von Atilla | Nov. 18, 2024
Im heutigen digitalen Zeitalter sind Websites ständig Angriffen ausgesetzt. Eine gängige Bedrohung ist Clickjacking, bei dem Angreifer unsichtbare Frames auf einer Website einfügen, um die Benutzer zu täuschen und sie dazu zu bringen, unbeabsichtigt Aktionen auf der Seite auszuführen. Eine effektive Methode, um Clickjacking zu verhindern, ist die Verwendung von sicheren HTTP-Headern. In diesem Beitrag werden wir erläutern, wie du durch die korrekte Konfiguration von Security Headers deine Website vor Clickjacking und anderen Bedrohungen schützen kannst.
1. Strict-Transport-Security
HTTP Strict Transport Security (HSTS) ist eine großartige Funktion, um die Implementierung von TLS zu verstärken und den User Agent dazu zu bringen, nur HTTPS-Verbindungen zu verwenden. Dies schützt vor Man-in-the-Middle-Angriffen und sichert die Kommunikation zwischen deinem Server und den Besuchern.
Empfohlene Einstellung:
Strict-Transport-Security: max-age=31536000; includeSubDomains
Fehler laut securityheaders.com:
Strict-Transport-Security HTTP Strict Transport Security is an excellent feature to support on your site and strengthens your implementation of TLS by getting the User Agent to enforce the use of HTTPS. Recommended value "Strict-Transport-Security: max-age=31536000; includeSubDomains".
Optionen:
- a) Sucuri: Sucuri bietet eine einfache Möglichkeit, HSTS hinzuzufügen, besonders bei der Verwendung von WordPress. Weitere Informationen findest du im wpbeginner Blog.
- b) Cloudflare: Cloudflare bietet ebenfalls eine einfache Integration von HSTS. Sie stellen entsprechende Einstellungen in ihrer Dashboard-Oberfläche zur Verfügung.
- c) Custom htaccess: Wenn du deine eigene .htaccess Datei bearbeiten möchtest, füge die folgende Zeile hinzu:
In der .htaccess-Datei (Apache Server):
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
In NGINX Umgebungen:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
2. Content-Security-Policy
Content Security Policy (CSP) ist ein wirksames Mittel, um deine Website vor Cross-Site-Scripting (XSS)-Angriffen zu schützen. Durch das Whitelisten von vertrauenswürdigen Quellen für Skripte und andere Inhalte kannst du verhindern, dass schadhafter Code geladen wird.
Empfohlene Einstellung:
Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com; object-src 'none';
Fehler laut securityheaders.com:
Content-Security-Policy Content Security Policy is an effective measure to protect your site from XSS attacks. By whitelisting sources of approved content, you can prevent the browser from loading malicious assets.
In der .htaccess-Datei (Apache Server):
Header set Content-Security-Policy "default-src 'self'; script-src 'self' https://trusted.cdn.com; object-src 'none';"
In NGINX Umgebungen:
add_header Content-Security-Policy "default-src 'self'; script-src 'self' https://trusted.cdn.com; object-src 'none';";
3. X-Frame-Options
Der X-Frame-Options Header sorgt dafür, dass deine Website nicht in einem Frame auf anderen Seiten angezeigt werden kann. Dies schützt vor Clickjacking-Angriffen, bei denen Benutzer durch unsichtbare Frames manipuliert werden können.
Empfohlene Einstellung:
X-Frame-Options: SAMEORIGIN
Fehler laut securityheaders.com:
X-Frame-Options X-Frame-Options tells the browser whether you want to allow your site to be framed or not. By preventing a browser from framing your site you can defend against attacks like clickjacking. Recommended value "X-Frame-Options: SAMEORIGIN".
In der .htaccess-Datei (Apache Server):
Header always set X-Frame-Options "SAMEORIGIN"
In NGINX Umgebungen:
add_header X-Frame-Options "SAMEORIGIN";
4. X-Content-Type-Options
Der X-Content-Type-Options Header verhindert, dass der Browser den MIME-Typ von Dateien errät. Durch diese Einstellung wird sichergestellt, dass der Browser den deklarativen Content-Type verwendet und keine gefährlichen Inhaltsarten versehentlich interpretiert.
