B2B e-Commerce Knowhow (Teil 1): Sicherheit

7 Mrz

Abbildung digitale Sicherheit, Quelle: pixabay.com

Das Thema Sicherheit ist für Onlineanbieter ein Dauerbrenner. Hacker und Softwarehersteller befinden sich in einem ewigen Wettrennen. Fast im Wochentakt werden Berichte zu kritischen Sicherheitslücken in CMS- und Shop-Lösungen publik. Gerade erst wies sogar die Stiftung Warentest erneut auf ein bereits seit Monaten bekanntes Sicherheitsproblem bei einem großen Open-Source-Shopsystem hin, welches in den einzelnen Shops bis heute nicht vollständig ausgeräumt ist. Betroffen von Sicherheitslücken sind kleine Shopbetreiber ebenso wie große Player, wie der Fall Yahoo zeigt.

Sicherheit in B2B Onlineshops

Alles nicht relevant für B2B e-Commerce? Selbstverständlich sind kompromittierte Kundendaten auch im B2B e-Commerce ein Problem und müssen so gut es geht verhindert werden. Darüber hinaus hat das Thema jedoch noch eine viel größere Dimension: im Zeitalter der integrierten Systeme, in denen der Onlineshop Daten direkt in interne Firmensysteme wie ERP, CRM oder PIM einbindet, sind die Risiken von Sicherheitslücken unternehmenskritisch. Einen B2B Onlineshop als Standalone-Lösung zu betreiben ist jedoch auch keine Option. Die Frage ist also, wie schützen Sie Ihr ERP und die wichtigen Daten?

Das richtige Konzept bei der direkten Anbindung an firmeninterne Systeme

Viele Systeme bieten heute von Haus aus die Anbindung über offene Standardschnittstellen wie z.B. Web Service oder die REST API. Dies ist praktisch und erleichtert die Integration verschiedener Systeme. Der Nachteil ist jedoch, dass diese Schnittstellen auch Einfallstore für einen Angriff darstellen, wie erst kürzlich im Fall der WordPress REST API gesehen.

Eine bewährte Lösung stellt hier das Zwischenschalten einer Sicherheitsinstanz dar. So fungiert im Fall unserer Shoplösung silver.eShop der eingesetzte web.connector als Sicherheitsinstanz. Es erfolgt kein direkter Zugriff vom Onlineshop (DMZ) auf das ERP. Es werden nur  definierte Nachrichten zum ERP oder CRM übergeben. Darüber hinaus beinhaltet der Shop ein Monitoring, welches bei Unregelmäßigkeiten den Administrator informiert.

Neben fehlenden technischen Massnahmen führen oftmals konzeptionelle Fehler zu hohen Sicherheitsrisiken: bei vielen Online Shops werden Daten aus ERP oder CRM Systemen importiert. Dies kann im Falle eines Angriffs zu einem massiven Sicherheitsproblem führen. Wenn 10.000 vollständige Kundendatensätze in den Shop importiert werden, dann stellt dies bereits ein hohes Risiko dar. Allerdings unterstützen viele Standard Shops nur diese unsichere Import Variante.

Moderne und sichere Software-Plattformen

Entscheidenen Einfluss auf die Sicherheit hat die verwendete Software oder Platform. Je älter die Platform, umso kritischer ist in der Regel die Sicherheitsfrage. Es gibt zudem unterschiedliche Modelle, wie Zugriffsrechte und Sicherheit  geregelt werden.

Das in silver.eShop integrierte CMS eZ Platform setzt so z.B. auf ein rollenbasiertes Zugriffsmodell, welches den ohne Zuweisung einer entsprechenden Rolle zunächst einmal keinerlei Zugriff auf Inhalte order Funktion irgendwelcher Art gestattet. Dieses Sicherheitskonzept wird per Definition für alle Funktionen und Inhalte der Plattform genutzt.  eZ Plattform wird in sicherheitsrelevanten Bereichen wie bei Banken eingesetzt und regelmäßig überprüft.

Auch das eingesetzte Framework Symfony gilt gemeinhin als eines der modernsten und sichersten, jedoch können Entwickler auch hier schwerwiegende Fehler machen, die Hackern Tür und Tor öffnen.

