SSL Umstellung von Webseiten – das Wichtigste zur https Umstellung von Webseiten
Allgemeines
Im Internet lauern heute sehr viele Gefahren. Viren, Trojaner, Malware, Sicherheitslücken, Betrugs-E-Mails und Datendiebstähle werden immer häufiger. Da heute so viele Daten wie niemals zuvor übertragen werden, ist dieses Problem sehr bedenklich. Der eigene Computer kann mit Antivirensoftware und anderen Mechanismen ganz gut geschützt werden. Wenn allerdings Internetseiten gehackt werden, bei welchen die eigenen Daten gespeichert sind, besteht schnell eine gewisse Machtlosigkeit. Ein Beispiel ist der gehackte Online-Shop, bei welchem die Kriminellen auf Ihre Kosten einkaufen können oder die gestohlenen Daten auf dem digitalen Schwarzmarkt verkauft und mißbraucht werden. Aufgrund dieser Gefahr soll es nun ein neues IT-Sicherheitsgesetz geben, um den Datenschutz zu waren. Nicht nur große Telekommunikationsunternehmen, sondern auch z.B. Online-Shops sollen davon betroffen sein.
Die SSL-Verschlüsselung
Um Webserver abzusichern, bedarf es einiger Aktionen. Zugriffsschutz, Backups und vor allem die Verschlüsselung der Daten sind einige Hauptpunkte. Bei der Verschlüsselung soll heute die SSL-Verschlüsselung verwendet werden. Der Datenaustausch zwischen Website und Nutzer wird damit verschlüsselt. Eigentlich verwenden diese Verschlüsselung schon sehr viele Onlineshops, aber per Gesetz soll nun bewirkt werden, dass alle Onlineshops dies machen. Bei solchen Websites erscheint dies sehr sinnvoll, da hier viele personenbezogene Daten sowie Zahlungsinformationen übermittelt werden.
Eine SSL-Verschlüsselung ist überall sinnvoll, wo personenbezogene Daten übermittelt werden. Hauptsächlich ist es beim Zahlungsverkehr, E-Mails und Onlineshops der Fall. SSL steht für Secure-Sockets-Layer-Protokoll. Das SSL-Protokoll ermöglicht zwischen Empfänger und Sender eine sichere Übertragung der Daten, da die Daten zwischen diesen Punkten verschlüsselt sind. Dritte könnten die Daten zwar abfangen, aber nicht nutzen, da sie durch die Verschlüsselung unbrauchbar sind. SSL-Zertifikate geben Vertrauen. Auch wenn keine sensiblen Daten übertragen werden, fühlen sich viele hinter einer SSL-Verschlüsselung sicherer und geben ein gutes Gefühl beim surfen im Internet. Verschlüsselte Seiten werden heute bei Google im Suchmaschinen Ranking sogar bevorzugt.
Es gibt nun aber Vorschläge, dass eine Verschlüsselung für alle kommerziellen Websites gelten soll, obwohl hier nicht überall personenbezogene Daten übertragen werden. Sogar Blogs, welche meist mit Werbung gespickt sind, würden darunter fallen, aber auch einige Websites am Rande. Es stellt sich nun die Frage, ob es sich lohnt, jede dieser Seiten mit kostenpflichtigen SSL-Lizenzen und viel Aufwand zu belasten?
Argumente für und gegen die ausgedehnte SSL-Verschlüsselung
Ein Gegenargument ist, dass Websites, welche Malware und Betrügereien enthalten, weiterhin betrügen werden. Ein Gesetz wird diese Websites nicht sicherer machen. Der Großteil der meisten Web-Shops wird dagegen durch das neue Gesetz nicht sicherer, da diese bereits eine SSL-Verschlüsselung haben. Größerer Aufwand und Kosten kommen dagegen auf kleine Internetseiten-Betreiber zu.
Ein weiteres Gegenargument ist, dass auch Betrüger mit SSL-Verbindungen aufrüsten können. Eine SSL-Verbindung ist kein verlässliches Merkmal, dass den dahinterstehenden Personen vertraut werden kann. Eine ausgedehnte SSL-Pflicht würde dazu führen, dass kleinen Online-Shops, welche keine SSL-Verbindung haben, nicht mehr vertraut wird, obwohl die Betrugswahrscheinlichkeit gering sein kann. Bei manchen Seiten mit SSL-Verschlüsselung können dagegen Betrüger ab Werk sein. Das Schlosssymbol in der Adresszeile bedeutet zwar erhöhte Sicherheit, es schützt aber nicht absolut davor, dass Sie es mit Betrügern zu tun haben.
