Immer wieder liest und hört man von Abmahnungen wegen fehlender oder inkorrekter SSL-Verschlüsselung. Vielleicht kennst Du ja auch jemanden, dem ein solches Schreiben schon ins Haus geflattert ist. Oder ist es Dir selbst schon passiert? Warum eine SSL-Verschlüsselung wichtig und Pflicht ist, wie Du sie einrichtest, um Dich vor einer Abmahnung zu schützen, erfährst Du in unserem Artikel.
Was ist eine SSL-Verschlüsselung?
Die Abkürzung SSL steht für „Secure Sockets Layer“. Das Protokoll, in der Regel https, verschlüsselt die Verbindung zwischen einem Server und dem Client. SSL-Verschlüsselung gibt es schon seit den neunziger Jahren, aber erst im Zuge der DSGVO, der europäischen Datenschutzverordnung, hat die Verschlüsselung flächendeckend Einzug gehalten. Mittlerweile hat ein noch sichereres Protokoll, das TLS (Transport Layer Security), die ursprüngliche SSL abgelöst. Gemeinhin hat sich aber im Sprachgebrauch von Menschen, Software und Hardware die Bezeichnung SSL gehalten.
Wie funktioniert die SSL-Verschlüsselung?
Vereinfacht gesagt, verwenden die Zertifikate zwei Schlüssel, den öffentlichen und den privaten. Die Schlüssel sind eine Abfolge von Zahlenkombinationen. Gibt ein Nutzer nun seine Daten zum Beispiel in ein Formular zur Bestellung Deines Newsletters ein, verschlüsselt der Public Key diese. Nur mithilfe des Private Keys können diese dann am Client, also von Deinem System wieder entschlüsselt werden. Ohne den privaten Schlüssel sieht ein außenstehender Client nur einen kryptografischen Code.
Woran erkennen Nutzer eine SSL-Verschlüsselung?
Eine SSL-Verschlüsselung ist durch ein angehängtes „s“ an einen Protokollnamen sichtbar. Wenn es um die SSL-Verschlüsselung Deiner Website zum Schutz vor Abmahnungen und dem Schutz Deiner Besucher geht, siehst Du das am deutlichsten daran, dass aus dem Webprotokoll http das https wird. Zusätzlich zeigt ein Schloss in der Browserzeile eine aktive Verschlüsselung mittels TLS/SSL an.
Du kannst übrigens noch viele weitere Informationen über die Website und die Gültigkeit des SSL Zertifikats abrufen. Klicke dafür einfach auf das Schloss. Hier eröffnen sich Dir je nach Browser verschiedene Bereiche. Klicke auf Zertifikat ist gültig, um ganz genaue Informationen zum SSL Zertifikat anzuschauen.
Was ist ein SSL Zertifikat?
Dass eine Website verschlüsselt ist, wird mit einem SSL Zertifikat nachgewiesen. Dieses ist ein Nachweis über die Identität der Domain, also ein Beweis dafür, dass der Urheber einer Seite wirklich real ist und der, der hinter dem Impressum steckt. Solch ein SSL Zertifikat, korrekt eigentlich TLS-Zertifikat, ist ein Datensatz mit folgenden Informationen:
- Informationen über die Domain
- Server-Informationen, die mit kryptischen Verfahren auf Authentizität geprüft werden können
- digitaler Fingerabdruck
Geräte und Browser überprüfen mittels einer Liste über vertrauenswürdiger Zertifizierungsorganisationen die Zertifikate und validieren diese. Drei Verfahren kommen dabei zum Einsatz, die sich in ihrer Sicherheitsstufe unterscheiden. Wir stellen diese kurz vor.
Domain Validated
Das Domain Validated Zertifikat wird auch nur kurz DV-Zertifikat genannt. Es ist die unterste Stufe der SSL-Verschlüsselung. Der Key erfasst die Basisdaten einer Website und prüft lediglich, ob der Antragsteller der Domaininhaber ist. Oft läuft diese Prüfung automatisch ab und gilt als dementsprechend oberflächlich. Eine Bestätigung, dass das SSL Zertifikat für ein bestimmtes Unternehmen ausgestellt wurde, erfolgt nicht. Diese Form der SSL-Verschlüsselung ist für private Websites und ganz kleine Projekte geeignet, die auf einem Server liegen, den sich mehrere Websites teilen.
