Datenschutz & Sicherheit

2. Januar 20244. Januar 2024

JTL-WAWI – lokal oder externes Hosting?

Die JTL-WAWI, eine Warenwirtschaftssoftware von JTL gehört mit zu den beliebteten Warenwirtschaftssystemen im E-Commerce. Dafür gibt es viele Gründe.

Was spricht überhaupt für die JTL-WAWI?

Wer eine Warenwirtschaft benötigt, um Artikel und Lagerbestände zu verwalten hat ganz viele Möglichkeiten. Eine davon ist das ERP-System von JTL. Die Vorteile liegen auf der Hand:

kostenlos
zeitlich unbegrenze Nutzung
netzwerkfähig, beliebig viele Clients können angebunden werden
erweiterbar, durch Kassensysteme
Datenexport und Import mittels Ameise und verschiedenen Schnittstellen
Automatisierung mittels Workflows

Alleine die Kostenfrage, führt viele Anwender zu JTL. Und das ist auch nicht die schlechteste Wahl, denn so können Shops und E-Commerce zunächst einmal ohne allzugroße Kosten aufgebaut werden. Diese Vorteil erkaufen Sie sich aber auch damit, dass JTL keinen Support für die WAWI anbietet, wenn Sie nicht irgendein kostenpflichtiges Produkt rund um die WAWI gebucht haben. Haben Sie also ein Problem, müssen Sie dies mit externen Beratern, selbst oder mit JTL-Servicepartnern lösen.

Welche Anforderungen hat die JTL-WAWI?

Die Hardwareanforderungen, insbesondere die Bildschirmaufösung sind ganz ordentlich. Wer daran spart, wird nicht viel Freude haben. Die Systemanforderungen für die jeweils aktuelle WAWI-Version finden Sie auf der Website von JTL.

Bittte beachten Sie dabei unbedingt, dass für die Clients und den Server unterschiedliche Anforderungen bestehen.

Begrifflichkeiten: Client & Server

Die JTL-WAWI ist eine netzwerkfähige Anwendung die als Client-Server-Anwendung arbeitet. Es gibt einen Hauptrechner, den Server, auf dem die JTL-WAWI-Datenbank auf einem Microsoft SQL-Server liegt. Und dann gibt es die Clients, das sind die Arbeitsplatzrechner, die mit dem Server verbunden sind und auf die Datenbank zugreifen. Allerdings ist es möglich, für 1-User-Systeme auch die Server-Komponenten (also die Datenbank und den Datenbankserver auf einem Rechner zu installieren und auf diesem dann zu arbeiten. Wir werden gleich noch sehen, welche Folgen das hat.

Wer sich entscheidet, auf die JTL-WAWI als Warenwirtschaftssystem zu setzen, steht zunächst vor zwei Fragen, aus denen dann aber schnell drei oder vier werden können.

Wo soll die Datenbank installiert werden, auf einem Server oder einfach auf einem lokalen Arbeitsplatzrechner?
Wenn die Datenbank auf einen Server soll, reicht ein lokaler Server oder braucht man ein Server-Hosting?
Wenn ein Hosting, wo und in welchem Umfang?

Diese Fragen sollen nachfolgend beantwortet werden.

Tipp: Wer nicht alles lesen möchte, kann auch gleich zum Ende springen.

Wo soll die Datenbank installiert werden, auf einem Server oder einfach auf einem lokalen Arbeitsplatzrechner?

Die Datenbank und damit auch der SQL-Server, der die Datenbank verwaltet, muss für jeden Arbeitsplatzrechner über das Netzwerk erreichbar sein, damit die Clients sich mit der Datenbank verbinden können. Wer nur wenige Clients verbinden will, kann dazu also bspw. einen Rechner mit gehobener Hardwareausstattung nutzen, der im lokalen Netzwerk für alle anderen Rechner erreichbar ist.

Das heißt allerdings, dass dieser Rechner auch immer eingeschaltet sein muss, wenn irgend ein Client die WAWI nutzen möchte. Wenn Sie die WAWI an Ebay/Amazon, einen Shop oder andere Plattformen anbinden und über den Worker automatisch die Lagerbestände, Preise und Aufträge importieren bzw. abgleichen möchten, muss der Rechner, der als Server fungiert ebenfalls 24 Stunden laufen.

