Ist SSL Verschlüsselung Pflicht für jede Webseite?
Drohen Webseiten Betreibern deren Kontaktformular nicht mit SSL verschlüsselt ist Bußgelder bis zu 50.000€?
Diese Schlussfolgerung lässt sich aus einer Änderung des Telemediengesetzes und des relativ neuen IT-Sicherheitsgesetzes durchaus ableiten. Im Bayern (glücklicherweise leben wir ja relativ im Norden der Republik) geht laut einigen Quellen das Bayerische Landesamt für Datenschutzaufsicht bereits gegen Unternehmen in deren Zuständigkeitsbereich vor, die bei Verwendung eines Kontaktformulars auf der Internetseite, die übermittelten Daten unverschlüsselt übermitteln.
WIE KAM ES DAZU?
Mit Inkrafttreten des IT Sicherheitsgesetzes wurde auch eine Änderung im Telemediengesetz vorgenommen. Ziel dieser Änderung ist der bessere Schutz personenbezogener Verbraucherdaten im Internet. Sicherlich eine sehr sinnvolle Sache. Im §13 des Telemediengesetzes unter der Überschrift „Pflichten des Diensteanbieters“ im Abschnitt 7 heißt es nun:
Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1.
kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2.
diese
a)
gegen Verletzungen des Schutzes personenbezogener Daten und
b)
gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
Jetzt lassen Gesetzestexte häufig Möglichkeit zur Interpretation, und auch hier bleiben viele Fragen offen, jedoch wird explizit auf die Anwendung eines Verschlüsselungsverfahrens hingewiesen und erklärt, dass dies insbesondere für Dienstanbieter (Hier: Jemand der eine Internetseite zur Verfügung stellt) mit einer geschäftsmäßigen Absicht gilt. Dies dürfte wohl auf die meisten Internetseiten zutreffen.
WORUM GEHT ES GENAU?
Auf einer Mehrzahl der Internetseiten finden sich Kontaktformulare. Über diese Formulare haben Besucher der Internetseite die Möglichkeit eine Nachricht an den Betreiber der Internetseite zu schicken. In diesen Formularen werden oft personenbezogene Daten wie Name, E-Mailadresse oder Telefonnummer abgefragt. Technisch passiert bei der Nutzung eines Kontaktformulars folgendes: Mit Abschicken des Formulars werden die eingegebenen Daten von Gerät des Besuchers an den Server des Internetseitenbetreibers gesendet. Der bisherige Standard ist. dass diese Daten unverschlüsselt übermittelt werden.
Theoretisch wäre es somit für einen Hacker relativ leicht diese Datenpakete abzufangen und in Klartext auszuwerten. Ich möchte jetzt nicht weiter darauf eingehen wie wahrscheinlich das ist.
WAS KANN MAN TUN?
Das Gesetz spricht von einem anerkannten Verschlüsselungsverfahren. Bereits hier streiten nun bereits die gelehrten sowohl die Experten der technischen Seite, als auch die Rechtsgelehrten. Welches Verfahren zur Verschlüsselung ist sicher, welches nicht? SSL? TLS? Version 1.0 oder doch lieber 1.2? Sicherlich ist es nicht empfehlenswert so lange zu warten bis diese Fragestellung geklärt ist.
Der gesunde Menschenverstand dürfte zu dem Schluss kommen, dass die Verwendung irgendeines Verschlüsselungsverfahrens besser sein dürfte, als weiterhin unverschlüsselt die Daten zu übermitteln.
WORAN ERKENNE ICH OB MEINE INTERNETSEITE BETROFFEN IST?
Hier können drei Fragestellungen helfen:
- Nutze ich meine Internetseite für eine gewerbliche Tätigkeit?
- Habe ich auf meiner Internetseite ein Kontaktformular?
- Wird wenn ich dieses Kontaktformular aufrufe, oben in der Adresszeile des Browsers ein kleines grünes Schloss angezeigt und/oder steht vor der Adresse das Wort: „Sicher“? (Siehe Bild 1)
Wer die ersten beiden Fragen mit Ja, die letzte aber mit Nein beantwortet ist betroffen.
GUTE GRÜNDE FÜR VERSCHLÜSSELUNG ABSEITS DER GESETZLICHEN ANFORDERUNGEN
Sollte mich nur die Angst vor einem Bußgeld dazu treiben meine Internetseite auf verschlüsselte Datenübermittlung umzustellen? Nein, es gibt weitere gute Argumente die dafürsprechen. Zum einen gibt es den Benutzern Ihrer Internetseite ein gutes Gefühl, wenn der Browser Ihre Seite als sicher einstuft. Bei unverschlüsselten Seiten muss man aktuell noch auf ein kleines unauffälliges Ausrufezeichen klicken um zu erfahren das die Verbindung unsicher ist (Siehe Bild 2). Sicherlich werden neuere Browser diese Hinweise deutlicher setzten – spätestens, wenn eine verschlüsselte Verbindung sich immer mehr zum Standard entwickelt hat.
Auch Google favorisiert sichere Internetseiten. Alle Seiten von Google, auch die beliebte Suche, werden verschlüsselt ausgeliefert. Bereits 2014 wies Google zudem darauf hin das Verschlüsselung ein Rankingkriterium geworden ist. Siehe dazu den englischen Beitrag in den Google Blog. Ein logischer Schritt, weil Vertrauen und Seriosität für Google immer schon relevante Faktoren sind. So wird bei der Vergabe von SSL Zertifikaten häufig die Identität des Anbieters überprüft. Etwas was einen Vertrauensbonus rechtfertigt.
FAZIT: WAS NUN?
Nahezu jede Internetseite lässt sich auf Verschlüsselung umstellen. Die Argumente dafür sind stichhaltig. Der Aufwand ist überschaubar. Hierbei sind die jährlichen Kosten für das SSL Zertifikat zu nennen. Diese variieren von Provider zu Provider, liegen aber in der Regel bei monatlich ein paar Euros. Dann noch die Beantragung des Zertifikats und die technische Umsetzung und Implementierung auf der Internetseite. Gerne unterstützen wir dabei und bieten diese Dienstleistung zum Pauschalpreis von 79€ zzgl. Umsatzsteuer an.
04. Februar 2017 von Paul Schmidt