Lars Deutsch kreuzt Zeige- und Mittelfinger: "Das ist uns noch nicht passiert, es wird schon schief gehen." Das sei - zusammen mit den überkreuzten Fingern - genau die Haltung, mit der viele Start-up-Unternehmer Angriffe von außen heute noch bekämpften, sagt der IT-Chef des Berliner Online-Spielzeug- und Kindermodeladens My Toys. Er hat seine eigene Start-up-Zeit zwar noch gut in Erinnerung, doch bei seinem jetzigen Arbeitgeber hat Sicherheit Priorität. "In den letzten acht Wochen vor Weihnachten haben wir einen 24/7-Einsatz", so Deutsch. Sieben Tage in der Woche schiebt einer der zwölf IT-Mitarbeiter Bereitschaftsdienst.

Kein Wunder, ist das Weihnachtsgeschäft doch die wichtigste Zeit des Jahres für den Online-Handel. Etwa 2,75 Milliarden Euro wurden einer Studie von Mummert Consulting zufolge in Deutschland 2003 online umgesetzt - 40 Prozent mehr als 2002. Spielzeug, Kleidung und Bücher sind die meistgekauften Artikel der Online-Konsumenten. In zweien dieser Boom-Segmente ist My Toys vertreten.

Wer gerade Bereitschaftsdienst hat, trägt entweder - wie Deutsch - einen Pager am Hosengürtel, der deutschlandweit alle Ausfälle meldet, oder er verbindet sich über einen VPN-Zugang von zu Hause aus mit dem Firmennetz. Störfälle und Angriffe auf die Website von außen registriert ein Intrusion-Detection-System. Deutsch: "Bei Auffälligkeiten schauen wir uns die Logfiles genauer an." Befindet sich dort ein Protokoll mit einer kryptischen URL, sei das ein Zeichen dafür, dass jemand versucht, eine Überlastung des Systems an kritischen Stellen durch einen Buffer Overflow zu bewirken.

Bis jetzt habe sich noch niemand ins System gehackt, beteuert Deutsch. Kleinere Denial-of-Service-Angriffe allerdings habe er mehrfach registriert, das sind fingierte Massenanfragen, die in Millisekunden ins System strömen und den Shop im Extremfall für kurze Zeit lahm legen. "Derzeit befinden sich zu Peak-Zeiten etwa 1000 User im Netz", berichtet Deutsch; "schnellt diese Zahl in kürzester Zeit extrem nach oben, sperren wir den Zugang."

Penetrationstests von Code Blau

Seit 2001 hat My Toys ein ausgetüfteltes, 50 Seiten starkes Sicherheitskonzept. Das reicht von der Passwortvergabe für Mitarbeiter über den Einsatz von Open-Source-Software bis hin zum DatenschutzDatenschutz. "Ein Online-Shop ist ohne diese IT-Sicherheitspolitik heute nicht mehr zu betreiben", meint Deutsch. My Toys hat sich an den Richtlinien des Otto-Konzerns in Hamburg orientiert, der eine 74,8-Prozent-Beteiligung an My Toys hält. Diese böten das Gerüst für "die Pflichtlektüre für jeden unserer IT-ler" in der Geschäftsstelle, die sich in den ehemaligen Fabrikhallen der Kulturbrauerei am Prenzlauer Berg befindet. Alles zu Datenschutz auf CIO.de