Vorteile dieser Lösung	Nachteile dieser Lösung
+ keine direkten monatlichen Kosten für den „Server“	– die Performance ist bei „normalen“ Rechnern oft unterdurchschnittlich
+ vorhandene Hardware kann genutzt werden	– keine automatische Backup-Funktion, bei Brand oder anderen Katastrophen ist in der Regel auch ein eventuell vorhandenes Backup weg.
	– Internet-Anbindung oft schlecht
	– Datenverlust durch fehlende Sicherheitskonzepte kann teuer werden.
	– hohe Stromkosten durch den Dauerbetrieb
	– wegen fehlendem Benutzersicherheitskonzepten besteht die Gefahr von unberechtigten Serverzugriffen
	– kein Homeoffice möglich, da ohne Serverbetriebssystem kein sicherer Remotezugang zur Verfügung steht

Vor- und Nachteile im Überblick

Fazit: Wer als Ein-Mann-Unternehmen beginnen möchte, kann mit einem einzelnen Rechner, auf dem sowohl der SQL-Server läuft und gearbeitet wird, problemlos beginnen, sollte aber an ein regelmäßiges Backup der Datenbank auf einem externen Laufwerk oder der Cloud denken.

Wenn die Datenbank auf einen Server soll, reicht ein lokaler Server oder braucht man ein Server-Hosting?

Alternativ zur Installation auf einem PC, wäre zu überlegen, einen eigenen Server zu betreiben, und diesen im lokalen Netzwerk zu betreiben. Das erfordert aber neben der teuren Hardware wiederum erhöhes Wissen zur IT-Sicherheit und Serverkonfiguration. Wer dieses Wissen nicht hat, benötigt einen IT-Experten für die Installation und Wartung und das kann schnell teuer werden.

Vorteile dieser Lösung	Nachteile dieser Lösung
+ keine direkten monatlichen Kosten für den Server	– Server-Hardware ist teuer, wenn man sie als Einzelstück im Fachhandel kaufen muss.
+ der Server ist unter vollständiger physischer Kontrolle	– Backup-Lösungen und USV (=Unterbrechungsfreie Stromversorgung) verursachen zusätzliche Kosten
	– Internet-Anbindung oft schlecht, bzw. hängt von der verfügbaren Internet-Bandbreite ab.
	– für einen sicheren Serverbetrieb ist eine fachgerechte Server-Betreuung und Einrichtung erforderlich.
	– für Homeoffice sind sichere Remoteverbindungen und in der Regel eine feste IP-Adresse erforderlich.
	– Datenverlust durch fehlende Sicherheitskonzepte oder mangelnde Serverkonfiguration kann teuer werden.
	– hohe Stromkosten durch den Dauerbetrieb
	– je nach Serverstandort ist eine Klimaanlage erforderlich
	– Software-Lizenzen (Virenscanner, Office-Paket, VPN …) für den Server sind in der Regel teuer

Vor- und Nachteile eines eigenen Servers im Überblick

Fazit: Ein eigener Server lohnt eigentlich nur, wenn die IT-Infrastuktur dieses auch anderweitig erfordert oder der Server für mehr als 10 Arbeitsplätze genutzt werden soll, da sich auch die Hoster zusätzliche Remote-Verbindungen bezahlen lassen. Allerdings setzt das immer voraus, dass man einen IT-Experten an der Hand hat, der den Server sicher konfiguriert und wartet.

Wenn ein Hosting, wo und in welcher Form?

Die Alternative zum eigenen Server ist ein gemieteter Server bei einem Hoster. Wichtig ist, dass es sich um einen Windows-Server handelt. Und dann haben Sie dort drei Möglichkeiten.

Sie buchen ein Datenbankhosting.
Sie mieten einfach nur einen Windows-Server und installiert dort die JTL-WAWI nebst MS-MSQL-Server oder Microsoft-SQL-Server selbst.
Sie mieten einen Windows-Server speziell für die JTL-Wawi, wo die WAWI und der SQL-Server bereits vorinstalliert ist und wo der Hoster eventuell auch bei der Datenübernahme behilflich ist.

