Aktuelle Gesetzgebung als weitere Stolperfalle für Webseitenbetreiber

Nachdem erst kürzlich die sog. EU-Cookie-Richtlinie das Internet bereichert hat (und auch seine Abmahnindustrie), ist es wieder mal soweit: die Internetwelt wird erneut komplexer durch Sicherheitsvorgaben. Bis vor kurzem wurde zB. die Adresse dieser Internetseite im Browser angegeben mit http://der-internetcoach.de. Nun lautet sie https://der-internetcoach.de.

Wieso wir den Umstieg Ihrer Webseite auf SSL-verschlüsseltes HTTPS

  1. rechtlich,
  2. technisch und
  3. emotional

empfehlen und was dafür und dagegen spricht, erfahren Sie in diesem Beitrag.

Rechtlicher Hinweis: dieser Artikel kann und soll keine anwaltliche Beratung ersetzen, sondern gibt nur eine Einschätzung wider, die keinen Anspruch auf Rechtssicherheit hat. Bitte wenden Sie sich bei Fragen zur aktuellen Gesetzeslage an einen Fachanwalt. Handlungen, die aufgrund dieser Informationen durchgeführt werden, obliegen einzig der Verantwortung des Handelnden.

1. Was ist der Unterschied zwischen HTTP und HTTPS?

Das HyperText Transfer Protocol (http) ist eine Angabe für den Internetbrowser, damit dieser weiß, wie mit der nachfolgenden Internetadresse umzugehen ist. Wird das http:// weggelassen und direkt www.domainname.com eingegeben, so ergänzt der Browser das http:// automatisch.

Das HyperText Transfer Protocol Secure (https) erfüllt ebenso die Aufgabe, Daten der Webseite dem Webseitenbesucher zu übermitteln, dies allerdings in verschlüsselter Form.

Was bedeutet verschlüsselte Übertragung durch HTTPS?

Das gutgemeinte Ziel von HTTPS ist es, eine „Abhörsicherheit“ zwischen dem persönlichen (oder öffentlichen) Computer des Besuchers und dem Webserver, auf dem die Webseite liegt, bereitzustellen. Inwiefern diese recht einfache SSL-Verschlüsselung (Secure Sockets Layer) wirklich sicher ist und gegen gezielte Hackerangriffe schützt, sei dahingestellt. Sie erschwert deutlich das Abhören der Datenübertragung wie bspw. die Eingabe von Passwörtern. Sie vermag ein besseres Gefühl zu vermitteln, aber sicher sind Sie damit sicher nicht gegen sämtliche Angriffe geschützt, denn diese nutzen meist Sicherheitslücken in der Software und andere Verfahren. Die Webseite kann immer noch gehackt oder gar übernommen werden und Schadsoftware kann immer noch ihren Computer anfallen und über andere Sicherheitslücken könnten Ihre Daten ausgespäht werden. Es ist allerdings ganz klar ein plus an Sicherheit bei der Übertragung sensibler Daten.

Was sind SSL-Zertifikate?

SSL-Zertifikate bilden das Kernstück der SSL-Verschlüsselung. Man erhält sie kostenpflichtig ab ca. 15 Euro jährlich(!) von diversen ihrerseits zertifizierten Anbietern im Internet oder auch kostenfrei, aber mit Komfortverlust bei dem Linux-Projekt Let’s Encrypt. Inzwischen bieten auch manche Webhoster je nach Tarif teilweise kostenfreie Zertifikate.

Es gibt verschiedene Varianten von Zertifikaten, die sich im Wesentlichen in der Art der Verifizierung, der sog. „Vertrauenswürdigkeit“, der Höhe der Verschlüsselung und damit im Preis unterscheiden. Am häufigsten und meist ausreichend sind die Domainvalidierungs-Zertifikate (DV). Weitere verifizieren die Organisation (OV) oder bieten andere Erweiterungen (EV). Achten Sie ebenfalls darauf, dass Ihr Zertifikat vertrauenswürdig ist oder technisch über übergeordnete Zertifikate (CA, Zwischenzertifikate) das öffentliche „Vertrauen“ erst hergestellt werden muss.

