Du hier gelesen hast, möchtest Du nun sicherstellen, dass Deine Website noch nicht gehackt wurde? Ich erkläre Dir, wie Du am besten vorgehst.

Die schnellste und einfachste Möglichkeit, Deine Website auf Schwachstellen und Maleware zu überprüfen, ist die Nutzung eines Online-Scanner-Tools. Du gibst Deine URL in das dafür vorgesehene Feld ein und das Tool scannt Deine Website. So können häufige Probleme identifiziert werden. Da Du dafür keine eigene Software oder ein Plugin benötigst, ist es mega bequem und easy. Es gibt im Internet zahlreiche Online-Scanner zur Auswahl. Einfach in der Handhabung ist zum Beispiel Sucuri Sitecheck.

Sollte beim Scannen Deiner Website Maleware oder Schwachstellen entdeckt werden, wendest Du Dich am besten an einen Profi, um Deine Seite säubern zu lassen.

Wie schützt Du Deine Website gegen Cyberangriffe?

Vermeide all den Ärger und Zeitaufwand, den eine gehackte Website mit sich bringt. Schütze Deine Seite von Anfang an so gut wie möglich. Wie Du das am besten machst, verrate ich Dir jetzt. Da WordPress das gängigste CMS auf dem Markt ist, beziehen sich manche Tipps speziell auf dieses System.

Hosting

Auf einige Sicherheitsmaßnahmen hast Du nicht viel Einfluss, da sie auf Server-Ebenen vorgenommen werden müssen. Hier ist die wirkungsvollste Maßnahme, einen sicheren Hostinganbieter zu nutzen. Zum Ersten solltest Du nur einen Anbieter verwenden, der seine Server in der EU (vorzugsweise in Deutschland oder Österreich) stehen hat. Das ist schon aus datenschutzrechtlichen Gründen relevant.
Zum Zweiten solltest Du sicherstellen, dass Dein Hostinganbieter folgende Features mitbringt:

• SSL-Verschlüsselung
• Automatische Back-ups
• Malware Scan
• Virenscanner und Spamfilter

Mein Tipp: Wenn Du Dein Hosting über Deine Webdesignerin beziehst, frag nach, mit welchem Anbieter sie arbeitet und was es alles beinhaltet. Möchtest Du Dein Hosting selbst bei einem Anbieter kaufen, dann überprüfe, wo die Server stehen und ob die oben genannten Features inkludiert sind.

Passwörter

Ein schwaches Passwort macht es leicht, mit Brute-Force-Programmen in Deine Website einzubrechen. Es mag Dir mühsam vorkommen, sich ein kompliziertes Passwort zu merken, aber denk daran: Es ist erheblich unangenehmer und aufwendiger, eine gehackte Seite wieder herzustellen.

Mein Tipp: Verwende ein Passwort aus einer Kette mit zufälligen Zeichen. Es sollte Groß- und Kleinbuchstaben sowie Satz- und Sonderzeichen enthalten. Wenn Du es nicht selbst erstellen möchtest, gibt es Passwort-Manager, die ein entsprechendes generieren.

SSL-Zertifikat

Ein SSL-Zertifikat ist ein Netzwerkprotokoll zur sicheren Übertragung von Daten. Es verschlüsselt Daten, die zwischen zwei Systemen übertragen werden. So können Dritte diese nicht auslesen oder manipulieren. Es bestätigt auch, dass der Server, auf dem die Website gehostet wird, vertrauenswürdig ist.

Mein Tipp: Stell sicher, dass Dein SSL-Zertifikat aktiv und aktuell ist. Das erkennst Du entweder am durchgestrichenen Schloss neben Deiner URL in der Kopfzeile oder Du überprüfst es mit einem SSL-Zertifikats-Checker.

Updates

Für Dein CMS (z. B. WordPress), das verwendete WordPress-Theme und die Plugins gilt: Sicherheitsupdates sind wichtig. Der Vorteil von so bekannten Lösungen wie WordPress ist die große Internet-Community. Sie entwickelt das CMS laufend weiter und erkennt Sicherheitslücken rasch. Du kannst von diesem Vorteil aber nur profitieren, wenn Du Dein System immer auf dem neuesten Stand hältst.

Mein Tipp: WordPress bietet Dir die Funktion „automatische Aktualisierungen aktivieren“ an. Wenn Du nicht täglich in Deinem Backend nachsehen möchtest, ob Updates verfügbar sind, kannst Du diese Einstellung aktivieren. Nimmt das System eine Aktualisierung vor, erhältst Du eine Information per E-Mail.
Achtung: Wenn Deine Seite mit einem Page Builder wie Elementor oder Gutenberg arbeitet, solltest Du diese zwei Plugins nicht automatisch aktualisieren lassen, sondern es manuell durchführen.
Wieso? Es besteht ein Risiko, dass es nach dem Update zu Fehlern kommt. Zum Beispiel, weil sich zwei Plugins in die Quere kommen. Bevor Du diese Plugins updatest, solltest Du auf jeden Fall ein Backup machen.