Organisation Validated
Organisation Validated Zertifikate werden erst nach gründlicher Prüfung des Unternehmens, welches die SSL-Verschlüsselung beantragt hat, ausgegeben. Dafür werden nach einer automatischen Prüfung vom Antragsteller häufig weitere Unterlagen wie ein Handelsregisterauszug angefordert. Zusätzlich nehmen einige Zertifizierungsstellen zusätzlich Kontakt, zum Beispiel über Telefon, zu den Betreibern einer Website auf. OV-SSL-Zertifikate bieten den Nutzern somit deutlich mehr Sicherheit und Informationen als DV-Zertifikate.
Extended Validation
Mit der Extended Validation (EV) erhältst Du das sicherste aller SSL-Zertifikate. Um es zu bekommen, musst Du nicht nur etwas bezahlen, sondern zusätzlich zur Überprüfung der Website erfolgt auch eine Kontrolle der Datensicherheit des Unternehmens an sich. Unternehmen, die diesen hohen Sicherheitsstandard benötigen, kommen zum Beispiel aus der Finanzbranche. Neben der Überprüfung der Befugnis des Antragstellers, der bei diesem Unternehmen arbeiten muss, wird auch die Zertifizierungsstelle auf Herz und Nieren geprüft. Dies erfolgt durch das CA/Browser-Forum, einem Zusammenschluss von Browser-Herstellern und Zertifizierungsstellen.
Warum brauchst Du ein SSL Zertifikat?
Mit der SSL-Verschlüsselung ist sichergestellt, dass die Daten, die zwischen Server und Client hin und her fließen, privat bleiben, also vor Angriffen von außen geschützt sind. Das ist vor allem bei sensiblen Daten wie Kontodetails oder persönliche Daten, die Du wegen einer Kontaktaufnahme oder einer Dienstleistung im Browser oder in Formularen eingibst. Hacker greifen mithilfe von versteckten Programmen gern solche Daten zum Missbrauch verschiedenster Art ab. Mit einer SSL Verschlüsslung ist ein Formular oder eine Website vor solchen Zugriffen geschützt.
Auch die EU hat die Sicherheitsvorteile der SSL-Verschlüsselung erkannt und sieht diese als legitime Maßnahme für die Einhaltung des Grundsatzes der Integrität und Vertraulichkeit bei der Verarbeitung von personenbezogenen Daten an. Die SSL-Verschlüsselung ist als technische Maßnahme zum Schutz vor unberechtigter und unrechtmäßiger Verarbeitung personenbezogener Daten und dem Verlust, der Zerstörung sowie der unbeabsichtigten Schädigung anerkannt und gewollt. Rechtsexperten leiten aus Art. 32 Abs. 1 S. 1 Hs. 2 lit. b DSGVO sogar eine Pflicht zur SSL-Verschlüsselung ab.
Wie richtest Du eine SSL-Verschlüsselung ein?
In den meisten Fällen wirst Du die SSL-Verschlüsselung Deiner Website mit einem SSL-Zertifikat direkt von Deinem Hoster einrichten. Dafür folgst Du einfach den Anweisungen Deines Hosters. Viele Hoster bieten die SSL-Verschlüsselung in der Basisversion als Bestandteil des gebuchten Hosting-Pakets an. Du musst nur noch das Zertifikat direkt aus dem System des Hosters heraus auf Deine Website laden. Du kannst dabei Domains, Subdomains und auch mehrere Domains auswählen, die verschlüsselt werden sollen.
Vergiss nicht, nach dem Hochladen mit mehreren Devices und Clients, die Funktionalität der SSL-Verschlüsselung zu überprüfen. Dafür kannst Du auch SSL Checker wie den von SSL Shopper oder SSL Labs verwenden.
SSL-Verschlüsselung schützt vor Abmahnungen
Du hast nun viel über die Vorteile und Wirkweise der SSL-Verschlüsselung gelesen. Du gewinnst damit das Vertrauen Deiner Besucher und auch das der Suchmaschinen. Bei Google ist die SSL/TLS Verschlüsselung sogar zum Rankingfaktor geworden. Unsichere Websites ohne https-Protokoll werden sogar mit Warnungen versehen, nicht sofort geöffnet, verlieren Trust und somit verschenkst Du Rankingpotenzial.
Willst Du Dich also vor Vorwürfen wegen der unverschlüsselten oder unrechtmäßigen Verarbeitung von personenbezogenen Daten schützen, solltest Du bei Deiner Website und an allen Stellen, an denen persönliche Daten verarbeitet werden, mit einer SSL-Verschlüsselung ausrüsten.
Hast Du Fragen zur SSL-Verschlüsselung oder weißt Du nicht genau, ob alle Bereiche Deiner Website ausreichend geschützt sind? Kontaktiere uns. Wir helfen Dir und beraten Dich gern.