Programmierer für Website beauftragen, wie vor Missbrauch absichern?

Hallo Zusammen

Ich möchte für Erstellung und Pflege eines Online-Shops einen Programmierer/Webdeveloper beauftragen.

Klar wäre es besser jemanden mit der Programmierung und dem Webdeveloping zu beauftragen, den man kennt und dem man vertraut. Leider habe ich diese Option nicht.
Da ich leider nicht das Budget für eine Agentur habe, werde ich einen Freelancer beauftragen.

Die Domains laufen auf meinen Namen.
Den Hosting-Service würde ich auch unter meinem Namen anmieten.

Wenn ich jetzt den Programmierer bitte mir z.B. Magento zu installieren und anzupassen, muss ich ihm ja Zugang zu meinen Domains etc geben.

Was kann ich tun, um dennoch die Kontrolle über meine Domains und Homepages zu haben? (Z.B. im Falle eines Streits oder kriminellen Absichten des Programmierers)

Um es dramtischer auszudrücken, was kann ich tun, damit ich die Kontrolle behalte und der Programmierer nicht die Homepage, Domain etc. kapern oder als „Geisel“ nehmen kann?

Wäre super wenn jemand dazu praktische Tipps hätte.

Kommt gut ins Wochenende

Paul

Hallo,

zunächst einmal solltest du Hosting-Service und Domains nicht unter dem selben Account führen. Es gibt keinen Grund, warum dein Programmierer/Webdeveloper irgendetwas an den Domains schrauben sollte. Und wenn dort doch mal eine Änderung notwendig sein sollte, kann er dir sagen, was du tun sollst.

Als zweites solltest du einen Notfall-Plan haben. Am besten einen zweiten Webspace, auf den du die Domains umleiten kannst, falls der Programmierer/Webdeveloper den ersten unbrauchbar gemacht hat. Dieses Backup hat vielleicht nicht den vollen Funktionsumfang, ist aber immer noch besser, als komplett offline zu sein.

Zu guter Letzt solltest du dir jemanden suchen, der nachprüfbare Referenzen hat. Wer damit seinen Lebensunterhalt bestreitet, wird kein Interesse daran haben, das zu gefährden.

Gruß,
Steve

Hallo Paul,

wenn die Domains auf Deinen Namen laufen, kann Dir die doch niemand wegnehmen. Auch nicht, wenn Du jemanden mit der Erstellung einer Website beauftragst. Du brauchst dem Programmierer doch nur die Zugangsdaten geben, damit er Daten hochladen kann.

Wenn Du einen Programmierer beauftragst, Dir einen Shop zu erstellen, kannst Du von ihm verlangen, dass er Dir die Zugangsdaten vom Shop und der Datenbank mitteilt. Jeder einigermaßen anständige Programmierer wird Dir diese Zugangsdaten ohne Aufforderung freiwillig zur Verfügung stellen. Wenn Du ganz sicher gehen willst, erstellst Du ein Pflichtenheft, in dem solche Angelegenheiten klar und eindeutig geregelt sind.

Wenn es sich bei Dir um eine *.de-Domain handelt, ist das alles nach bundesdeutschem Recht gesichert, und die Verwaltung der Domain läuft über die DENIC. Unter http://denic.de kannst Du näheres erfahren.

Viel Erfolg

Hi,

Vorsicht mit den Begriffen. Ich habe mich gerade gestern mit Kolleginnen und Kollegen darüber ausgiebig unterhalten. Der Auftraggeber erstellt das LASTENheft, und auf dessen Grundlage erstellt der Auftragnehmer das PFLICHTENheft.

Gruß
Christa

Erstmal vielen Dank an steve_m , colaka, und Christa für eure Tipps!

Zu Lasten und Pflichtenheft, und Denic:
Falls ich einen Programmierer aus dem Ausland beauftrage, und sei es sogar noch in der EU, dann hilft mir deutsches Recht wenig, und selbst bei einem deutschen Programmierer wäre der Rechtsweg im Falle von „bösen Taten“ meist zu aufwendig.

steve_m schrieb: Zunächst einmal solltest du Hosting-Service und Domains nicht unter dem selben Account führen.