Back-ups

Du solltest regelmäßig Back-ups Deiner Website machen. Das ist aus mehreren Gründen ratsam.

• Sollten es Hacker doch auf Deine Website schaffen, überschreiben oder löschen sie manchmal ganze Datenbanken, um ihre Spuren zu verwischen. Hast Du die wichtigsten Inhalte gesichert, erleichtert es die Wiederherstellung.
• Bei einem Standard-Update kann es passieren, dass individuell angepasste Systemdateien überschrieben werden.
• Sollte Deine Seite, oder Teile davon, nicht mehr funktionieren, musst Du nicht alles neu erstellen, sondern kannst das Back-up einspielen.

Mein Tipp: Versichere Dich, dass Dein Hosting-Anbieter regelmäßige Back-ups von Deinen Daten macht. Zusätzlich installierst Du ein Plugin in WordPress (ich verwende „Duplicator“) und machst vor jedem Standard-Update, nach jeder Änderung auf Deiner Website und nach jedem Update eines Plugins (Du wirst ja per Mail benachrichtigt) ein Back-up Deiner Website. So bist Du gegen alle unangenehmen Überraschungen abgesichert.

Log-in-Daten

Dass Zugangsdaten sicher sind, sollte selbstverständlich sein. Doch in der Realität sieht das leider anders aus. Zu den beliebtesten Passwörtern zählt immer noch die Zahlenfolge „123456“. Zudem übernehmen viele Nutzer den vom System vorgeschlagenen Benutzernamen „Admin“ oder „Administrator“. Dieser Faktor in Kombination mit einem schwachen Passwort öffnet Hackern Tür und Tor.

Mein Tipp: Achte auf einen individuellen Benutzernamen und ein starkes Passwort. Du kannst bei Deinem Benutzernamen kreativ sein. Er er sollte aber nie offensichtlich mit Dir in Zusammenhang stehen.

Zwei-Faktor-Authentifizierung (2FA)

Diese Methode kennst Du sicher schon von Deinem Online-Banking. Dabei wird ein weiterer Anmeldeschritt hinzugefügt. Nach der üblichen Anmeldung im jeweiligen System mit Benutzernamen und Passwort muss der Log-in noch durch ein unabhängiges Gerät (z. B. ein Smartphone) bestätigt werden. Das kann

• ein Zusatzcode sein, der auf Dein Handy geschickt wird;
• eine E-Mail, mit der Du Dich verifizieren musst, oder
•  eine Information, die nur Du kennst.

Mein Tipp: Wenn Du eine Website oder einen Online-Shop hast, der sensible Daten speichert, installiere ein entsprechendes Plugin auf Deiner WordPress-Seite. So kann sich selbst dann niemand unbefugt Zugriff zu Deiner Website verschaffen, wenn Passwort und Benutzernamen doch mal in falsche Hände geraten

Fazit

Ein absolut sicheres IT-System gibt es nicht. Grundsätzlich ist WordPress ein sehr verlässliches CMS, da es laufend weiterentwickelt wird und Sicherheitslücken geschlossen werden. Jedoch ist es aufgrund seiner Bekanntheit auch ein beliebtes Ziel für Cyberkriminelle. Unabhängig davon, wie bekannt und groß Dein Unternehmen ist.

Wenn Dir die Sicherheit Deiner Website wichtig ist (und dass sollte sie sein) dann hast Du viele Möglichkeiten, sie vor unerlaubten Zugriffen zu schützen. Hacker gehen meist den Weg des geringsten Widerstandes. Je schwerer Du es ihnen machst Deine Seite zu knacken, desto eher suchen sie sich ein neues, leichteres Ziel. Und glaub mir, solche finden sie im „www“ zu Hauf!

Kurz zusammengefasst:

• Wähle einen Hosting-Anbieter, der auf Sicherheit Wert legt.
• Beauftrage eine Webdesignerin mit dem Erstellen Deiner Website, die auch den Sicherheitsaspekt ausreichend berücksichtigt.
• Kümmere Dich nach Übergabe der Website um regelmäßige Updates, oder gibt die Verantwortung an einen Profi ab.

Manchmal ist es nicht die beste Wahl, den günstigsten Anbieter zu wählen. Sowohl beim Hosting als auch beim Webdesign. Vergewissere Dich, dass die Sicherheit Deiner Website gewährleistet ist. Sonst kann eine günstige Website am Ende sehr teuer werden.