Basisschutz für Online-Shops: Die verschlüsselte Kundenkommunikation

Als Shop-Inhaber kommunizieren Sie auf verschiedene Art und Weise mit Ihren Kunden: Sie schicken E-Mails zur Kaufbestätigung, Newsletter-An-/-Abmeldung, zum Beantworten von Fragen oder zu sonstigen Anlässen. Zudem kommunizieren Sie über Ihre Website: Ihre Kunden bestellen Waren, hinterlegen persönliche Daten inklusive etwaigen Zahlungsdaten und kommentieren und/ oder bewerten, wenn entsprechende Möglichkeiten vorhanden sind. Der Schutz all dieser Kommunikationen obliegt Ihnen als Shop-Inhaber. Es liegt in Ihrer Verantwortung, sowohl die persönlichen Daten Ihrer Kunden als auch die Kommunikation mit ihnen vor Manipulationen und Diebstahl zu schützen. Ihr Hilfsmittel: Verschlüsselung.

Wozu benötigt man ein SSL-/TLS-Zertifikat in Shops?

Ein SSL-Zertifikat verfolgt die drei Hauptziele Vertraulichkeit, Datenintegrität und Authentizität. Sehen wir uns das genauer an: Ein Kunde möchte in Ihrem Online-Shop bestellen. Um dies zu tun, gibt der Kunde seine persönlichen Kontakt-, Adress- und Zahlungsdaten ein. Die verschlüsselte Verbindung sorgt für die notwendige Vertraulichkeit: die persönlichen Daten des Kunden können nicht von Dritten abgefangen und womöglich missbraucht werden.

Das SSL-Zertifikat gewährleistet aber auch die Integrität der Daten Ihres Kunden. Bedeutet: Manipulationen der aufgegebenen Bestellung sind nicht möglich. Manipulationen können in unterschiedlicher Stärke vorkommen, sind jedoch immer für Käufer und Händler sehr nachteilig. So kann es etwa dazu kommen, dass sich der Kunde einen Pullover bestellt hat, aufgrund der Manipulation aber Schuhe geliefert bekommt. Oder dass die Ware nie bei ihm ankommt, da die Empfängeradresse manipuliert wurde. Als Händler und als Käufer bringt das Ärger über Rücksendungen, nicht erfolgte Sendungen, Waren, die bezahlt, aber nie geliefert wurden, und so weiter. Einen Einzelfall mögen Sie und der betroffene Kunde womöglich noch verkraften. Aber stellen Sie sich nur vor, was Ihnen für ein Aufwand entstünde, wenn Manipulationen häufiger vorkommen! Das kann bis zur Existenzbedrohung gehen.

Das dritte Ziel, das ein SSL-Zertifikat verfolgt, ist die Authentizität. Das bedeutet, dass Ihre Kunden die Möglichkeit haben, die Identität von Ihnen als Shopbetreiber zu überprüfen. Die Identität des Verkäufers wird also sichergestellt, was zur Folge hat, dass der Kunde weiß, mit wem er Geschäfte macht. Cyberkriminelle könnten fehlende Authentizität beispielsweise dadurch ausnutzen, einen Shop aufzusetzen, der Ihrem zum Verwechseln ähnlich sieht. Potenzielle Kunden werden via Phishing-E-Mails auf den gefälschten Webshop geleitet, geben eventuell Bestellungen auf und zahlen, erhalten jedoch nie Waren. Ihr Name wird damit in den Dreck gezogen – Ihr Image wird massiv beschädigt. Ein SSL-Zertifikat, das Ihre Authentizität bestätigt, verhindert genau das.

Ein SSL-Zertifikat sorgt also nicht nur für einen Schutz vor Datendiebstahl und -manipulation, sondern schafft zusätzlich Vertrauen bei Ihren Kunden. Insbesondere, wenn Sie sich für ein EV-Zertifikat entscheiden und damit für eine grüne Adressleiste sorgen, schenken Kunden Ihnen und Ihrem Shop Vertrauen. Das gilt übrigens nicht nur für Kunden, sondern auch für Suchmaschinen: Seit dem vergangenen Jahr sieht der Suchmaschinenriese Google HTTPS als Rankingfaktor an. Werfen Sie gerne einen Blick in unser SSL-Zertifikate Portfolio. Mithilfe einer Übersicht auf unserer Webseite können Sie SSL-Zertifikate vergleichen und finden  zügig und einfach das richtige SSL-Zertifikat für Ihre Ansprüche. Gerne können Sie sich auch von unserem Support beraten lassen.

