Vergleicht man Webflow mit anderen Systemen, wird schnell klar, warum ambitionierte Start-ups auf Webflow setzen. Eines der wichtigsten Merkmale ist dabei die Sicherheit von Webflow Websites, die die von anderen Lösungen klar übertreffen. 

In diesem Artikel zeigen wir Dir, was Webflow als Company für seine eigene Sicherheit tut und welche Faktoren es auch für Deine Website zur besten Lösung machen.

‍

Webflow: Interne Sicherheit

Lass uns zunächst einmal ansehen, wie Webflow als Company intern für Sicherheit sorgt und wie sich das auf Deine Website auswirkt.

Mitarbeiterkennungen und Zwei-Faktor-Authentifizierung: ISO 27001 

Zum einen stellt Webflow sicher, dass alle seine Mitarbeiter eindeutige Kennungen haben und eine Zwei-Faktor-Authentifizierung verwenden, um sich in die interne Infrastruktur einzuloggen. Dies minimiert schon einmal das Risiko, dass ein Angreifer diese Kennungen übernimmt, um auf die Webflow-Server zuzugreifen, wesentlich. Zudem sind alle Geräte der Mitarbeiter verschlüsselt, und die physischen Server werden überwacht und geschützt.

Dank all dieser internen Sicherheitsmaßnahmen ist Webflow nach ISO 27001 zertifiziert, einem internationalen Standard, der zeigt, welche Anstrengungen ein Unternehmen unternimmt, um den Schutz seiner Daten und der Daten seiner Kunden zu gewährleisten.

Somit stellt Webflow also sicher, dass auch Deine Daten sicher angelegt werden und nicht von potenziellen Angreifern ausgelesen werden können.

Regelmäßige Audits zur Aktualisierung von Sicherheitspraktiken: SOC 2

Der vom AICPA (American Institute of Certified Public Accountants) entwickelte SOC 2-Standard, „Service Organization Control 2“, verlangt von Unternehmen, dass sie gründliche Web-Sicherheitspraktiken einsetzen und diese regelmäßig aktualisieren. 

Um seine SOC 2-Konformität zu bestätigen, musste Webflow ein vollständiges Sicherheitsaudit bestehen, bei dem die Zuverlässigkeit seiner Schutzsysteme überprüft wurde. Dieses Audit umfasst 5 Schlüsselkriterien:

• Sicherheit: Die verwendeten Systeme und die auf den Webflow-Websites erfassten Informationen müssen vor unbefugtem Zugriff geschützt werden.
• Verfügbarkeit: Die Webflow-Systeme müssen für die ständige Nutzung verfügbar sein.
• Integrität der Verarbeitung: Webflow-Systeme müssen zeitnah und korrekt arbeiten.
• Vertraulichkeit: Als vertraulich eingestufte Informationen sollten geschützt werden.
• Schutz: Informationen werden gesammelt, bei Verwendung aufbewahrt und sicher entsorgt.

Seit Dezember 2020 ist Webflow nach SOC 2 Typ 1 zertifiziert und durchläuft derzeit das Audit, um SOC 2 Typ 2 zu werden. 

Webflow arbeitet also stetig daran, seinen Kunden die höchste Sicherheitsstufe für ihre eigenen Websites zu garantieren.

‍

Sicherheit der mit Webflow erstellten Websites

Webflow sorgt also schon einmal als Company selbst dafür, dass interne Prozesse so sicher wie nur möglich mit Nutzerdaten umgehen. Wie sieht es da aber mit Deiner Webflow-Website selbst aus?

Webflow Hosting: AWS

Die auf Webflow erstellten Websites werden im Allgemeinen von AWS (Amazon Web Services) gehostet. Diese Cloud-Lösung von Amazon gehört zu den meistgenutzten Hosts von Websites weltweit.

Um seine Infrastruktur zu schützen, beschäftigt AWS Hunderte von Mitarbeitern, die sich ausschließlich darum kümmern, eventuelle Sicherheitslücken zu finden und diese zu bekämpfen. Das macht AWS besonders robust gegenüber Cyberattacken.

Sicherung der Zugangsdaten

Schauen wir uns nun die Schwachstellen auf der Ebene der Identifizierung der Administratoren einer Website an: Zunächst liegt es natürlich an Dir, starke Passwörter zu wählen, sie regelmäßig zu ändern und vor allem dafür zu sorgen, dass diese Zugangsdaten innerhalb Deiner Company sicher aufbewahrt werden. 

Webflow unterstützt Dich jedoch dabei, Deine Zugänge zu schützen, indem es Dir die Zwei-Faktor-Authentifizierung anbietet: Wenn jemand versucht, sich mit Deinen Zugangsdaten anzumelden, muss er oder sie zusätzlich z. B. einen Code angeben, der per SMS an eine von Dir angegebene Nummer geschickt wird. 

Dadurch wird sichergestellt, dass Du es bist, der/die sich in Deinem Webflow-Editor einloggt. Somit bietet Webflow zusätzliche Sicherheit, falls Deine Zugangsdaten in falsche Hände geraten. 

SSL-Verschlüsselung

Wenn Deine Zielgruppe nun auf Deiner Website unterwegs ist, muss ihr Surfen sicher sein und die Daten, die sie auf Deiner Seite eingeben, dürfen nicht von Dritten abgegriffen werden können.