Der Unterschied zwischen einem Datenbankhosting und einem gemieteten Server besteht darin, dass bei einem Datenbank-Hosting lediglich die WAWI-Datenbank auf einem Server liegt und Sie Zugangsdaten zu genau ihrer Datenbank bekommen. In der Regel liegen auf dem Datenbankserver dann mehrere Datenbanken auch von anderen Kunden.

Ein wichtiger Vorteil eines Server- oder Datenbankhostings ist, die hohe Datensicherheit durch professionelle Rechenzentren mit Zugangsbeschränkungen Backup-Lösungen, überwachung der Hardware und oftmals auch redundante Systeme für hohen Schutz vor Ausfällen.

Vorteile des Datenbankhostings	Nachteile dieser Lösung gegenüber eines gemieteten Servers
+ preisgünstig	– Performance leidet eventuell durch andere Nutzer des Servers
+ regelmäßige Backups durch Hoster	– Der Worker kann nicht auf dem Datenbankhosting laufen, so dass dieser auf einem lokalen Rechner laufen muss und dieser also 24 Stunden an sein muss. Das führt zu ebenfalls hohen Stromkosten.
+ keine Probleme bei der Wartung bzw. Aufwand für die Wartung	– Import/Exportlösungen erfordern einzelne Zugriffe auf die Datenbank über das Internet und sind daher oft langsam
+ in der Regel kann man von einer sicheren Serverkonfiguration ausgehen	– für einen sicheren Serverbetrieb ist eine fachgerechte Server-Betreuung und Einrichtung erforderlich.
	– FTP-Zugriffe und Datenaustausch mit Geschäftspartnern können nur über den lokalen Rechner erfolgen

Vor- und Nachteile eines reinen Datenbankhostings

Wenn Sie einen Server mieten, haben Sie eben zwei Möglichkeiten. Sie können einen allgemeinen Windows-Server mieten. Haben dann aber in der Regel keine SQL-Server-Lizenz auf dem Server und müssen sich mit der kostenlosen MS-SQL-Version begnügen. Die reicht aber vielfach auch aus. Dafür können Sie in der Regel Ihren Server selbst administrieren und verwalten, sind also relativ frei in der Nutzung.

Andererseits birgt das die Gefahr, dass Sie ohne entsprechende IT-Sicherheitskenntnisse den Server so installieren, dass er Angriffsflächen für Hacker und Kriminelle bietet. Das ist sehr schlecht für die Sicherheit Ihrer Daten.

Bei einem JTL-WAWI-Server-Hosting ist oft schon eine SQL-Serverlizenz enthalten und die WAWI-Vorinstalliert. Damit ist dann auch der SQL-Server sicher konfiguriert.

Vorteile/Nachteile einfacher Windows-Server	Vorteile/Nachteile Server für JTL-WAWI-Hosting
+ Sie sind völlig frei bei der Installation und Konfiguration**	– In der Regel schränkt der Hoster die Administration ein, um Sicherheitslücken zu vermeiden**
– für die sichere Konfiguration sind Sie selbst verantwortlich. Das erfordert Ahnung von IT-Sicherheit oder einen teuren Fachmann	+ Sie können sich auf einen sicher konfigurierten Server verlassen
– Backups müssen sie oftmals selbst konfigurieren oder durchführen**	+ Automatische Backups erfolgren regelmäßig**
+ Da Benutzer selber eingerichtet werden können, ist oft auch die Einrichtung zusätzlicher Benutzer kostenfrei möglich**	– Zusätzliche Benutzer für den Remotezugriff sind oft kostenpflichtig**
	+ die Hardware und Konfiguration ist auf hohe Performance des SQL-Servers ausgerichtet

Vergleich Windows-Server und JTL-WAWI-Serverhosting **=Individuell vom Hoster abhängig

Fazit: Ein Tarifvergleich ist auf jeden Fall erforderlich und zwar in beiden Varianten der Server-Miete. Es ist dabei nicht einmal sicher, dass ein einfaches Windows-Server-Hosting günstiger ist als ein spezielles JTL-Wawi-Hosting. Meine Erfahrung in letzter Zeit hat nämlich gezeigt, dass es vor allem für kleine Unternehmen und Einzelkämpfer lohnenswert ist, auf ein unkomplizertes JTL-WAWI-Serverhosting zu setzen, bei einem Hoster, der Ahnung von der JTL-WAWI hat und weiß was er anbietet und konfiguriert.