Unterschiede bei SSL-Zertifikaten

Oft ist die Rede von SSL-Zertifikaten, wenngleich heutzutage ausschließlich TLS-Zertifikate ausgestellt werden. TLS ist der Nachfolger von SSL, jedoch hat sich der Begriff SSL bei der Verschlüsselung durchgesetzt. Klären wir kurz einmal Begrifflichkeiten:

• SSL kürzt „Secure Sockets Layer“ ab. Das von Netscape entworfene Protokoll ist heute für seine Schwachstellen bekannt und sollte daher keinen Einsatz mehr finden; wir berichteten jüngst über entsprechende Entwicklungen.
• TLS ist der SSL-Nachfolger; die Abkürzung steht für „Transport Layer Security“. Hinter der ersten TLS-Version steckt eine modifizierte Variante der 3. SSL-Version (SSLv3); das Protokoll wurde von der IETF standardisiert. In aller Regel ist TLS gemeint, wenn man von SSL spricht.
• HTTPS kürzt „Hypertext Transfer Protocol Secure“ ab. Im technischen Sinne handelt es sich hierbei nicht um ein eigenständiges Protokoll, sondern der Begriff meint HTTP über SSL bzw. TLS.

Man unterscheidet zwischen domainvalidierten, organisationsvalidierten und den bereits erwähnten Extended Validation-Zertifikaten:

• domainvalidierte SSL-Zertifikate: Diese Form ist ideal für non-Commerce-Websites. Die Validierung erfolgt per E-Mail und fällt recht einfach aus. Geprüft wird über die Zertifizierungsstelle lediglich, ob Besteller und Domaininhaber tatsächlich eine Person/ Organisation sind.
• organisationsvalidierte SSL-Zertifikate: Firmenwebsites, Online-Shops sowie Webmail-Anbieter wählen mindestens organisationsvalidierte SSL-Zertifikate. Die Inhaberprüfung seitens der Zertifizierungstelle fällt bereits umfangreicher aus: mit entsprechenden Dokumenten muss der Domaininhaber der CA beweisen, dass sein Unternehmen existiert und er der tatsächliche Inhaber der zu schützenden Domain ist. Eine telefonische Prüfung des angegebenen Ansprechpartners wird darüber hinaus stattfinden. Shop-Besucher erkennen ein solches Zertifikat am Schloss in der Adresszeile, das nach einem Klick darauf den Namen und den Ort des Unternehmens preisgibt.
• Extended Validation-Zertifikate: EV-Zertifikate finden oftmals bei Banken Einsatz, jedoch erhöht sich ihre Anzahl auch bei Webshops und anderen Firmenpages. Die Validierung durch die Zertifizierungsstelle fällt äußerst umfangreich aus. Grundsätzlich mit 256 Bit verschlüsselt, zeigen sich EV-Zertifikate durch die grün gefärbte Adressleiste. Ein Klick aufs Schloss fördert Domain-, Unternehmensname und Ort der Firma zutage.

Lesen Sie auf dieser Seite im unteren Know-how-Bereich mehr zu den verschiedenen Varianten der SSL-Zertifikate.

SSL-Zertifikate für Online-Shops in der Praxis

Um eine abgesicherte Verbindung aufzubauen, ist ein SSL/TLS-Zertifikat unabdingbar. In dem Zertifikat ist unter anderem der Zertifikateaussteller gespeichert, außerdem Zertifikatinhaber sowie dessen öffentlicher Schlüssel. Das Zertifikat wird auf dem Server, über den später die Verbindung aufgebaut werden soll, installiert. Um die Integrität des Zertifikats sicherzustellen, wird es von der CA signiert.

Theoretisch können Sicherheitszertifikate auch selbst generiert und signiert werden, jedoch gibt es Probleme in der Praxis, die dagegen sprechen: die Authentizität und damit eines der Hauptziele von SSL-Zertifikaten geht verloren, da es keine unabhängige Institution gibt, die die Identität des Ausstellers überprüft hätte. Zahlreiche moderne Browser geben Warnmeldungen für Seiten mit selbst signierten Zertifikaten aus, da die Authentizität nicht objektiv überprüft wurde. Dieser objektive Prüfer ist idealerweise eine Zertifizierungsstelle (CA), die in den Listen vertrauensvoller Organisationen in Betriebssystemen und Software wie Browsern als solche bereitsteht. Es geht also um eine Vertrauenskette, die bei selbst signierten Zertifikaten nicht vorhanden sein kann.

Man-in-the-Middle-Angriffe bei fehlender Verschlüsselung

Sogenannte Man-in-the-Middle-Angriffe (MITM-Angriffe) kommen relativ häufig vor, wenn Shop-Betreiber auf Verschlüsselung verzichten. Dabei schaltet sich der Cyberkriminelle zwischen die beiden Kommunikationspartner, also Käufer und Shop. Er übernimmt die Kontrolle über den kompletten Datenverkehr, den beide Kommunikationspartner austauschen, und kann somit Informationen einsehen und auch manipulieren. Der Angreifer täuscht den Kommunikationspartnern dabei vor, das jeweilige Gegenüber zu sein – Betroffene bekommen den MITM-Angriff also nicht mit. Zu unschöner Prominenz gelangte das MITM-Angriffsszenario „Poodle“ im vergangenen Jahr, auch hier war SSLv3 einer der unsicheren Übeltäter. Genaue Informationen zu „Poodle“ lesen Sie bitte in unserem Artikel „Des Poodles Kern“ nach.

