Was ist die Einhaltung gesetzlicher Vorschriften und wie wirkt sie sich auf die WordPress-Sicherheit aus?
Veröffentlicht: 2019-07-24Um Geschäfte zu machen, müssen Ihre WordPress-Website und Ihr Geschäft Regeln und Vorschriften einhalten. Diese Regeln und Vorschriften können die Form von Gesetzen annehmen (wie GDPR oder HIPAA). Es kann sich auch um Compliance-Anforderungen wie PCI DSS oder ISO 27001 handeln, die von Land zu Land unterschiedlich sein können.
Was ist Compliance?
Regulatorische Compliance oder einfach Compliance beschreibt den Zustand eines Unternehmens, das den Regeln und festgelegten Richtlinien entspricht, die von einer Aufsichtsbehörde festgelegt wurden.
Compliance ist eine wichtige Komponente in jeder Organisation, die Wert auf Transparenz, Sicherheit und Verantwortlichkeit legt. Unternehmen können Compliance nutzen, um ihre Geschäfte im Einklang mit Anforderungen, Gesetzen und Vorschriften mit der richtigen Einstellung zu führen. Und natürlich die Sicherheit ihres Geschäftsbetriebs und ihrer WordPress-Website verbessern.
Jedes Geschäft ist anders. Daher gibt es in Sachen Compliance kein Patentrezept . Es hängt auch davon ab, wo auf der Welt Ihr Unternehmen tätig ist, mit wem Sie Geschäfte machen und welche Daten Ihre WordPress-Site von Endbenutzern sammelt.
Obwohl es unmöglich wäre, alle Compliance-Vorschriften aufzulisten, sind die folgenden einige allgemeine, die man als Inhaber einer WordPress-Website beachten sollte:
- Die Datenschutz-Grundverordnung (DSGVO) ist eine Datenschutz- und Datenschutzgesetzgebung der Europäischen Union (EU). Es trägt dazu bei, den Schutz der Verarbeitung personenbezogener Daten von EU-Bürgern durchzusetzen.
- Der Payment Card Industry Data Security Standard (PCI DSS) ist ein Informationssicherheitsstandard für Organisationen, die mit Kreditkartendaten umgehen, wie z. B. E-Commerce-Shops. Der Umfang von PCI DSS besteht darin, die Kontrollen rund um die Handhabung und Verwaltung von Karteninhaberdaten zu verstärken, um Kreditkartenbetrug zu reduzieren. Wenn Sie eine E-Commerce-Lösung haben oder etwas online verkaufen, lesen Sie unseren PCI DSS-Leitfaden für Besitzer von WordPress-Websites.
- ISO 27001 ist eine Spezifikation, die einen Rahmen von Richtlinien und Verfahren umreißt, der rechtliche, physische und technische Kontrollen umfasst, die an den Risikomanagementprozessen einer Organisation beteiligt sind.
- Der Health Insurance Portability & Accountability Act (HIPAA) ist ein Gesetz der Vereinigten Staaten. Es befasst sich mit dem Datenschutz und der Sicherheit der Patientenakten.
Warum gibt es regulatorische Compliance?
Aus unterschiedlichen Gründen bestehen unterschiedliche regulatorische Compliance-Anforderungen. Im Allgemeinen bestehen Compliance-Anforderungen, um Unternehmen beim Erreichen eines bestimmten Sicherheitsniveaus zu unterstützen. Abhängig von der Compliance-Anforderung oder -Vorschrift kann es vorkommen, dass eine Organisation regelmäßigen Audits unterzogen wird. Typischerweise werden Unternehmen bei Nichteinhaltung mit Geldbußen oder dem Verlust der Akkreditierung belegt.
Compliance spielt eine große Rolle, wenn es um Sicherheit geht. Viele Compliance-Anforderungen beschreiben (in unterschiedlichem Detaillierungsgrad) Sicherheitskontrollen und -prozesse, die vorhanden sein müssen, um bestimmte Kriterien der genannten Compliance-Verordnung zu erfüllen.
Natürlich geschieht Regulierung normalerweise, um Ordnung in das Chaos zu bringen. Ein Beispiel hierfür ist PCI DSS. Es kam ins Spiel, weil Online-Kreditkartenverarbeiter nicht die notwendigen Sicherheitsvorkehrungen trafen, um Karteninhaberdaten sicher zu halten. In jüngerer Zeit kam die DSGVO ins Spiel, um die EU-Datenschutzgesetze zu reformieren und zu harmonisieren und die Privatsphäre der EU-Bürger zu verbessern. Die DSGVO ermöglicht es dem Gesetzgeber, Organisationen, die sich nicht an die Datenschutzgesetze innerhalb der EU halten, harte Strafen aufzuerlegen.