Wie „funktionieren“ diese Zertifikate?

Nur interessant für Tekkies: Wenn Sie eine HTTPS-Verbindung zu einer Webseite anfordern, sendet die Webseite zunächst ihr SSL-Zertifikat an Ihren Browser. Dieses Zertifikat enthält den öffentlichen Schlüssel, der zum Starten der sicheren Sitzung benötigt wird. Basierend auf diesem ersten Austausch zwischen Ihrem Browser und der besuchten Webseite wird der sog. ‚SSL Handshake‘ initiiert, der die sichere Verbindung zwischen Ihnen und der Website herstellt.

Wenn ein vertrauenswürdiges SSL-Digitalzertifikat während einer HTTPS-Verbindung verwendet wird, sehen die Benutzer ein grünes Vorhängeschloss-Symbol in der Adressleiste des Browsers. Wenn ein Extended-Validation-Zertifikat auf einer Website installiert ist, wird zusätzlich ein Teil der Adressleiste grün.

2. Wann sollte ich auf HTTPS umsteigen?

Rechtlich: Die aktuelle Gesetzeslage verpflichtet Webseitenbetreiber zur Verwendung von HTTPS, wenn …

… diese aktive Eingaben des Webseitenbesuchers abfragen, wie üblich bei Logins, Online-Shops, sensiblen Zahlungsinformationen, aber auch bereits bei einfachen Kontaktformularen und streng genommen auch bei der gängigen Verwendung von Cookies. Sollten Sie als Webseiteninhaber (im Sinne des § 2 Nr. 1 Telemediengesetz (TMG)) also solche Funktionalität nutzen und damit dem § 13 Abs. 7 TMG unterliegen, so möchte der Gesetzgeber, dass Sie auf HTTPS umstellen:

[…]
(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und

2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind.

Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
[…]

Und nochmal: liest man diese gesetzlichen Anforderung genau, so steht dort, dass sämtliche geschäftsmäßige Webseiten, über die Nutzer elektronisch personenbezogene Daten an den Dienstebetreiber übertragen (also auch Cookies in jedweder Form verwenden, sei es auch zur einfachen Reichweitenmessung), der Aufforderung zur Anwendung von HTTPS nachkommen sollen.

Die Schonfrist ist bereits abgelaufen. Bei Nichtbeachtung drohen Bußgelder bis zu sagenhaften 50.000 Euro, die von Anwälten der Abmahnindustrie als Internetpolizei eingefordert werden können – und werden.

Technisch: Wenn Sie Wert legen auf gutes Ranking bei den Suchmaschinen …

… sollten Sie google huldigen und auch spätestens seit 2017 Ihre Webseite unabhängig von EU-Gesetzesvorgaben auf HTTPS umstellen. Denn google bewertet Webseiten mit einem HTTPS höher, ob es Sinn macht (zB. Online-Shop) oder nicht (zB. noch nicht mal ein Kontaktformular).

Zudem sorgt die SSL-Verschlüsselung dafür, dass es Dritten erschwert wird, Ihren Datenverkehr mitzulesen, vor allem wichtig bei Übertragung sensibler Daten. Und ja: Sie gewinnen etwas mehr an „Hackingsicherheit“, was als alleinige Schutzmaßnahme jedoch völlig unzureichend wäre zur Absicherung Ihrer Webseite.

Emotional: Wenn Sie Ihre Webseitenbesucher mit freundlichem HTTPS-grün empfangen wollen …

… anstelle von unfreundlichem HTTP-rot und damit der allgemeinen politischen Korrektheit folgen wollen, ist HTTPS sicher kein Schaden. Auch wenn die Warnung vor „unsicheren“ Webseiten faktisch übertrieben ist, sofern keine Daten eingegeben werden können und nur gelesen wird – sie kann und wird technisch Unaufgeklärte irritieren. Die rote Warnung vor Ihrem unverschlüsselten Webseitenangebot wirkt immer, wenn auch „nur“ unterbewusst, was dessen unangenehme Wirkung nicht abmildert.

Ein Onlineshop, der kein HTTPS verwendet, sollte aus unserer Einschätzung allerdings gemieden oder freundlich kontaktiert werden.

