SSL-Verschlüsselung für Websites: (ver-)sichern Sie!

Datenschutz darf nicht mehr nur eine leere Worthülse in Unternehmensphilosophien sein, sondern muss gelebt werden: um im Wettbewerb Bestand zu haben und um steigenden gesetzlichen Anforderungen gerecht zu werden. SSL-Verschlüsselung ist gelebter Datenschutz!

Sicherheit schafft Vertrauen

Wir leben in einer sehr aufgeklärten Welt und in einer, in der die Konkurrenz für gewöhnlich nur einen Klick entfernt ist. Das zieht für Unternehmen eine wesentliche Konsequenz nach sich: die Aufgeklärtheit der Verbraucher bedingt Datenschutz. Ist der nicht gegeben, geht der Verbraucher zum Mitbewerber.

Das trifft insbesondere auf das Medium „Internet“ zu, in dem Verbraucher auf meist anonyme Dienste bzw. Dienstebetreiber treffen. Diese Anonymität kann mithilfe eines TLS-/SSL-Zertifikats zur bestätigten Identität werden – wie, das erfahren Sie weiter unten.

Auch Gütesiegel schaffen Vertrauen. Ein solches Gütesiegel kann die grüne Adressleiste bei verschlüsselten Websites darstellen: Besucher erfahren auf den ersten Blick, dass ihnen auf einer verschlüsselten Site beim Übertragen der persönlichen Daten keine Gefahr droht. Weiter verhindert das Sicherheitsprotokoll ungewollten Zugriff auf den Server.

Die rechtliche Komponente

Auch der Gesetzgeber pocht verstärkt auf Datenschutz. Das IT-Sicherheitsgesetz, das Bundesdatenschutzgesetz, welches 2018 von der EU-Datenschutz-Grundverordnung abgelöst wird, sowie das Telemediengesetz halten allerhand Vorschriften bereit. Details haben wir für Sie bereits Ende 2015 zusammengetragen.

Behörden machen sich auf, den Status Quo zu dokumentieren und ggf. abzumahnen. Sehr aktiv zeigt sich hier das Bayerische Landesamt für Datenschutzaufsicht (BayLDA): Schon Ende letzten Jahres wurde über eine Abmahngefahr beim fehlender Verschlüsselung in Webformularen diskutiert.

Das BayLDA zeigte sich hier federführend und überprüfte Webserver auf Verschlüsselung. Nun möchte das BayLDA wieder auf https prüfen.

Update (November 2017):

Wie das BayLDA in einer Pressemitteilung (PDF) berichtet, werden erneut Websites auf HTTPS-Verschlüsselung geprüft. Mit der „Cybersicherheitsinitiative zum Schutz personenbezogener Daten“ stellt das BayLDA einen Online-Service bereit, über den die Verschlüsselung von Websites zum Überprüfen gemeldet werden kann. In der Pressemeldung heißt es: „Das BayLDA will künftig insbesondere durch flächendeckende automatisierte Prüfungen Schwachstellen und Sicherheitslücken aufzeigen, um dadurch Unternehmen in Bayern zu sensibilisieren und, sollte es notwendig sein, auch dazu zu bewegen, sicherheitsrelevanten Themen mit entsprechender Ernsthaftigkeit zu begegnen. Letztendlich drohen ab Mai 2018 durch die Datenschutz-Grundverordnung (DSGVO) bei Verstößen Bußgelder in empfindlicher Größenordnung: Bis zu 10 Millionen Euro oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des Unternehmens (je nachdem, welcher Betrag höher ist) können verhängt werden.“

Als bayerische Behörde hat das BayLDA lediglich die Möglichkeit, Websites bayerischer Anbieter zu prüfen. Jedoch könnten Datenschützer anderer Bundesländer auf diesen Zug aufspringen. So kurz vor der DSGVO wäre es kaum verwunderlich, wenn die Datenschützer verschiedener Bundesländer aktiver werden.