Hier mal eine kleine Beispielrechnung, die mich selbst so betroffen hat. Auch ich habe zunächst mit einem Rechner im Büro begonnen, der als Server diente und ich hatte Glück, dass dieser Rechner immer lief und lief und lief und keine Ausfälle hatte. Das ist leider nicht immer so.

Kosten für eigenen PC, als „Server“
Hardware vorhanden	0 €
Stromkosten (monatlich) durch 24h-Betrieb (berechnet mit 1500 kWh/Jahr a 38 Cent netto). Darin sind die Grundgebühren des Stromanbieter noch nicht enthalten.	47,50 €
Mwst. auf die Stromkosten (wer den Rechner im Privathaus/Wohnung stehen hat und den betrieblichen Anteil der Stromkosten nicht nachweisen kann, kann in der Regel auch die Vorsteuer nicht abziehen)	7,58 €
SUMME (gerundet)	55 €

Kosten für einfachen Windows-Server, gemietet
Hardware im Mietpreis inbegriffen	0 €
monatliche Kosten (incl. Mwst.)	59,90 €
abzgl. gesparte Stromkosten	-47,50 €
SUMME (gerundet)	12 €

Kosten für JTL-WAWI-Server-Hosting bei EcomData
Hardware im Mietpreis inbegriffen	0 €
monatliche Kosten (incl. Mwst.)	29,40 €
abzgl. gesparte Stromkosten	-47,50 €
SUMME (gerundet) Einparung	-18 €

Vergleich monatliche Kosten

Die die Einparungen beim Stromverbrauch konnte ich durchaus an der nächsten Stromrechnung erkennen. Sie sind keine Erfindung und nicht übertrieben. Darüberhinaus kann ich beide Server-Mietkosten als Kosten voll von der Steuer absetzen, wärend ich aufgrund meiner individuellen Situation nur 11% der Stromkosten als Kosten geltend machen konnte und die Mwst. nicht als Vorsteuer absetzen konnte.

Fazit

Mit Umzug meiner WAWI und Datenbank zu Ecomdata konnte ich sogar gegenüber dem eigenen Rechner im Keller trotz der Servermiete mehr einsparen, als mich die Servermiete kostet. Und ich habe jetzt einen professionell konfigurierten Server, einen schnellen und hilfreichen Support an der Hand, der Probleme schnell analysiert und löst. Ich für meinen Teil würde immer wieder ein Hosting bei EcomData einem selbstkonfigurierten und gehosteten Windows-Server vorziehen. Der Umzuge der Datenbank ließ sich selber und sehr unkompliziert machen. Das kann man aber auch vom Support erledigen lassen. Auch als Ein-Personen-Unternehmen mit nur einem Wawi-Nutzer lohnt also oftmals schon ein Serverhosting! Wer daran spart, rechnet entweder nicht richtig, oder spart am falschen Ende.

10. Januar 202013. Januar 2020

Was bedeutet „Website nicht sicher“ in der Adresszeile des Webbrowser eigentlich …

Im Zeitalter von Phishing-Mails und Datenschutz sind viele Internet-Nutzer sensibilisiert, wenn es um das Thema Sicherheit geht. Vielfach fehlen aber leider wichtige Informationen, um die aktuelle „Gefahrenlage“ wirklich korrekt zu beurteilen.

Eine der häufigsten Fragen der letzten Zeit, die ich gestellt bekommen habe: Darf man eine Website besuchen, für die der Browser in der Adresszeile anzeigt, dass sie nicht sicher ist?

So zeigt Chrome eine Seite an, die nicht über die das https-Protokoll abgerufen wird.

Die Antwort lautet ganz eindeutig „Jein“.
Man sollte hier sehr genau unterscheiden, um was für eine Seite es sich handelt. Auch wenn diese Meldung des Browsers, erst einmal den Anschein erweckt, dass die Website selbst nicht „vertrauenswürdig“ ist, stimmt dies so nicht. Der Browser beurteilt nur die Art der Kommunikation zwischen Browser (dem Programm mit dem der Nutzer die Website von seinem lokalen Rechner/Smartphone aufruft) und Server (der Rechner, auf dem die Website gespeichert ist).