Um dies zu verhindern, schützt Webflow alle Seiten Deiner Website mit einer SSL-Verschlüsselung (Secure Sockets Layer). Dieses Protokoll schützt die Daten, die zwischen dem Browser des Nutzers und dem Server, der die Website hostet, übertragen werden. 

In Kurzform bedeutet das: Niemand kann die Daten, die an den Server gesendet werden, oder die Daten, die der Browser empfängt, sehen oder verändern. Die meisten Websites verwenden dieses Protokoll, um ihre Daten zu sichern. 

Ob es aktiviert ist, erkennst Du einfach an der URL: Wenn diese mit https statt http beginnt, sind die Daten, die über diese Website laufen, sicher!

Keine Plugins von Drittanbietern

Einer der größten Problemfaktoren bei CMS wie WordPress ist die Verwendung von Plugins von Drittanbietern, mit denen Du Erweiterungen für Deine Website, wie Kontaktformulare, Zahlungsmodule oder Sicherheitselemente hinzufügen kannst.

Diese Erweiterungen stammen zum Großteil von Drittanbietern mit eigener Sicherheitsverantwortung. Das klingt erstmal praktisch, weil selbst keine Arbeit in diese aufwändigen Erweiterungen gesteckt werden muss. Das Problem ist jedoch, dass sie meist nicht regelmäßig gewartet werden und so häufig beim Thema Sicherheit und Aktualität Schwachstellen auftreten.

Bei Webflow wird alles nativ mit dem Tool entwickelt und bei Integrationen arbeitet Webflow nur mit großen Unternehmen wie Mailchimp oder Stripe zusammen. Diese Unternehmen verfügen über eine transparente und verlässliche Sicherheits- und Datenschutzpolitik, die das Risiko, dass Deine Webflow-Website gehackt wird, stark minimiert.

Sicheres Zahlungssystem

Wenn Du eine Webflow E-Commerce Site entwickelst, ist die Sicherheit der Zahlen eines der wichtigsten Faktoren. Bis jetzt hat Webflow einen einzigartigen Partner für Online-Zahlungen gewählt: Stripe. Alle Transaktionen und zahlungsspezifischen Daten werden vollständig von diesem spezialisierten Tool verwaltet, das als Level 1 Service Provider zertifiziert ist.

Stripe verwendet die neuesten Sicherheitsprotokolle wie TLS und HTTPS, um die Daten zu schützen, und überprüft die PCI-Konformität aller seiner Benutzer (globale Sicherheitsstandards für Zahlungskontodaten).

Um Dich zu einzelnen Sicherheitsaspekten von Webflow beraten zu lassen, kannst Du auch eine Webflow Agentur kontaktieren.

‍

Webflow und die DSGVO – was in Deutschland zu beachten ist

Bleibt zum Schluss noch die Frage, wie Webflow mit der DSGVO vereinbar ist. Mit Schlagzeilen wie „Webflow – Wie absichern?“ oder „Webflow Rechtssprechung“ kursieren im Netz einige Theorien, die darauf hindeuten, dass Webflow dabei Schwierigkeiten verursacht.

Was in der Theorie kompliziert klingt, ist in der Praxis einfach herunterzubrechen. Für deutsche Websites, die mit Webflow erstellt werden, gilt es daher ein paar Dinge zu beachten.

Webflow Hosting

Da Webflow, wie zuvor erklärt, über AWS gehostet wird, werden vom Amazon Web Services sowohl nordamerikanische als auch europäische Server zur Übertragung der Daten genutzt. 

Da nicht sichergestellt werden kann, dass die Daten Deiner Website ausschließlich über europäische Server laufen, kann es passieren, dass sie – wenn auch nur aus organisatorischen Gründen, ohne dass diese Daten eingesehen werden können – über ausländische Server übermittelt werden.

Das stellt aktuell in Deutschland datenschutzrechtlich ein Grauzone dar – genau wie bei allen US-amerikanischen Tool-Anbietern, wie auch Mailchimp, Google Analytics und Co.

Inzwischen hat Webflow angekündigt, dass Kunden mit Enterprise Plan zukünftig auf ein DSGVO-konformes Hosting zurückgreifen können.

Webflow Formulare

Bei Formularen auf einer Webflow-Website verläuft dies ähnlich: Alle eingegebenen Daten werden zunächst mit hoher Wahrscheinlichkeit über einen außereuropäischen Server geleitet. Bei Kontaktformulare werden die von Nutzern eingegebenen Daten im Backend von Webflow gespeichert, sodass Du später darauf zugreifen kannst.

Webflow DSGVO Lösung

Die aktuell sinnvollste Lösung für diese Konflikte läuft über die Datenschutzerklärung auf Deiner Website. Hier müssen die oben geschilderten Fälle konkret dargestellt werden, damit Du rechtlich abgesichert bist. Hierzu empfiehlt es sich, mit einem Rechtsberater das Data Processing Addendum von Webflow zu evaluieren und mit Webflow einen Auftrag zur Datenverarbeitung abzuschließen und in der eigenen Datenschutzerklärung zu verlinken. 

Lass Dich hierbei gerne noch einmal von einem Experten beraten, um die Datenschutzerklärung individuell und korrekt zu formulieren.

Im Zweifel steht Dir auch der Kundenservice von Webflow zur Seite: Unter security@webflow.com steht Dir Webflows Supportteam bei Fragen und Anliegen zur Verfügung.

‍