Unter der Website www.lda.bayern.de/de/httpscheck.html bietet das BayLDA zum ersten Mal die Möglichkeit, sich konkrete Websites zum Prüfen mitteilen zu lassen – auch Sie können also mithelfen. Neben Bürgern sind Unternehmen selbst eingeladen, die eigene Website zu überprüfen. Entspricht die Verschlüsselung einer gemeldeten Site nicht den gesetzlichen Anforderungen, „werden die betroffenen Unternehmen zur Nachbesserung aufgefordert und als letztes Mittel auch per Anordnung dazu gezwungen“, heißt es in der Pressemeldung.

Auch Google will Verschlüsselung sehen

Verbraucher möchten verbriefte Sicherheit für ihre Daten, der Gesetzgeber drängt zu mehr Datenschutz und zu guter Letzt wäre da noch die Marketing-Komponente: in 2014 kündigte der Suchmaschinenriese Google an, Verschlüsselung zum Rankingfaktor zu machen.

Natürlich gibt es mehr Suchmaschinen als Google. Aber seien wir ehrlich: für effizientes Webmarketing kommt keiner an Google vorbei. Die Ranking-Faktoren der weltweit erfolgreichsten Suchmaschine geben den Ton an in Ihrer Suchmaschinenoptimierung. Nicht umsonst warnt auch Googles Browser Chrome sehr deutlich vor unverschlüsselten Sites.

Drei Aspekte, eine Lösung: SSL-Verschlüsselung

Vertrauen von Kunden, rechtssicheres Agieren und Marketing: diese drei Fliegen schlagen Sie mit einer Klappe, nämlich mithilfe von SSL/TLS-Verschlüsselung. Nun ist der Markt groß und unübersichtlich. Da gibt es kostenlose SSL-Zertifikate, welche, die eine grün gefärbte Adressleiste generieren, teure Zertifikate, welche von namhaften Anbietern und jene oft günstigen von unbekannten Anbietern.

Diese Unterschiede erklären sich unter anderem mit der Validierung: wie umfassend werden Sie als Besteller eines TLS-Zertifikats geprüft? – Um Details zu erfahren, lesen Sie bitte den Absatz „Die Lösung: höher validierte SSL-Zertifikate“ in unserem Artikel „Kostenloses SSL/TLS-Zertifikat für Phishing missbraucht“.

Die grüne Adressleiste ist sehr reizvoll: schon auf den ersten Blick erkennen Websitebesucher, dass Sie den Datenschutz ernst nehmen. Allerdings schaffen ausschließlich Extended Validation (EV)-Zertifikate diese grüne Adressleiste. Um ein EV-Zertifikat zu erhalten, muss Ihr Unternehmen im Handelsregister und auf upik.de eingetragen sein.

SSL-Verschlüsselung für Vertrauen und Datenschutz

Daten haben in unserer datensammelwütigen Welt einen komplett neuen Stellenwert erhalten – und damit ist die Relevanz von Datenschutz gestiegen. Reicht das noch nicht als stichhaltiges Argument für SSL-Verschlüsselung aus, so bedenken Sie bitte auch die rechtliche Seite: der Gesetzgeber macht es immer schwieriger, ohne SSL/TLS-Verschlüsselung rechtssicher zu agieren. Behörden wie das BayLDA prüfen das ausgiebig!

Verschlüsselung ist weder teuer noch komplex. Vorausgesetzt, Sie haben den richtigen Sicherheitspartner an Ihrer Seite. Wir unterstützen Sie nicht nur mit bedarfsgerechter Beratung zur Auswahl Ihres SSL/TLS-Zertifikats, sondern auch mit der Installation und Gratis-Support. Nehmen Sie jetzt Kontakt zu uns auf!

SSL-FAQ

Um Ihnen weiteres Wissen über SSL/TLS-Verschlüsselung mit auf den Weg zu geben, haben wir im Folgenden eine kleine FAQ für Sie zusammengestellt.

Was ist SSL-Verschlüsselung?

SSL kürzt den Begriff „Secure Socket Layer“ ab. Ursprünglich von der Netscape Communications Corporation entwickelt, wurde SSL mittlerweile längst durch den Nachfolger TLS abgelöst, im Sprachgebrauch hat sich jedoch SSL durchgesetzt. TLS steht für „Transport Layer Security“. Beide Abkürzungen meinen ein hybrides Verschlüsselungsprotokoll, welches das sichere Übertragen von Daten im Internet gewährleisten soll.