Empfohlene Einstellung:
X-Content-Type-Options: nosniff
Fehler laut securityheaders.com:
X-Content-Type-Options X-Content-Type-Options stops a browser from trying to MIME-sniff the content type and forces it to stick with the declared content-type. The only valid value for this header is "X-Content-Type-Options: nosniff".
In der .htaccess-Datei (Apache Server):
Header always set X-Content-Type-Options "nosniff"
In NGINX Umgebungen:
add_header X-Content-Type-Options "nosniff";
Zusammenfassung: Alle empfohlenen Header-Einstellungen
Hier sind alle Sicherheits-Header, die du in deiner .htaccess oder NGINX-Konfiguration einfügen kannst, um Clickjacking und andere Angriffe zu verhindern:
Für die .htaccess-Datei (Apache Server):
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header set Content-Security-Policy "default-src 'self'; script-src 'self' https://trusted.cdn.com; object-src 'none';"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Für NGINX Server:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header Content-Security-Policy "default-src 'self'; script-src 'self' https://trusted.cdn.com; object-src 'none';";
add_header X-Frame-Options "SAMEORIGIN";
add_header X-Content-Type-Options "nosniff";
Ressourcen
von Atilla | Okt. 22, 2020
GoBD-konforme Archivierung von Geschäftsdokumenten wie Rechnungen, Mails und sogar Chats. Wir zeigen euch wie es geht. Wer ein Unternehmen betreibt muss seine E-Mails seit 2017 gesetzlich verpflichtend GoBD-konform archivieren. Das ist bei vielen angekommen doch die wenigsten haben es bisher umgesetzt. Noch weniger Leute Leute haben sich um das Thema der Archivierung in Bezug auf den Schriftverkehr in Chat-Programmen beschäftigt.
Übersicht:
- GoBD-konform, was soll das heißen
- GoBD-konforme Archivierung von E-Mails
- Mail Archivierung bei IONOS / 1und1
- Mail Archivierung be dogado
- Weitere Webhoster mit Mail-Archivierungsfunktion
- Mail- und Dokument-Archivierung mit Lexware
- Mail-Archivierung mit Mailstore
- GoBD-konforme Archivierung Chats
- Chat-Archivierung mit teamwire.eu
- GoBD-konforme Rechnungs- und Angebotserstellung
- GoBD-konforme Archivierung – Fazit
- Weiterführende Links und Quellen
1. GoBD-konform, was soll das heißen
Die Abkürzung steht für „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ – leicht zu merken, oder?
Die wichtigsten Regeln dieser GoBD sind:
a) Dass alle Mails / Nachrichten unveränderbar archiviert werden. Heißt einmal archiviert kann man an den Nachrichten nichts mehr drehen oder wenden, alles wird in den Logs der Software festgehalten bzw. nachvollziehbar protokolliert.
b) Alle Dokumente dürfen nur von berechtigten Personen eingesehen werden.
c) Das Archiv benötigt einen sogenannten Revisoren-Zugang. Hierbei handelt es sich um eine gesonderten Nutzer mit dem Beispielsweise Mitarbeiter von Behörden bei Bedarf Zugriff haben können um die Archivierungstätigkeiten zu prüfen.
d) Alle Dokumente dürfen erst nach der gesetzlichen Frist gelöscht werden können.
Die Frist liegt bei den meisten Dokumenten bei 6 oder 10 Jahren, eine genaue Übersicht findet man über den Link am Ende dieses Beitrags.
e) E-Mails und Chats müssen maschinell auslesbar sein.
f) E-Mails müssen samt Anhängen im Originalzustand archivierbar sein
Um diese Regeln einzuhalten bedarf es in jedem Fall einer gesonderten Software, die diese Vorschriften einhält. Im Folgenden gehen wir auf die unterschiedlichen Tools und Anbieter ein.