Warum sind Regulierung und Compliance eine gute Sache?
Compliance und Vorschriften sind mit Gesetzen, Auflagen, Audits und Strafen verbunden. Dadurch bekommen sie oft einen schlechten Ruf. Es ist jedoch erforderlich, um Organisationen dabei zu helfen, die Bedeutung der Einhaltung der Gesetze und des ethischen Handelns zu verstehen.
Compliance ist aber auch ein notwendiges Übel. Es erhöht die geschäftliche Komplexität, die Kosten und verschlingt viel Zeit, die sonst für das Wachstum des Unternehmens aufgewendet wird.
Allerdings überwiegen die Vorteile einer bewussten Anstrengung, sich an Regeln zu halten, deutlich die Nachteile. Organisationen haben die Möglichkeit, die Transparenz zu stärken; Kundenvertrauen aufbauen und in neue regulierte Märkte expandieren, um größere Kunden anzuziehen.
Reicht Compliance aus, um Sicherheit zu gewährleisten?
Leider wird Compliance häufig mit Sicherheit verwechselt. Eine Organisation ist möglicherweise konform, aber nicht ausreichend sicher. Auf der anderen Seite findet man selten Organisationen, die zwar sicher, aber nicht konform sind.
Compliance ist eine zeitpunktbezogene, einheitliche Bewertung, die anzeigt, dass eine Organisation eine Mindestsicherheitsanforderung erfüllt. Regulatorische Standards wie beispielsweise PCI DSS und HIPAA haben eine Checkliste solcher Sicherheitsanforderungen.
Auf der anderen Seite bietet die Sicherheitsabwehr technische Maßnahmen zum Schutz vor schlimmen Ereignissen wie dem Durchsickern vertraulicher Kundeninformationen. Mit anderen Worten, während eine Unternehmensrichtlinie für eine Compliance-Kontrolle ausreichen kann, bedeutet dies nicht, dass dies technisch nicht möglich ist. Ein einfaches Beispiel hierfür wäre die NSA. Obwohl es sicherlich das Kopieren und Verteilen von geheimen Dokumenten verbietet, hat Edward Snowden nichts davon abgehalten.
Wo fangen Sie mit der WordPress-Compliance an?
Compliance kann einschüchternd sein und klingt nach einer unmöglich zu erreichenden Aufgabe. Dies ist jedoch nicht der Fall. Glücklicherweise steht Besitzern von WordPress-Websites eine Menge Dokumentation und Hilfe zur Verfügung, wie z. B. unser PCI-DSS-Leitfaden für Besitzer von WordPress-Websites. Sie können beginnen, indem Sie der Liste von Hinweisen folgen, die wir für Sie vorbereitet haben:
- Finden Sie heraus, welchen Compliance-Anforderungen Sie unterliegen – Gesetze und Vorschriften sind von Land zu Land sehr unterschiedlich. Je nach Größe, Art und Komplexität Ihres Online-Geschäfts und E-Commerce-Shops sollten Sie sich bei den örtlichen Behörden erkundigen. Auch in diesem Bereich können Sie sich bei Bedarf professionelle Hilfe holen.
- Verbessern Sie Ihre Sicherheit – gute Sicherheitspraktiken sind nicht nur zentral und gesetzlich vorgeschrieben, sondern machen Ihr Leben auch erheblich einfacher. Sie können beispielsweise wie folgt beginnen:
- Aufzeichnung von Website-Änderungen in einem WordPress-Aktivitätsprotokoll,
- strenge WordPress-Passwortrichtlinien durchsetzen,
- Scannen Sie Ihre WordPress-Site nach Dateiänderungen,
- Richten Sie eine felsenfeste Backup-Lösung ein,
- Verwenden Sie eine Online-Firewall wie Sucuri oder installieren Sie eine lokale WordPress-Sicherheitslösung.
- Setzen Sie auf Sicherheit und Compliance – das mag zunächst wie eine bittere Pille erscheinen. Je früher Sie jedoch Sicherheit und Compliance als wesentliche Geschäftsfunktion annehmen, desto weniger Reibung wird dies auf lange Sicht verursachen und desto weniger WordPress-Sicherheitsprobleme werden Sie haben.