Wie funktioniert SSL-Verschlüsselung?

Das Protokoll SSL bzw. TLS verschlüsselt die Netzverbindung zwischen Server und Client (Browser). Dieser Client erkennt durch das „s“ in „https“, dass für den angesprochenen Server ein Sicherheitszertifikat angefordert werden muss. Der Server holt sein Zertifikat von der CA und sendet es an den Client zurück.

Nun bekommt der Client von der CA Informationen über die Gültigkeit bzw. den Ablauf des SSL-Zertifikats. Der Browser ist nun in der Lage, zu überprüfen, ob er tatsächlich mit dem Server verbunden ist, der über die URL angesprochen werden sollte. Hier finden wir die Identitätsprüfung wieder, die wir oben angesprochen hatten. Weiter haben Verbraucher bei EV-Zertifikaten die Option, mit einem Klick auf die grüne Adressleiste zu erfahren, wer Inhaber des SSL-Zertifikats ist.

Zurück zur Funktionsweise: Der Client übermittelt in der Folge eine verschlüsselte Testnachricht. Trifft diese regelkonform ein, ist die SSL-Verbindung funktional und sicher. Viele Browser und Server unterstützen TLS als aktuellen Standard.

Neben der vertraulichen Datenübertragung besteht ein weiterer Nutzen von SSL-Verschlüsselung darin, die Identität des Servers prüfen zu können. Mit dem Feststellen der Authentizität des Servers sichert Verschlüsselung die Identität einer Website.

Was bringt SSL-Verschlüsselung?

Zusammenfassen lässt sich der Zweck von SSL-Verschlüsselung mit Wettbewerbsvorteilen, Rechtssicherheit, Datenschutz und Marketing-Tool. Konkret jedoch bedeutet der Einsatz von Verschlüsselung auch, dass Daten durch unbefugte Dritte weder verändert noch gelesen oder gar manipuliert werden können. Je nach Algorithmisierung wird auch das nachträgliche Entschlüsseln unmöglich. Lesen Sie dazu bitte unsere Knowledgebase zu Perfect Forward Secrecy (PFS).

Was kostet SSL-Verschlüsselung?

Hier ist eine klare Antwort schwierig: ab null Euro – nach oben hin können die Summen ziemlich offen sein. Die tatsächlichen Kosten hängen sehr vom gewählten SSL/TLS-Zertifikat ab. Und die Auswahl des geeigneten Zertifikats hängt stark vom Einsatzzweck ab.

Betreiben Sie beispielsweise ein privates Blog, in dem Sie von Ihrem Hobby berichten, so kann ein domainvalidiertes Zertifikat (DV) ausreichen. DV-Zertifikate erhalten Sie vielfach kostenfrei, jedoch über begrenzte Zeiträume, die in aller Regel zwischen einem und drei Monaten liegen. Beachten Sie bitte: möchten Sie in Ihrem Blog die Kommentarfunktion nutzen und bedingt diese die Eingabe der E-Mail-Adresse, so sammeln auch Sie persönliche Daten Ihrer Leserinnen und Leser, die es zu schützen gilt!

Betreiben Sie eine Business-Website, sind mindestens organisationsvalidierte (OV), idealerweise jedoch Extended Validation-Zertifikate angeraten. EV-Zertifikate gehen spürbarer ins Geld, haben jedoch auch den größten Nutzen, da sie auf den ersten Blick erkennbar sind. Die höheren Kosten ergeben sich schlicht aus dem höheren Aufwand:

Besteller von EV-Zertifikaten werden von den Zertifizierungsstellen (CAs) sehr umfassend geprüft. Ihr Eintrag ins Handelsregister und auf upik.de ist beispielsweise für Comodo ein Muss, um den Validierungsanruf tätigen zu können.

Sprechen Sie uns an, um für Sie ideale SSL-Zertifikate zu finden! Unsere mehr als 16 Jahre Erfahrung weisen Ihnen auf Augenhöhe den Weg zum richtigen Zertifikat – und zum Sonderangebot: das Comodo EV-Zertifikat erhalten Sie beispielsweise für 119,- Euro anstelle der sonst üblichen 199,- Euro p. a.

