Fulda, 18. Oktober 2017 – Seit Sommer 2015 sind Website-Betreiber in der Pflicht, personenbezogene Daten gegen Zugriffe von außen zu schützen. Wer darauf verzichtet, riskiert Bußgelder. „In aller Regel haben Unternehmen mindestens ein Kontaktformular oder die Möglichkeit, einen Newsletter zu bestellen, auf der Website. In beiden Fällen werden personenbezogene Daten eingegeben, die vor Zugriffen von außen geschützt werden müssen. Für Unternehmen bedeutet das, dass sie die Daten, die ihre Kunden auf ihrer Website eingeben, verschlüsseln müssen“, erklärt Christian Heutger, Geschäftsführer der PSW Group.
Der IT-Sicherheitsexperte begründet: „Jede unverschlüsselte Datenübertragung kann im World Wide Web abgefangen, mitgelesen und schlimmstenfalls manipuliert werden.“ Einen sicheren Weg der Datenübertragung gewährleistet die SSL-Verschlüsselung. „SSL“ kürzt „Secure Socket Layer“ ab. „Wir sind eigentlich bereits bei TLS, was für „Transport Layer Security“ steht, dem Nachfolger von SSL angelangt. Allerdings hat sich SSL im Sprachgebrauch aber einfach durchgesetzt“, so Heutger.
Website-Betreiber, die die SSL-Verschlüsselung nutzen möchten, können zwischen SSL/TLS-Zertifikaten unterschiedlicher Zertifizierungsstellen mit Preis- und Sicherheitsspannen wählen. Im Wesentlichen gibt es jedoch drei Arten: domainvalidierte, organisationsvalidierte und erweitert validierte-Zertifikate. Sie unterscheiden sich in ihrer Authentifizierungsstärke, die auf den Umfang eines spezifischen Validierungsprozesses, bei dem eine vertrauenswürdige und unabhängige Instanz die Identität einer Website bestätigt, zurückgeht. Als Faustformel rät Christian Heutger: „Wer eine private Seite, ein Forum, einen Blog, das Intranet oder einen Mailserver absichern möchte, für den ist das domainvalidierte SSL/TLS-Zertifikat ausreichend. Um eine Firmenwebsite, einen Online-Shop oder ein größeres Forum abzusichern, braucht es das höher authentifizierte organisationsvalidierte SSL/TLS-Zertifikat. Wer sensible Daten auf einer stark frequentierten Seite absichern möchte und in einem öffentlichen Register geführt wird, für den ist das Extended Validation-SSL/TLS-Zertifikat perfekt.“
Es gibt übrigens noch einen weiteren Grund, SSL-Verschlüsselung einzusetzen: Die Suchmaschine Google hat Sicherheit längst zum Rankingfaktor gemacht. „Zwar ist das nur einer von über 200 Faktoren, die das Ranking beeinflussen. Diese Chance, besser zu ranken als die Wettbewerber, sollte sich dennoch niemand entgehen lassen“, meint Heutger. Hinzu kommt die Tatsache, dass mehrere Browser mittlerweile Warnungen anzeigen, wenn die SSL-Verschlüsselung fehlt: Seit Beginn des Jahres 2017 warnen sie vor unsicheren, unverschlüsselten Websites.
Die Installation eines SSL/TLS-Zertifikats ist nicht besonders schwierig und kann von der eigenen IT-Abteilung durchführt werden. Alternativ bieten Dienstleister wie die PSW GROUP einen Installationsservice an, wenn das Zertifikat dort erworben wurde. Sobald das Zertifikat installiert ist, werden sämtliche HTTP-Links in HTTPS-Links geändert. Dies kann, je nach Umfang einer Website, einige Zeit in Anspruch nehmen. „Um das aktuelle Ranking nicht zu verschlechtern, raten wir dazu, Weiterleitungen auf die neuen URLs, in der Fachsprache „Redirects“ genannt, einzurichten. Zusätzlich muss die neue HTTPS-Site auch der Google Search Console gemeldet werden, denn die Suchmaschinen sieht diese als neue Seite an“, gibt Heutger noch einen Tipp.
Gibt der Kunde nun die Webadresse im Browser ein, versendet der Server, auf dem die Seite liegt, sein SSL/TLS-Zertifikat. Der Browser überprüft dies per Nachfrage bei der ausstellenden Zertifizierungsstelle. Ist das Zertifikat gültig, entsteht eine gesicherte Verbindung zwischen Server und Browser. Alle übertragenen Daten sind verschlüsselt.