Abmahngefahr für Internetseiten ohne SSL-Verschlüsselung

bild ssl 1

Das verbirgt sich hinter der Abkürzung „SSL“

Hinter der Abkürzung SSL (Secure Sockets Layer, dt. „sichere Sockelschicht“) verbirgt sich ein Verschlüsselungsprotokoll, das die Übertragung sensibler Daten sichert, etwa den Inhalt von E-Mails oder auch Kreditkarteninformationen beim Online-Shopping. 1996 von der Netscape Corporation veröffentlicht, wurde SSL weiterentwickelt und ab der Version 3.1 in TLS (Transport Layer Security, dt. „Transportschicht-Sicherheit“) umbenannt – die ältere Bezeichnung ist aber weiterhin üblich (und wird auch in diesem Artikel verwendet). 

Funktionsweise von SSL

Alle gängigen Browser wie z.B. Internet Explorer bzw. Edge, Chrome, Firefox (sowie mobile Browser wie Safari und Dolphin) unterstützen das SSL-Protokoll. Es wird immer dann aktiv, wenn Sie dem „http“ ein „s“ (für secure) anhängen: Der Browser überprüft nun, ob der Website-Betreiber ein gültiges SSL-Zertifikat verwendet, und fordert dieses vom Server an. Anschließend sendet der Server das Zertifikat an den Browser zurück.

Tipp: Eine sichere SSL-Verbindung erkennen Sie an einem geschlossenen (meist grünen) Vorhängeschloss, das in der Adresszeile bzw. unten rechts im Browserfenster erscheint.

Kommt die gesicherte Verbindung zustande, erfolgt die Datenübertragung anhand einer symmetrischen Verschlüsselung; die Authentizität sämtlicher Nachrichten und Daten wird nun durch einen Message Authentication Code abgesichert. Verfügt die Seite über ein unbekanntes oder abgelaufenes Zertifikat, werden Sie vom Browser gewarnt – und sollten abwägen, ob Sie der Website vertrauen können. Einen kostenlosen Gültigkeits-Check finden Sie übrigens hier. 

Stärken und Schwächen von SSL-Protokollen

Zu den größten Vorteilen von SSL-Protokollen zählt (neben der Sicherheit), dass sie unabhängig von Betriebssystemen und Anwendungen funktionieren. Je nachdem, welchen Algorithmus der Browser verwendet, verlangt die Übertragung jedoch eine hohe Rechenleistung – dadurch kann sich der Verbindungsaufbau auf der Serverseite verlangsamen. Dies ist jedoch ein geringer Preis, wenn dadurch sensible Daten vor fremden Zugriffen geschützt sind.

Gesetzgeber nimmt Seitenbetreiber in die Pflicht


bild ssl 2

Am 25.07.2015 ist das IT-Sicherheitsgesetz in Kraft getreten, welches das bisher gültige Telemediengesetz erweitert und modifiziert. Es schreibt nicht nur den Einsatz einer gültigen Datenschutzerklärung vor, über die wir kürzlich berichteten.

Für Seitenbetreiber ist unter anderem der neue §13 TMG (Pflichten des Dienste Anbieters) von Interesse; dort heißt es unter Abs. 7:

„Dienste Anbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
  2. diese
  • gegen Verletzungen des Schutzes personenbezogener Daten und
  • gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, 
gesichert sind.

Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“

Verschlüsselungsverfahren gesetzlich vorgeschrieben

Datenschützer debattierten in der Folge heftig darüber, ob der neue Gesetzestext nun allen Anbietern von Online-Diensten den Einsatz von SSL-Zertifikaten zwingend vorschreibt. Zwar wird die Verschlüsselungspflicht via SSL nicht explizit genannt – allerdings zählt es zu den „als sicher anerkannten Verschlüsselungsverfahren(…)“. Theoretisch gibt es auch alternative Maßnahmen wie z.B.

  • DNSSEC
  • „Web of Trust“ (PGP/GPG)
  • CA-Pinning
  • DANE

Im Vergleich zu SSL ist deren Einbettung jedoch deutlich aufwändiger – und nicht alle sind „anerkannt“, d.h. der Seitenbetreiber riskiert möglicherweise eine Abmahnung wegen unzureichender Pflichtumsetzung.

Wer den unliebsamen Kontakt mit einem der vielen aktiven Abmahnanwälte vermeiden möchte, kommt an der Einbettung einer SSL-Verschlüsselung also nicht vorbei. IT-Rechtsexperten raten dringend zur schnellen Umsetzung, um empfindlichen Geldstrafen zu entgehen.

Bonus: Höheres Nutzervertrauen durch SSL

Für Sie als Seitenbetreiber hat ein gültiges Sicherheitszertifikat darüber hinaus aber noch einen zweiten Vorteil: Sie sichern sich nicht nur rechtlich ab, sondern steigern zudem das Kundenvertrauen in Ihre Seite. In den vergangenen Jahren hat das Thema Datensicherheit bei Verbrauchern immer mehr an Relevanz gewonnen – durch eine Verschlüsselung signalisieren Sie Ihren Kunden, dass Ihre Internetadresse eine sichere ist.

Auch Google favorisiert im Übrigen Websites, die über eine SSL-Verschlüsselung verfügen und hat hierzu eine Hilfe-Seite eingerichtet. Dort werden alle Fakten kurz und verständlich erklärt; wer allerdings technisch nicht allzu versiert ist, sollte sich für die Migration von „http“ zu „https“ Hilfe von einem Profi holen.

Urheber der Bilder:
nach oben
Menü