Wann ist SSL-Verschlüsselung sinnvoll?

Der Einsatz eines SSL/TLS-Zertifikats ist immer dann sinnvoll, wenn auf Ihrer Site persönliche Daten wie E-Mail-Adresse, Name, Kreditkarten- oder andere Zahlungsinformationen eingegeben werden. Heißt: ab Blog aufwärts macht ein SSL-Zertifikat immer Sinn. Bei Online-Shops sollten SSL/TLS-Zertifikate Pflicht sein (und der Gesetzgeber sorgt bereits dafür), denn ab dem Moment, ab dem Zahlungs- sowie Login-Information und Adressen online eingegeben werden, sollte man als Betreiber für die Sicherheit dieser Daten Sorge tragen!

Wie sicher ist SSL-Verschlüsselung?

Auch hier gilt: es gibt leider keine Pauschalantwort. Das weltbeste Zertifikat etwa nützt gar nichts, wenn die Konfiguration stümperhaft erfolgt. In unserer Serie „Aus dem verschlüsselten Nähkästchen“ sind wir auf die verschiedenen Stolpersteine eingegangen: wir zeigten echte Support-Fälle darüber, was alles schieflaufen kann und wie wir unterstützen konnten.

Installieren und konfigurieren Sie Ihr sinnvoll ausgewähltes SSL/TLS-Zertifikat entsprechend Ihren Anforderungen und nutzen Sie Zusätze wie PFS, HSTS usw., dann ist SSL-Verschlüsselung äußerst sicher. Sie kann jedoch nur da greifen, wo sie arbeitet – heißt: wenn Sie einen Malware-Schutz suchen, nützt SSL-Verschlüsselung gar nichts. SSL-Verschlüsselung dient ausschließlich der sicheren Datenübertragung, der Identitätsbestätigung und dem Datenschutz.

Übrigens: möchten Sie alles richtig machen, schrecken jedoch vor der Installation Ihres SSL-Zertifikats zurück, sind wir gerne behilflich! Informieren Sie sich hier über unseren Installationsservice.

Wie erkenne ich SSL-Verschlüsselung?

Ein sicheres Indiz dafür, dass Sie eine SSL-verschlüsselte Website betreten, ist das „https“ in der Adresszeile. Das „s“ hinter „http“ steht dann für „secure“ – eine sichere Verbindung. Die restlichen Erkennungsmerkmale sind Zertifikats- und Browser-abhängig. Bitte lesen Sie dazu unsere Beiträge „Firefox & Chrome: so stellen Browser HTTPS dar“ und „Browser-Sicherheit: Zusammenfassung & Tipps“.

Ausschließlich bei EV-Zertifikaten finden Sie die grüne Adressleiste vor. Auch wir nutzen diese höchste Validierungsstufe: Ihr Browser sollte für unser Blog sowie für unsere Website einen grünen Firmennamen und ein grünes https anzeigen. Ein Klick auf unseren Firmennamen zeigt Ihnen Details zu uns und dem verwendeten TLS-Zertifikat.

Wie kann ich SSL-Verschlüsselung aktivieren?

Möchten auch Sie Ihre Website mit SSL-Verschlüsselung schützen, benötigen Sie zunächst ein passendes Zertifikat. Um das zu finden, sprechen Sie uns an – wir beraten Sie bedarfsgerecht! Benötigen Sie keine Beratung, sondern möchten direkt zum passenden SSL-Zertifikat finden, können Sie unseren SSL-Vergleich nutzen.

Nach Auswahl und Bestellung erfolgt die Validierung, die je nach gewählten Validierungsgrad (DV, OV oder EV) kürzer oder länger dauert. Anschließend können Sie Ihr Zertifikat installieren (lassen) und konfigurieren Ihren Server entsprechend.

Was sind SSL-Verbindungsfehler?

Erscheinen im Browser Meldungen über SSL-Verbindungsfehler oder sehen Sie die Information, dass eine Verbindung über SSL nicht möglich ist, handelt es sich in aller Regel um Konfigurationsfehler. Wie Sie diese vermeiden, Best Practice-Leitfäden und weitere Details erfahren Sie in unserem Beitrag „Konfigurationsfehler verhindern Sicherheit“.