2. GoBD-konforme Archivierung von E-Mails
Bei der Archivierung von E-Mails gibt es im Vergleich zur Archivierung von Chats eine größere Auswahl an Tools und Anbietern. Der Hauptunterschied liegt hierbei an der Art der Speicherung wo wir die Wahl zwischen der externen Speicherung auf Servern von Drittanbietern und der lokalen Speicherung auf einem internen Speicher im Unternehmen haben.
3. Mail Archivierung bei IONOS / 1und1
Da die Mails in den meisten Fällen über die Mail-Server von Webhosting Unternehmen laufen haben einige Hoster ihr Angebot um die GoBD konforme Mail-Archivierung erweitert. Der bekannteste dürfte hierbei IONOS / 1und1 sein. Hierbei zahlt man für einen Speicher mit 5GB 2,50 € / Monat zusätzlich. Inkl. Postfach fängt der Spaß bei 3,50 € / Monat an, was ein recht guter Preis ist, dafür dass man in der Hinsicht den Kopf frei hat.
4. Mail Archivierung bei dogado
Dogado ist ein Webhosting Anbieter der auf die aktuellsten Hosting Technologien wie z.B. Litespeed setzt und zusätzlich stark expandiert. Beispielsweise wurde der Anbieter Aixpro komplett aufgekauft und sein Angebot in das von dogado integriert. Zuletzt wurde auch der gerade im Shop Hosting bekannte Anbieter Profihost in das Unternehmen integriert, wobei Profihost im Gegensatz zu Aixpro noch als als eigenständige Marke auf dem Markt weiter besteht.
Dogado kooperiert bei der Archivierung der Mails mit dem Archivierungsspezialisten von MailStore, die Kosten werden hierbei auf Anfrage mitgeteilt.
5. Weitere Webhoster mit Mail-Archivierungsfunktion
Mit der Zeit kommen immer mehr Webhosting-Anbieter auf den Trichter und erweitern ihr Angebot um die GoBD-konforme Archivierung von E-Mails. Weitere bekannte Anbieter sind zum Beispiel:
Strato – https://www.strato.de/mail-archivierung/
Estugo Webhosting – https://www.estugo.de/e-mail-archivierung/
6. Mail- und Dokument-Archivierung mit Lexware
Lexware ist vielen bekannt als Anbieter für geschäftliche Software für die Buchhaltung, die Lohnabrechnung und ähnliche Themen. Seit kurzem ist der Anbieter auch mit einer speziellen Mail-Archivierungssoftware am Markt. Hierbei ist das Tool gerade für Anwender von weiteren Lexware Programmen sehr praktisch, das sich beispielsweise die Archivierung von geschäftlichen Dokumenten aus den Programmen heraus archivieren läßt.
Denn am Ende des Tages darf nicht vergessen werden, dass ALLE wichtigen elektronischen Dokumente archiviert werden müssen. Sprich es reicht nicht wirklich nur seine Mails zu archivieren, da es auch eine Reihe von Dokumenten gibt, die eben nicht per E-Mail versendet werden sondern beispielsweise per Post. Einige Dokumente werden gar nicht versendet und verbleiben in der Regel auf der Festplatte liegen, ohne dass diese korrekt archiviert werden.
Und auch ohne die Anbindung an Lexware Software lassen sich mit der LExware Archivierungssoftware wichtige Dokumente GoBD konform archivieren. Hierfür steht dem Kunden ein 5GB Speicher zur Verfügung den jeweils 2 Nutzer verwenden können. Der Speicher kann zudem bei Bedarf vergrößert werden.