Viele Anpassungen machen Systeme unsicher

Bei vielen Integrierten B2B  e-Commerce Projekten wird keine Standardlösung für B2B eingesetzt und die Entwickler passen das Produkt so stark an, dass Sicherheitslücken entstehen. Technische Restriktionen zwingen oftmals zu ungewöhnlichen Lösungen: viele an sich sichere Module werden komplett neu entwickelt, zu viele Daten aus dem ERP müssen importiert werden. Dies kann zu erheblichen Sicherheitsrisiken führen.

Häufig wird auf Basis eines VW Golf (=B2C Shop) ein LKW gebaut (=komplexer und integrierter B2B Shop). Für den Strassenverkehr unterbindet zumindest in Deutschland der TÜV oder die Dekra dies. Für Online-Shops gibt es entsprechende Prüfungen leider nicht.

Achten Sie also darauf, dass Sie eine B2B-Lösung einsetzten, die auch dafür entwickelt wurde.

Updates, Updates, Updates

Im Wettlauf von Sicherheitsexperten, Entwicklern, Hackern und Datendieben wird es zwangsläufig immer wieder Situationen geben, in denen Sicherheitslücken aufgedeckt werden. Wenn das der Fall sein sollte, dann hat ein Sicherheitsupdate oberste Priorität. Regelmäßige Sicherheitsupdates müssen zeitnah eingespielt werden. Wenn möglich, greifen Sie auf automatisierte Updates zurück.

Im Rahmen eines eZ Enterprise Vertrags erhalten Sie Sicherheits-Updates automatisch, im Gegensatz zur Open Source Version.

Zum Weiterlesen: Das Blog onlineshop-basics.de hat vor einiger Zeit in einem Artikel die verschieden Risiken für Onlineshops und mögliche Lösungsansätze informativ und übersichtlich zusammengestellt.

B2B Best Practice: Unternehmensprozesse abbilden mit dem Kundencenter

5 Jul

Abstract for our English speaking visitors: To best serve your B2B customers a simple web-shop is not enough. The key to success is self-service. With self-service functions such as order approvals, credit limits, organisational roles & rights and automatic user registration you are helping your customers to perform their jobs more easily and more efficiently. And if you make their jobs easier they will be back to do business with you again. Our e-commerce solutions silver.eShop comes with an add-on called „Customer Center“ that does exactly that: it adds much requested self-service functions and raises the B2B performance of the shop.

Sobald eine Firma eine gewisse Größe erreicht hat, sind B2B Einkäufer in ihrem Unternehmen in Prozesse und Strukturen eingebunden und können nicht einfach mal so etwas online bestellen. Verschiedene Abteilungen benötigen unterschiedliche Materialien und Funktionen. Der Servicetechniker kauft gar nichts, er braucht nur die aktuellsten Datenblätter. Vorgesetzte sind für Freigaben und Budgets zuständig und am Ende hat das Controlling die Zahlen im Blick. Möchte ein Hersteller einen erfolgreichen B2B Shop anbieten, so sollte seine Shopsoftware diese Rahmenbedingungen auch abbilden können.

Selbst ist der Kunde: Automatische Freischaltung und übersichtliche Verwaltung

Für genau solche Fällte gibt es zur Shoplösung silver.eShop ein Zusatzmodul namens „Kundencenter“, welches mittels Rollen & Rechten sowie Freigabeworkflows die Unternehmensprozesse individuell abbilden kann. Das Kundencenter vereinfacht für den Shop-Betreiber die Arbeit, da die Kunden Ihre Daten und Mitarbeiter online selbst pflegen können und diese direkt mit dem ERP ausgetauscht werden.

