Contents
- http und https: Wo liegt der Unterschied?
- Schutz nach Stand der Technik – sonst drohen Abmahnungen
- Datenschutz: Darauf sollten Webseiten-Betreiber achten
- Wie erkennt man als Nutzer verschlüsselte Verbindungen?
- Wie funktioniert die https-Verschlüsselung?
- Sicheres https bietet weitere Vorteile
- Wie funktioniert die Umstellung auf https?
- Fazit: Viele Argumente sprechen für Umstellung
http und https: Wo liegt der Unterschied?
Das http (Hyper Text Transfer Protocol) ist ein in die Jahre gekommener Standard für den Austausch von Daten über das Internet. Das Protokoll wird hauptsächlich genutzt, um Websites von einem Server in einem Browser zu laden. Im Gegensatz zum https (Hyper Text Transfer Protocol Secure) erfolgt der Austausch der Daten zwischen Server und Client per http unverschlüsselt.
Der Nachteil des http ist also fehlende Sicherheit. Daten, die von Nutzern beispielsweise in ein Kontaktformular, beim Online-Shopping oder bei der Anmeldung in einem Forum eingegeben werden, könnten so von Dritten erfasst und ausgelesen werden. Wer auf seiner Website persönliche Daten, wie Namen oder E-Mail-Adressen, überträgt oder abruft, ist laut Bundesdatenschutzgesetz und Telemediengesetz verpflichtet, dies verschlüsselt zu tun.
Schutz nach Stand der Technik – sonst drohen Abmahnungen
Das bayerische Landesamt für Datenschutzaufsicht hat im Oktober eine „Cybersicherheitsinitiative zum Schutz personenbezogener Daten“ gestartet. Dazu gehört auch, dass Abmahnungen erteilt werden, wenn auf der Webseite Nutzerdaten unverschlüsselt übermittelt werden. Das Landesamt sucht die Domains, die kontrolliert werden, entweder eigenständig aus oder wird durch den Webseitenbetreiber oder Dritte dazu aufgefordert.
In einem Fall, der uns geschildert wurde, erhielt ein bayrischer Webseitenbetreiber eine Abmahnung, obwohl er ein gültiges https-Protokoll aktiviert hatte, ein Kontaktformular allerdings auch über eine http-Verbindung nutzbar war. Da viele Webseiten über Kontaktformulare verfügen, ist die Zahl der von der Regelung betroffenen Webseitenbetreiber groß. Abmahnungen aus anderen Bundesländern sind bislang allerdings nicht bekannt.
Laut eigener Auskunft überprüft das bayerische Datenschutzamt, „ob die https-Transportverschlüsselung dem Stand der Technik entspricht“. Dabei werden folgende Kriterien berücksichtigt (Quelle: Bayerisches Landesamt für Datenschutzaufsicht):
- Priore Verwendung von Perfect Forward Secrecy (PFS)
- Kein Einsatz veralteter Verschlüsselungsprotokolle (SSL2, SSL3)
- Zertifikate mit mindestens 2048-Bit Schlüssellänge
- HTTP Strict Transport Security (HSTS) zur Eindämmung der Risiken von Man-in-the-Middle-Angriffen
- Keine Verwendung von unsicheren Kryptoalgorithmen (z. B. RC4, SHA-1)
Datenschutz: Darauf sollten Webseiten-Betreiber achten
Auch wenn nicht klar ist, wie das weitere Vorgehen der Behörden sein wird und ob solche Kontrollen auch in anderen Bundesländern stattfinden, sollten Betreiber einer Webseite auf eine sichere Datenübermittlung achten. Nach derzeitigem Bundesdatenschutzgesetz drohen andernfalls Strafen bis zu 50.000 Euro. Durch die im Mai 2018 in Kraft tretende EU-weite Datenschutzgrundverordnung können die Bußgelder dann noch deutlich drastischer ausfallen.
Jeder, der auf seiner Webseite personenbezogene Daten ermittelt, sollte daher folgende Punkte im Blick haben:
- Wird ein gültiges https-Protokoll für die gesamte Seite verwendet?
- Können personenbezogene Daten nur über eine https-Verbindung eingegeben werden?
- Entspricht die Verschlüsselung / das Zertifikat dem aktuellen Stand der Technik (bspw. keine Verwendung von SSL2/SSL3)?
Wie erkennt man als Nutzer verschlüsselte Verbindungen?
Eine https-Seite erkennt man ganz einfach an einem Hinweis in der Adresszeile des Browsers. Bei einer sichereren Verbindung erscheint dort je nach Browser das Wort „sicher“ oder ein verriegeltes, grünes Schloss.
Bei einer Webseite ohne https-Verschlüsselung fehlt der Hinweis, dass es sich um eine sichere Verbindung handelt. Stattdessen werden, abhängig vom Browser, entsprechende Warnungen angezeigt.
Wie funktioniert die https-Verschlüsselung?
Für eine verschlüsselte Verbindung ist ein TLS (Transport Layer Security) Zertifikat nötig. Früher war das Zertifikat unter der Abkürzung SSL (Secure Sockets Layer) bekannt. Dies muss von einer vertrauenswürdigen Zertifizierungsstelle freigegeben werden und beinhaltet Schlüssel, die zur Ver- und Entschlüsselung benötigt werden.
Sicheres https bietet weitere Vorteile
https steht vor allem für mehr Sicherheit für Webseiten-Besucher, aber es gibt weitere Vorteile. Durch die volle Unterstützung des neueren http/2 Übertragungsstandards kann unter anderem die Performance gestärkt werden. Auch die Referral Daten werden durch einen Wechsel genauer. Oft geht der Referrer beim Wechsel des Nutzers von einer https Website zu einer http Seite verloren, beim Wechsel zu einer https Seite passiert das nicht.
Und auch zu besseren Rankings kann die sichere Verbindung beitragen, denn Google bevorzugt für seine Nutzer sichere Webseiten und lässt eine Verschlüsselung mit ins Ranking einfließen. Zudem werden User in Sachen Datensicherheit immer sensibler, eine fehlende https Verbindung kann das Vertrauen in die Seite gefährden. Rund drei Viertel der Suchergebnisse auf den ersten zehn Positionen sollen einer aktuellen Statistik zur Folge mittlerweile https-Seiten sein.
Wie funktioniert die Umstellung auf https?
Die Umstellung von http auf https erfordert mehrere Schritte. Obwohl der Aufwand überschaubar ist, gilt es einige Dinge zu beachten, um keine Traffic- oder Ranking-Einbußen zu riskieren. Bei der https Migration sollte unter anderem darauf geachtet werden, Weiterleitungen von der http auf die https Seite einzurichten, die robots.txt und XML Sitemap sollte aktualisiert und auch gesetzte Canonical Tags überprüft werden.
Fazit: Viele Argumente sprechen für Umstellung
Eine Umstellung auf https ist, vor allem für Webmaster auf deren Seite personenbezogene Daten ermittelt werden, mehr als nur eine Überlegung wert. Schon allein um Usern einen sicheren Webseiten-Besuch zu ermöglichen, müssen die geforderten Sicherheitsstandards eingehalten werden. Zumal bei Nichtbeachtung Bußgelder drohen könnten.
Aber auch Webseitenbetreiber ohne Kontaktformular oder ähnlichem sollten über eine https Migration nachdenken. Denn https bringt neben der erhöhten Sicherheit weitere Vorteile mit sich.