3. Was ändert sich dadurch für mich und meine Webseitenbesucher?

Wenn Sie sich für HTTPS entscheiden, dann benötigt Ihre Webseite ein sog. Zertifikat. Dies muss meist kostenpflichtig bei externen Zertifikats-Anbietern oder über Ihren Webhoster erworben und mit der Internetseite verknüpft werden. Die Seite ist bei korrekter Konfiguration anschließend sowohl über HTTPS als auch HTTP erreichbar, wird aber immer auf HTTPS umleiten. Das alles erledigen vollautomatisch die Browser für uns. Es gibt ein paar kleine, aber wichtige Konfigurationsfallen zu vermeiden, damit Ihre Webseite nicht crasht oder im Ranking abfällt. Genaues Vorgehen und akribische Prüfung aller umgestellten Seiten ist unabdingbar. Hierfür habe ich einen gesonderten Artikel verfasst. Ob eine mit SSL verschlüsselte Webseite korrekt konfiguriert ist, lässt sich übrigens kostenlos auf trustworthyinternet.org testen.

Für Ihre Kunden bzw. Webseitenbesucher ändert sich nichts bzw. sind diese weder zu informieren noch bekommen sie es zwangsläufig mit, dass ab sofort die Daten der Webseite verschlüsselt übertragen werden. Nur ein kleines grünes Symbol vor der Webseitenadresse im Browser enthält einen optischen Hinweis darauf.

Ist eine Webseite mit HTTPS wirklich sicher?

Sagen wir, HTTPS suggeriert in der medialen Aufmerksamkeit mehr Sicherheit als es tatsächlich bieten kann bzw. es liefert teilweise mehr „Sicherheit“ als notwendig. Ist ein Straßencafe sicherer oder unsicherer, wenn auf der Toilette Desinfektionsmittel zur Verfügung gestellt wird oder nicht? Schützt es vor Taschendiebstahl? Ist ein Auto unsicher, wenn es keinen rechten Außenspiegel hat? Anders gesagt: je nach Verständnis des Begriffes ’sicher‘ ist es das, oder nicht. Eine SSL-Verschlüsselung von 256 Bit gilt als recht sicher, bezogen auf ebendiese Übertragung der Daten – und sollte m. E. auch nur darüber eine Aussage treffen.

Ist eine Webseite ohne HTTPS unsicher?

Nach meinem Sprachverständnis: Nein! Browser stufen eine Seite, die kein HTTPS sondern nur HTTP anbietet, als unsicher ein. Der verunsicherte Webseitenbesucher wird davor mit einem roten offenen Vorhängeschloss gewarnt. Dass die Webseite keine SSL-Datenverschlüsselung anbietet, bedeutet nicht zwangsläufig und pauschal, dass der Webseitenbesucher von einer Gefahr bedroht wird, die von dieser Webseite ausgeht. HTTPS sagt NICHTS darüber aus, ob eine Webseite gehackt wurde oder sich Schadsoftware auf ihr befindet. Geeigneter wäre anstelle von „unsicher“ die Bezeichnung „unverschlüsselt“. Allerdings(!) sollten keine sensiblen Daten unverschlüsselt zur Webseite übertragen werden wie Passwörter, Bankdaten, persönliche Daten o.ä. – In diesen Fällen sollte HTTPS definitiv verwendet werden.

4. Ist HTTPS sinnvoll oder gar Pflicht?

Für die, die oben noch nicht genau gelesen haben: HTTPS ist laut EU-Gesetz verpflichtend bei geschäftsmäßigen Webseiten, bei denen Daten eingegeben werden können (bereits ein Kontaktformular genügt) oder automatisch erhoben werden (Cookies). Das betriftt vermutlich nahezu alle Webseiten.