Kosten: ab 19,90 € / Monat
Vorteile:
– 30 Tage kostenlos testen
– Speicher für Mails und Dokumente
– mit iOS App um Dokumente unterwegs einzusehen
Weitere infos und Bestellung:
https://shop.lexware.de/archivierungssoftware
7. Mail-Archivierung mit Mailstore
Mailstore ist DER Anbieter für Mail-Archivierung und tritt im Hintergrund bei zahlreichen Webhosting Anbietern auf um deren Angebot mit dem Archivierungstool zu erweitern. Hierbei wird die SaaS, also Software as a Service, Version verwendet. Sprich die Daten werden auf externen Servern gesichert.
In dieser Variante zahlt man einen vergleichaweise geringen Preis, hat aber auch entsprechend wenig Speicher zur Verfügung. Ein Unternehmen, was wirklich viele Mails erhält und versendet wird hierbei teures Geld bezahlen und fährt langfristig besser mit der Option sich MailStore auf dem eigenen Rechner zu installieren.
In dem Fall hat man jedoch ersten die vollkommene Datenhoheit über sein Archiv und kann es zudem bei Bedarf kostengünstig durch den Verbau von größeren Festplatten beliebig kostengünstig erweitern. Einziger Nachteil für Mac User: Man muss sich einen zusätzlichen Windows Rechner zulegen, da die Software für Mac nichtverfügbar ist.
8. GoBD-konforme Archivierung von Chats
Ja, auch Chats müssen archiviert werden. Egal ob mit Kunden oder intern – sofern es um geschäftliche Belange geht verpflichtet der Gesetzgeber alle Unternehmer ihre Chats GoBD konform zu archivieren. Die meisten haben davon noch nie etwas gehört oder hören lieber schnell weg, damit man nicht noch mehr Arbeit an der Backe hat.
Wie es dann aber mal im Falle einer Betriebsprüfung aussieht ist wieder eine andere Geschichte. Deshalb: Sorgt dafür dass ihr eure Chats korrekt archiviert. Aktuell ist das ganz noch nicht so einfach. Einige gehen hin und kopieren den Chat-Verlauf am Ende des Tages und legen die Kopien dann in Dokument Archiven ab, aber das ist ganz sicher nicht das gelbe vom Ei.
9. Chat-Archivierung mit teamwire.eu
Bei unserer ersten Recherche konnten wir bisher nur einen einzigen Anbieter ausfindig machen, der die automatisierte GoBD-konforme Archivierung von Chats anbietet. Und das ist teamwire! Doe Preise bewegen sich bei 4 € / Nutzer
Das dürfte auch der Grund sein warum folgende Anbieter alle auf teamwire setzen: Die Post, die Sparkasse, NDR, Vodafone, BARMER, das Bundesministerium für Arbeit & Soziales und die Continentale.
Vorteile:
– Läuft auf dem Desktop, Android & iOS
– Einziges Chat-Tool mit GoBD konformer Archivierung
10. GoBD-konforme Rechnungs- und Angebotserstellung
Um das Thema GoBD abzurunden soll noch kurz auf das Thema der Rechnungs- und Angebotserstellung eingegangen werden. Auf der Seite von Sage (Link s. unten) wird beispielsweise erklärt welche Angaben zwingend in eine Rechnung und in ein Angebot gehören. Wenn es um die Erstellung geht, ist also nicht mehr zu beachten, als dass man diese ganzen wichtigen Angaben in der Rechnung (dem Angebot oder der Mahnung) nicht vergisst.
Fälschlicherweise wird aber das Sage Warenwirtschaftssystem als Allheilmittel zur GoBD-Konformität angepriesen, was so nicht korrekt ist. Es wird z.B. behauptet, dass Rechnungen und Angebote, die mit einem spezialisierten Tool (natürlich von Sage) erstellt werden und so auf dem Rechner abgelegt werden schon GoBD-konform sind. Hierbei wird auf die Unveränderlichkeit der Dokumente verwiesen. Da dieser Punkt aber nur einer von vielen ist, ist diese Behauptung sehr nah an einer zu Marketing Zwecken verwendeten Täuschung.