Ein Argument gegen die breite Verschlüsselung ist auch, dass Absender und Empfänger weiterhin lokal angreifbar bleiben. Eine SSL-Verschlüsselung schützt Absender und Empfänger nicht, sondern nur die Übertragung an sich. Sensible Daten müssen somit beim Absender und auch beim Empfänger verschlüsselt gespeichert werden. Dies hat mit der SSL-Verschlüsselung somit nichts zu tun. Der Gesetzgeber verlangt bereits nach § 13 Abs. 7 TMG, dass sensible Daten verschlüsselt werden müssen. Trotzdem halten sich viele Firmen (leider) nicht daran. In der letzten Zeit kam öfter ans Tageslicht, dass viele Unternehmen mit den Kundendaten sorglos umgehen. Einige Datenlecks waren dann die Folge. Ein großes Problem in diesem Zusammenhang ist, dass im Browser angezeigt wird, dass eine verschlüsselte Verbindung besteht. Ob die Passwörter aber beim Dienste-Anbieter verschlüsselt werden, wird meist nicht angezeigt.
Let’s Encrypt Logo. Kostenfreies SSL Zertifikat
Ein Argument für die ausgedehnte Verschlüsselung ist, dass durch die Let’s-Encrypt-Initiative kostenlose SSL-Zertifikate angeboten werden. Dies führt auch dazu, dass die Hauptanbieter solcher Verschlüsselungen die Preise senken. Teilweise werden von kommerziellen Anbietern sogar schon kostenlose Verschlüsselungen angeboten. Es gibt ein Angebot bei uns, welches die SSL-Umstellung Ihrer WordPress Website einfach zum Festpreis anbietet. Ausser der professionellen SSL-Umstellung zum Pauschalpreis von 99,-EUR (zzgl. MwSt.), bieten wir Ihnen auch die einmalige oder längerfristige Wartung und Pflege Ihrer Website. Beim WordPress Coaching vermitteln wir gezielt das nötige Wissen und mit unseren Sicherheits-Checks prüfen wir Ihren Internetauftritt auf Herz und Nieren.
Wie ist die Rechtslage momentan?
Besonders Kontaktformulare sammeln sehr viele personenbezogene Daten, sodass eine Verschlüsselung sehr sinnvoll ist, damit sie nicht ausgespäht werden können. Das Bayerische Landesamt für Datenschutzaufsicht prüft deshalb Kontaktformulare von Unternehmen auf die Anwendung von Verschlüsselungen. Es muss eine angemessene Schutzmaßnahme vorhanden sein. Festgehalten ist dies in § 13 Abs. 7 des Telemediengesetz und gilt mit Inkrafttreten des IT-Sicherheitsgesetzes seit Sommer 2015. Webseitenbetreiber, welche Dienstanbieter sind, müssen im Bereich der Kontaktformulare bei der Übertragung von personenbezogenen Daten ein anerkanntes Verschlüsselungsverfahren verwenden. Aus den Anforderungen der Gesetze ergibt sich des Weiteren, dass dies nicht nur für Kontaktformulare, sondern auch für alle geschäftsmäßig tätigen Onlinedienste gilt, wenn diese personenbezogene Daten übertragen.
Anerkannte Verschlüsselungsalgorithmen sind beispielsweise auch die TLS. Diese Abkürzung steht für Transport Layer Security. Das Bundesamt für Sicherheit in der Informationstechnologie empfiehlt dieses Protokoll. Einige weitere Institutionen geben hierzu Kommentare ab und empfehlen diese Technik. Wer § 13 Abs. 7 Satz 1 und Satz 2 des TMG nicht einhält, begeht nach § 16 Abs. 2 Nr. 3 TMG eine Ordnungswidrigkeit. Nach § 16 Abs. 3 TMG steht je Verstoß ein Bußgeld von bis zu 50000 € an. Kommentare fragen hier sofort, ob ein Umgehen möglich ist und wer genau haftet? Umgehen ist nicht möglich und haften muss der verantwortliche Dienstbetreiber.
Fazit
Eine SSL-Verschlüsselung ist heute sehr wichtig, um die Datenübertragung von personenbezogenen Daten abzusichern. Kostenlose und kostengünstige Angebote von SSL-Zertifikaten bieten die Möglichkeit, dass jedermann eine solche Verschlüsselung nutzen kann. Einige Institutionen empfehlen auch weitere Sicherheitsprotokolle. Wirklicher Schutz wird allerdings erst geboten, wenn alle Internetnutzer zur Nutzung von Antivirenprogrammen und auch zur lokalen Verschlüsselung von personenbezogenen Daten verpflichtet werden. Die beste Verschlüsselung der Übertragung bringt nur teilweise etwas, wenn die Rechner lokal weiterhin angreifbar bleiben. Bußgeld könnte hier auch weiterhelfen, um den Datenschutz weiter auszubauen.