Kritik an der Zwangsumsetzung

Ich persönlich halte den ganzen Wind, der politisch gemacht wird und technisch teilweise ungenügend bis absurd umgesetzt wird sowie dahinter stehende Abmahnkanzleien für eine fragwürdige Entwicklung in der Internetgesetzgebung. Zuletzt prominent aufgetaucht bei der sog. EU-Cookie-Richtlinie (Hinweis für Deutschland und Österreich). Diese Entwicklungen bringen nicht nur Positives (=Verbraucherschutz) sondern zeigen durchaus auch negative Seiten (=Kriminalisierung seriöser Anbieter, unnötige Irritation der Internetbenutzer, Scheinsicherheiten, problematische bis unmögliche technische Umsetzung u.a.). Nicht zuletzt zeigt sich diese Haltung im Erteilen von simplen sog. „Zertifikaten“ die ausschließlich verifizieren, dass das HTTPS-Zertifikat bestellt wurde von einer zur Domain gehörigen E-Mail-Adresse bzw. sich die Domain unter Kontrolle des Beantragenden befindet – was dadurch als ’sicher‘ klassifiziert wird. Sprachlich korrekter und weniger irreführend wäre an dieser Stelle von digitalen Schlüsseln zu sprechen.

5. Fazit

Rund die Hälfte aller Webseiten bieten laut heise Stand 10/2016 bereits verschlüsselte Übertragung, der Druck kommt u.a. von google und der EU.

Aus den oben beschriebenen Erwägungen empfehlen wir bei nahezu allen Seiten den Umstieg auf HTTPS. Die echten Vorteile sind mäßig bis beachtlich (wenn man sich potenzielle Bußgelder spart) und stehen auch für Low Budget Webseitenbetreiber meist gerade noch im Bereich des Wirtschaftlichen. Letztlich ist es eine Risikoabwägung, die jeder Webseitenbetreiber selbständig und eigenverantwortlich treffen sollte.

Entscheidungskriterien hierfür sind:

  • Datenschutz: Erhebe ich sensible Daten wie Passwörter, Bankdaten, weil ich zB. einen Online-Shop betreibe? Dann definitiv Umsteigen auf HTTPS! Bei einfachen Kontaktformularen und Verwendung von Cookies kommt der Druck vom Gesetzgeber.
  • rechtlich: inwieweit könnte ich als Webseitenbetreiber abgemahnt werden und wie hoch sind dann die Kosten?
  • technisch: google belohnt HTTPS mit ca. 1 bis 5% erhöhtem Rankingwert – allerdings nur bei technisch einwandfreier Umsetzung. Bin ich auf google angewiesen?
  • emotional: mitgehangen, mitgefangen, spiel‘ nicht mit den Schmuddelkindern. Ist es mir wichtig, dass meine Webseitenbesucher unbewusst oder bewusst vor Irritation bewahrt werden, weil man bei fehlender Verschlüsselung Unsicherheit unterstellt?

Dieser Artikel soll nur einen groben Überblick in diese Thematik verschaffen.

Bei ausreichend technischer Fachkenntnis und erhöhter Sorgfalt im Bereich der Webseiten- und Serverkonfiguration (.htaccess) kann dies selbständig durchgeführt werden, ansonsten kann dieser normalerweise überschaubare Eingriff auch von uns als Ihr IT Dienstleister meist zeitnah durchgeführt werden.


Quellen:

http://www.gesetze-im-internet.de/tmg
https://free-ssl.org/
https://letsencrypt.org/
https://www.sslmarket.de
https://www.sslmarket.de/ssl/vertrauenswuerdiges-und-nicht-vertrauenswuerdiges-zertifikat/
https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html
https://www.heise.de/security/meldung/HTTPS-Verschluesselung-im-Web-erreicht-erstmals-50-Prozent-3351173.html

Weiterführende Links:

https://www.google.com/transparencyreport/https/?hl=de
http://t3n.de/news/wordpress-ssl-https-772860/
https://de.onpage.org/blog/https-ssl-und-seo-mit-sicherheit-besser-ranken
https://dsgvo.expert
http://www.internet4jurists.at (Internetrecht Österreich)
https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597 (Datenschutzgesetz Österreich)
https://www.datenschutzbeauftragter-info.de (Datenschutz Deutschland)
http://eur-lex.europa.eu/n-lex/info/info-de/index_de (Gesetze im Internet D / EU)

https://der-internetcoach.de/anleitung-zur-umstellung-auf-https-checkliste-fuer-tekkies-fallen-vermeiden

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.