Die Unveränderlichbarkeit jedweder Datei wird also am Ende des Tages durch das Programm mit dem das Dokument archiviert wird eh schon gewährleistet und bedarf nicht noch eines zusätzlichen Tools wie Sage 50. Wird eine Rechnung also als normale Word- oder PDF Datei in einem GoBD-konformen Datei Archiv, wie beispielsweise von Lexware, abgelegt ist alles in Butter. Genauso in Butter ist es, wenn man nur ein Mail Archiv verwendet und alle gesendeten Angebote, Rechnungen und Mahnungen ebenfalls dort archiviert werden.
Wird ein Angebot einmal per Post oder händisch übergeben kann man das Dokument beispielsweise an eine zusätzliche Mail Adresse wie archiv@deinunternehmen.de senden und hat somit auch alles korrekt archiviert.
11. GoBD-konforme Archivierung – Fazit
Wer bereits eine Software für die GoBD konforme Archivierung seiner internen Firmen-Dokumente verwendet benötigt in Zukunft bzw. spätestens gestern ein weiteres Tool um seine Mails und Chats ebenfalls korrekt zu archivieren. Beim Thema Chat führt hierbei kein Weg vorbei an teamwire da es zur Zeit kein anderes Chat-Programm gibt, was diese Funktion mitbringt.
Beim Thema Mail-Archivierung hat man die Qual der Wahl. Wer aber beispielsweise einfach eine „kleine“ Webseite mit nur einer E-mail Adresse verwendet der fährt gut mit einem der SaaS Tools, welche einige der Webhosting Anbieter mitbringen.
Größere Firmen mit viel Schriftverkehr sollten hingegen auf eine interne Lösung mit MailStore setzen. Wer zudem noch kein Archivierungstool für seine Dokumente nutzt kann mit dem Tools von Lexware zwei Fliegen mit einer Klappe schlagen, was sich insbesondere für Mac-User anbietet, die keine Lust haben für MailStore extra einen zusätzlichen Rechner anlegen möchten.
P.S.: Wer noch mehr über die GoBD erfahren möchte dem wird der Klick auf den Link von marktschreyer.de empfohlen.
12. Quellen und weiterführende Links
Bundesfinanzministerium.de – Gesetzestext GobD
https://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/Weitere_Steuerthemen/Abgabenordnung/2019-11-28-GoBD.pdf?__blob=publicationFile&v=9
Dogado.de – E-Mail Archivierung mit MailStore
https://www.dogado.de/domains-emails/e-mail-archivierung
ionos.de – E-Mail Archivierung als Erweiterung:
https://www.ionos.de/office-loesungen/email-archivierung
marktschreyer.de – GoBD-konform arbeiten als Selbstsändiger
https://www.marktschreyer.de/wissen/gobd-konform/
Reisswolf.com – Praktische Liste mit allen Aufbewahrungsfristen für das Jahr 2020
https://www.reisswolf.com/de/leistungsbereiche/akten-und-datenvernichtung/aufbewahrungsfristen/
Sor.de – Revisionssichere E-Mail Archivierung
https://www.sor.de/revisionssichere-e-mailarchivierung/
Sage.com – GoBD konforme Dokumenten Erstellung:
https://www.sage.com/de-de/blog/angebot-rechnung-co-gobd-konform-erstellen-und-versenden-auch-mit-dem-mac/
Shopanbieter.de – Gastbeitrag von Estugo zur Mail-Archivierung
https://www.shopanbieter.de/14717-haeufige-irrtuemer-in-bezug-auf-die-e-mail-archivierung
Teamwire.eu – Revisionssichere Chat-Archivierung
https://www.teamwire.eu/blog-de-de/revisionssichere-archivierung-der-kommunikation-ueber-einen-messenger-fuer-unternehmen
Triumph-Adler.at – Vergleich aller Chat-Tools im Hinblick auf Einhaltung der DSGVO
https://www.triumph-adler.at/resource/blob/124962/7887a507907bbcdb9840e65184f4924d/messenger-vergleich-tabelle-neu-at-data.pdf