Diese Meldung sagt aus, dass die Daten, die zwischen Webserver und Browser ausgetauscht werden, nicht verschlüsselt übertragen werden. Eine Verschlüsselung dient dazu, dass sich ein Dritter, der sich in die Datenübertragung „einklinkt“ die Daten nicht lesen kann. Dazu ist ein sogenanntes SSL-Zertifikat erforderlich.

Und um zu beurteilen, ob das bedenklich ist, muss man eben unterscheiden, welche Art von Daten überhaupt zwischen Server und Browser übertragen werden und das hängt ganz erheblich von der Art der Website ab.

HINWEIS

Etwas anderes ist, wenn ein Virenschutzprogramm Ihnen beim Aufrufen der Website meldet, dass der Zugriff auf die Seite blockiert wurde, weil sie nicht vertrauenswürdig ist. Solche Meldungen kommen daher, weil der Virenscanner im Inhalt der Seite Code entdeckt hat, den er für gefährlich hält, oder die Domain (Adresse der Seite) steht in einem Online-Verzeichnis mit „gefährlichen“ Websites. Auch dabei kommt es natürlich zu Fehleinschätzungen, aber in aller Regel, sollten Sie solche Seiten wirklich nicht aufrufen und bei einer solchen Meldung sofort das Browserfenster schließen.

Einfache statische Webseiten, ohne Suchfeld und Kontaktformular

Auch heute gibt es zum Glück immer noch ganz einfache Websites, die einfach nur Text, Bilder und Videos anzeigen und keine dynamischen Inhalte haben. Dynamische Inhalte sind solche, die von einem Skript auf dem Webserver erzeugt, bspw. aus einer Datenbank im Hintergrund abgerufen werden. Solche einfachen statischen Websites bestehen aus einfachem HTML-Code mit Bildern und anderen Mediendateien und machen nichts weiter, als die Inhalte anzuzeigen, die fest über den HTML-Code definiert sind.

Beim Aufruf sendet der Browser seine IP-Adresse und die Adresse der anzuzeigenden Seite an den Server. Dieser schickt daraufhin die angeforderte Seite an die entsprechende IP-Adresse. Sollte ein Hacker sich in die Kommunikation einklinken kann er maximal die ohnehin öffentlichen Inhalte der Website abrufen bzw. die IP-Adresse des Browsers, der die Anfrage an den Server schickt.
Wenn es keine Eingabefelder gibt, über die der Nutzer eigene Daten eingeben kann, dann gibt es auch keine relevanten besonders schützenswerte Daten, die abgefangen werden könnten. Aus diesem Grund ist es auch völlig irrelevant, ob die Kommunikation mit dem Server verschlüsselt erfolgt oder nicht.

HINWEIS

Sehen Sie in der Adresszeile also Adressen, die mit „.html“ oder „.htm“ enden, handelt es sich um einfache statische Seiten. Sofern da keine Formulare, bspw. Kontaktformulare eingebunden sind, oder Inline-Frames, die wiederum Inhalte aus anderen Websites unter Umständen auch dynamische Inhalt anzeigen, die dann vielleicht doch serverseitig verarbeitet werden, gilt dabei, dass eine unverschlüsselte und vom Browser als „unsichere“ Kommunikation mit dem Server bezeichnet wird, absolut unproblematisch ist.

Blogs und dynamischen Websites

Die meisten Websites sind heute dynamische Websites, wie Blogs, wie bspw. auch dieses Seite. Sie werden vom Webserver erzeugt, unter Zuhilfenahme einer Datenbank und serverseitig ausgeführtem Code. Normalerweise übermittelt aber auch hier Ihr Browser nur die URL die abgerufen werden soll und die IP-Adresse des Browsers.

Oftmals haben Sie hier aber die Möglichkeit über Kontaktformulare oder auch nur ein Suchfeld, Daten einzugeben und an den Server zu schicken. Diese Daten könnten, wenn sie unverschlüsselt, also ohne https-Protokoll übermittelt werden, von Dritten abgefangen werden.

Zudem enthalten solche Seiten aber oftmals auch Code der für die Website-Analyse und die Analyse des Nutzerverhaltens sorgt. Informationen dazu sollten Sie im Normalfall in der Datenschutzerklärung der Website finden. Dieser Code könnte Daten an den Server übermitteln, ohne dass Sie diese eingeben müssen. Wichtige personenbezogene Daten, wie bspw. Ihr Geburtsdatum, eine Handy-Nummer oder gar Kreditkartendaten können so aber nicht übermittelt werden, denn über diese Informationen von Ihnen verfügt die Website nicht.