Du meinst, also die Domains bei Anbieter 1 und das Hosting bei Anbieter 2?

steve_m schrieb: Als zweites solltest du einen Notfall-Plan haben. Am besten einen zweiten Webspace, auf den du die Domains umleiten kannst, falls der Programmierer/Webdeveloper den ersten unbrauchbar gemacht hat. Dieses Backup hat vielleicht nicht den vollen Funktionsumfang, ist aber immer noch besser, als komplett offline zu sein.

Der zweite Webspace müsste ja auch gehostet werden, und auch alle rechtlichen Bedingungen erfüllten, da er ja online ist, oder könnte ich die Notfalllösung zwar online aber für Kunden unzugänglich machen?

Könnte ich denn es so machen, dass wenn der Hosting Anbieter nach der Installation der E-commerce Software auf seinen Servern eine Entwicklungsumgebung zur Verfügung stellt, ich dem Programmierer Zugang zu der Entwicklungsumgebung gebe, und Notfalls einfach seinen Zugang zu dieser Umgebung sperre?
Es gibt ja auch Anbieter die automatisch Cronjobs erstellen, auf die dann der Programmierer nur beschränkt Zugriff hat.

Was könnte ich noch technisch machen um in einem Notfall, die Befugnisse des Programmierers einschränken zu können?

Die sicherste Lösung wäre dem Entwickler mitzuteilen das er dir einen personalisierten Installer entwickeln soll, der für dich in einfachen Schritten die gewünschte Software installiert und nach-konfiguriert.

Er liefert dir dann ein Archiv mit dem Installer und dem angepassten Magento-Source und du installierst das dann mit dessen Hilfe selbst.

Um so einen Installer zu entwickeln benötigt der jeweilige Entwickler die Spezifikationen der PHP-Version, um diese während des Entwicklungsprozess mit Vagrant oder Docker zu virtualisieren.

Du könntest das Grundsystem (Magento, Wordpress oder was auch immer) selbst installieren (das ist je nach Hoster leicht bis nicht sehr schwer) und gibst dem Entwickler die Zugangsdaten zu dem System.
Weiterhin benötigt er einen ftp-Zugang zum Verzeichnis von Magento um Templates usw zu ändern.
Mit diesen Rechten sollte er seine Arbeit eigentlich machen können und hat keinen Zugriff auf den Rest des Servers.

Den Zugriff auf alle Daten aus Magento wird er natürlich haben. Das liegt ja in der Natur der Sache.
Vor allem aber solltest Du ein gutes Gefühl mit dem Entwickler haben. Ich kenne Magento leider nicht, sonst hätte ich mich angeboten Evtl. könnte ich dich aber per Teamviewer bei der Grundinstallation und Einrichtung des ftp Zugangs unterstützen.

Natürlich einen Vertrag machen und die Tätigkeiten im s. g. Pflichten- und Lastenheft definieren.
Du erkennst einen guten Admin daran, dass er dies sowieso vorschlägt um sich ebenfalls abzusichern

Vielen Dank an nihylum und Paul_Sommer

Hallo Honest_Paul,

DU schreibst einen Lastenheft, darauf aufbauend erstellt der Auftragnehmer ein Pflichtenheft.

Neben dem sollte der Auftragnehmer eine Vertraulichkeitsvereinbarung unterschreiben.
Hier findest du ein Musterschreiben, das kannst du ergänzen, oder für dich anpassen:

An deiner Stelle würde ich jemanden suchen, den du auch in Echt treffen kannst. Wenn du schon vor dem Beginn Missbrauch befürchtest, solltest du besser den Mensch beschnuppern können.

Klar solltest du alles schriftlich regeln und festhalten, das ist nicht nur für dich nützlich und gut, sondern auch für den Auftragnehmer.
Jedoch ist ein Vorschuss Vertrauen unabdingbar, gerade bei Shops, wo es um Zahlungsmodalitäten geht usw. Wenn du das nicht aufbringen kannst, dann lass das besser mit dem Shop. Und mit dem Ausland sowieso.

Viel Glück!
Maja

Vielen Dank Maja für deine Tipps und den Link,

Lastenheft habe ich erstellt und Vertraulichkeitsvereinbarung angepasst.

Ich werde mich zunächst für einen Webdeveloper in Deutschland entscheiden.

Danke für den Feedback, Paul! Klingt nach einem guten Plan!
Wo wohnst du? Vielleicht kann ich dir jemanden empfehlen.
Gruß
Maja