Um MITM-Attacken entgegenzuwirken, ist die Verschlüsselung das effektivste Mittel. Achten Sie bitte darauf, unsichere SSL-Versionen definitiv auszuschließen, um nicht von Sicherheitslücken wie Poodle überrascht zu werden und um die Daten Ihrer Kunden wirklich effizient zu schützen. Halten Sie sich idealerweise immer an aktuelle TLS-Versionen.

Das Fazit zu den SSL-Zertifikaten

Fehlt Käufern das Vertrauen in Ihren Online-Shop, werden sie ihre Produkte woanders bestellen. Es ist an Ihnen als Online-Händler, eine vertrauensvolle Umgebung für Ihre Kunden zu schaffen und den Schutz sensibler Kundendaten ernst zu nehmen – nicht nur, weil es das Gesetz vorschreibt, sondern auch, weil Sie sich wirklich mit dem Schutz der Kundendaten auseinandergesetzt haben. Erfahren Sie mehr dazu in unserer kompletten Basisschutz-Serie, die wir in den nächsten Wochen weiter ergänzen.

Ein SSL-Zertifikat für Ihren Online-Shop ist unabdingbar. Idealerweise erhöhen Sie die drei Kernziele eines SSL-Zertifikats – nämlich Vertraulichkeit, Integrität und Authentizität – mit einem EV-Zertifikat, das ein Plus an Vertrauen spendiert, da es die Adressleiste Ihres Browsers grün färbt. Ein weiterer Vorteil: Sie verschaffen sich bei Googles SEO-Ranking einen Vorsprung, wenn Sie effizient verschlüsseln. Schützen Sie neben Ihrem Webshop auch die E-Mail-Kommunikation mit Ihren Kunden. So erarbeiten Sie sich ein Image als Händler, der die Bedenken bezüglich des Datenschutzes ernst nimmt und entsprechend handelt.

Update: Abmahngefahr bei fehlender SSL-Verschlüsselung

Wie das Internethandel-Fachportal shopanbieter.de jüngst berichtet hat, unterstehen Shops, die auf SSL-Verschlüsselung verzichten, einer hohen Abmahngefahr. Händler haben das Portal shopanbieter.de darauf aufmerksam gemacht, „dass derzeit von Datenschutzbehörden Händler wegen unverschlüsselt übertragener Webformulare mahnend angeschrieben werden“. Wenngleich noch keine tatsächliche Abmahnung versendet wurde, könnte sich dies jedoch aus dem neuen IT-Sicherheitsgesetz ergeben.

Warum die Aufregung? Nun ja: als Online-Händler stellen Sie diverse Formulare zur Verfügung. Womöglich setzen Sie Kommentar- oder Kontakt-Funktionen, vielleicht auch einen Newsletter ein, in jedem Fall müssen spätestens bei einer Bestellung persönliche Daten vom Kunden eingegeben werden. In aller Regel binden moderne Shopsysteme Formulare wie auch den Checkout-Prozess an Verschlüsselung. Jedoch existieren noch genügend Formulare, die hier nicht angebunden sind. Bloggen Sie beispielsweise auch, laufen die dort bereitgestellten Formulare quasi nebenher und werden nicht über die SSL-Verschlüsselung im Shop geschützt.

Das Bayerische Landesamt für Datenschutzaufsicht schaut sich nun systematisch nach unverschlüsselten Webformularen um und macht Shopbetreiber darauf aufmerksam. Händlern wird in dem mahnenden Schreiben eine Frist gesetzt, bis zu der eine sichere Verschlüsselung stehen sollte. Der Behörde ist es wichtig, nicht nur eine Transportverschlüsselung einzusetzen, sondern auch vor nachträglicher Entschlüsselung zu schützen, etwa mittels Perfect Forward Secrecy. Die Datenschutzaufsicht stützt sich auf § 9 BDSG. Demnach müssen nicht-öffentliche Stellen technische sowie organisatorische Maßnahmen treffen, um die Daten ihrer Kunden und Interessenten effizient zu schützen. Mit Inkrafttreten des IT-Sicherheitsgesetzes (IT-SiG) sind Sie als Händler in der Pflicht, moderne Techniken zu verwenden, die die Kundendaten effizient schützen – das Mittel der Wahl kann nur Verschlüsselung sein.

Zu verschlüsseln sind sämtliche Formulare und Felder, in denen Anwender persönliche Daten hinterlassen können. Dazu zählt das Blog mit seiner Kommentarfunktion genauso wie die Bewertungsfunktion im Shop oder auch das Kontaktformular. Ob die Eingaben des Nutzers veröffentlicht werden oder nicht, ist unerheblich – relevant ist, dass es möglich ist, persönliche Daten wie die E-Mail-Adresse oder den Namen anzugeben. Laut LDA Bayern gilt dies auch für die Eingabe von Zugangsdaten: hier ist HTTPS-Verschlüsselung einzusetzen.