HINWEIS

Wenn Sie auf solchen Seiten, jedoch betreffende Daten in ein Kontaktformular oder eingeben und an den Server senden, verfügt dieser natürlich über solche Daten. Das sollten Sie nur dann tun, wenn die Seite über eine SSL-Verschlüsselung verfügt, also der Browser, diese Seite als „sicher“ kennzeichnet. Sie erkennen solche Seiten daran, dass der Browser ein schwarzes Schloss anzeigt und Sie eine entsprechende Info erhalten, wenn Sie mit der Maus auf das Symbol zeigen.

Sichere, verschlüsselte Seiten werden mit „https://“ vor der Adresse ausgewiesen und Sie erhalten eine Info über den Aussteller des Zertifikats, wenn Sie mit der Maus auf das Schloss zeigen.

Fazit

Solange Sie keine persönlichen Daten in irgendwelche Eingabefelder auf der Seite eingeben, sind auch solche Seiten unproblematisch, selbst wenn die Datenübertragung unverschlüsselt erfolgt.

Online-Banking-Seiten, Websites die hochprivate Daten sammeln und verarbeiten

Sehr kritisch sind alle jene Seiten, die hochprivate Daten von Ihnen sammeln und an den Server senden. Sei es beim Online-Banking oder auch, wenn Sie bspw. in Online-Shops Kreditkartendaten oder Ihre Bankverbindung eingeben oder aber, wenn Sie online bei Ihrer Versicherung einen Schaden melden.

Verfügen diese Seiten NICHT über ein SSL-Zertifikat und übertragen die Daten verschlüsselt, sollten Sie dort keine Daten eingeben! Achten Sie hier unbedingt auf eine verschlüsselte, sichere Übertragung und sehen Sie sich auch die Informationen zum Zertifikat an. Solche Websites kommen nicht mit einem einfachen SSL-Zertifikat aus. Das Zertifikat sollte nicht nur für eine verschlüsselte Übertragung sorgen, sondern auch den Inhaber der Seite ausweisen und verifizieren. Dazu klicken Sie einfach auf das Schloss-Symbol und bekommen dann Informationen zum Zertifikatsinhaber. Dieser sollte mit dem Betreiber der Seite übereinstimmen, den Sie im Impressum finden.

Das Zertifikat einer Seite die besonders sensible Daten verarbeitet sollte auch ausweisen, für wen das Zertifikat ausgestellt wurde.

HINWEIS

Zum Glück ist es heute so, dass die meisten modernen Webbrowser, Seiten, die besonders sensible Daten anfordern und keine Verschlüsselung besitzen, ohnehin blockieren. Dennoch sollten Sie selbst auch noch mal einen Blick in die Adresszeile des Browsers werfen, bevor Sie wichtige Daten eingeben.

Websites mit fehlerhaftem Zertifikat/unvollständiger Verschlüsselung

Es gibt Websites, die zwar generell verschlüsselt sind, aber wo es so genannte unsichere Elemente gibt. Diese Seiten werden vom Browser ebenfalls besonders gekennzeichnet. In Firefox ist das ein Schloss mit gelbem Ausrufezeichen.

Websites die unverschlüsselte Inhalte haben, grundsätzlich aber mit SSL-Zertifikat ausgeführt werden, werden in Firefox mit gelbem Ausrufezeichen auf dem Schloss-Symbol gekennzeichnet.

Für solche Seiten gilt im Prinzip das Gleiche, wie für Seiten, die garnicht verschlüsselt werden, da sie so ohne Weiteres nicht erkennen können, welche Teile unverschlüsselt übertragen werden. Sind das Kontaktformulare etc. ist dies genauso gefährlich als wenn die Seite gar nicht verschlüsselt ist. Auch hier gilt aber, solange Sie keine Daten eingeben und senden, kann nichts passieren.

FAZIT

Wer auf seine Daten achtet, tut gut daran, auf unverschlüsselten Websites keine persönlichen Daten einzugeben und abzuschicken. Wer das aber ohnehin nicht tut, kann problemlos auch unverschlüsselte Websites aufrufen und nutzen.