silver.eShop - DLRG Benutzerverwaltung

Beispiel einer Benutzerverwaltung mit unterschiedlichen Rechten und Limits

Ist das Kundencenter einmal im Shop aktiviert, kann im ERP-System definiert werden, ob ein Kunde das Kundencenter verwenden darf oder nicht. Die Freischaltung kann dann ganz automatisch mit der Kundennummer, einer Rechnungsnummer sowie der E-Mail-Adresse erfolgen. Der Shop prüft anhand einer Anfrage an das ERP-System, ob dieser Kunde das Kundencenter nutzen darf. Ist dies der Fall, so wird im Shop das Unternehmen sowie ein Hauptkontakt angelegt, der zukünftig die Verwaltung der Shopzugänge für sein Unternehmen übernehmen kann. Unter „Mein Konto“ stehen dem Hauptnutzer im Bereich „Kundencenter“ dann die Funktionen „Bestellungen freigeben“ und „Benutzerverwaltung“ zur Verfügung.

silver.eShop - Kundencenter für Hauptkontakt

Kundencenter für Hauptkontakt im Service-Menü

In der Benutzerverwaltung kann der Hauptkontakt:

  • Neue Nutzer anlegen
  • Nutzer aktivieren oder deaktivieren
  • Namen oder Emailadressen ändern
  • Das Budget festlegen
  • Die Rechte und Rollen des Nutzers anpassen

Sollten im ERP-System bereits weitere Mitarbeiter des Kunden bekannt sein, so können diese direkt als Shopnutzer angelegt werden.

Alles im Griff: Budgetverwaltung und Workflows

Ein Hauptkontakt kann für jeden Mitarbeiter individuelle Budgetgrenzen festlegen. Im Standard kann eine maximale Bestellmenge sowie ein Auftragsvolumen je Auftrag definiert werden. Überschreitet ein Mitarbeiter bei einer Bestellung sein Budget, so wird er darüber informiert und sein Auftrag mit allen Angaben zunächst zur Freigabe an einen oder mehrere Personen gesendet.

silver.eShop - Freigabe Bestellungen

Beispiel einer Bestellung, die beim Vorgesetzten auf Freigabe wartet

Der Hauptkontakt kann einen oder mehrere Personen dafür festlegen. Ist keine Person für die Auftragsfreigabe definiert, so erhält der Hauptkontakt die Bestellung zur Freigabe. So kann im Urlaubsfall sichergestellt werden, dass ggf. ein Vertreter eine Bestellung freigibt.

Eine Bestellung, die freigegeben wird, enthält alle nötigen Angaben wie z.B. Lieferadressen, Zahlungs- und Lieferarten sowie Kommentare zum Auftrag. Dies spart Zeit und vermeidet fehlerhafte Aufträge. Bei Bedarf kann die freigebende Person Aufträge auch ändern. Wird ein Auftrag gesendet, so wird der Besteller darüber per Email informiert.

Ein Mitarbeiter kann jederzeit sehen, welche Bestellungen noch offen sind und welchen Status diese haben. Ferner wird die Kommunikation, die der Besteller während des Freigabeprozesses mit dem Verantwortlichen führt, übersichtlich dokumentiert. Wird eine Bestellung nicht freigegeben, so erhält der Besteller eine E-Mail. Er kann den Auftrag mit einem Kommentar und ggf. angepasster Stückzahl oder Gesamtsumme wieder an den Verantwortlichen zur erneuten Prüfung zurücksenden.

Fazit: Für jeden Kunden die passende Funktion

Bieten Sie Ihren Kunden nützliche Self-Service Funktionen, die entscheidende Abteilungen wie den Einkauf oder den Kundenservice gezielt unterstützen. Durch die Einhaltung der inviduellen Bestellprozesse geben Sie ihren Kunden die notwendige Sicherheit, dass keine unerlaubten Bestellungen getätigt werden können, bieten Anreize für höhere Bestellvolumen durch kundeninterne Bündelung von Bestellungen und verringern die Fehler- und Retourenquoten. Sie punkten durch außergewöhnlich guten Service, erhöhen die Kundenbindung und entlasten Ihren eigenen Innendienst. Zusätzlich erhöht sich die Datenqualität im ERP, da die Kunden ihre eigenen Kontaktdaten am besten kennen und über den Shop direkt ins ERP übergeben.

Viele große Unternehmen, die einen strategischen Lieferanten suchen, fordern Freigabeprozesse und eine Budgetverwaltung. silver.eShop ermöglicht auch die direkte Einbindung des ERP-Systems des Kunden für einen vollautomatischen Auftragsprozess. Sprechen Sie uns gerne darauf an!