SSL-Zertifikat wird Pflicht

Am 25. Mai tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft, diese soll einen einheitlichen Datenschutz in der gesamten EU  gewährleisten. Die DSGVO betrifft alle Internetseiten, die personenbezogene Daten abfragen.

  • E-Mail Adressen (Newsletter Anmeldungen, Downloads)
  • Login-Daten, die von Nutzern im Browser eingegeben werden
  • Kontakt- oder Bestellformulare
  • Alle Online-Shops

Um der DSGVO gerecht zu werden, ist es unumgänglich seine Internetseiten auf SSL bzw. „https“ umzustellen.

Die Bedeutung von SSL

Die Bezeichnung SSL in SSL-Zertifikaten steht für Secure Sockets Layer. Das originale SSL Format wird aber gar nicht mehr verwendet, da es durch den neuen und sicheren Transport Layer Security Standard (TLS) ersetzt wurde. Trotz allem spricht man umgänglich aber immer noch von SSL. SSL dient der Verschlüsselung von Daten, die zwischen Computer und Server transportiert werden.

Ab dem 25. Mai 2018 muss jede Webseite, die persönliche Daten von Nutzern abfragt, über eine sichere SSL-Verbindung verfügen!

Woran erkennt man eine sichere Internetseite?

Zum einen an der Adresszeile „https“ anstelle von „http“, zum anderen an dem Schlosssymbol vor der Domainangabe.

Fazit

Wir empfehlen grundsätzlich die komplette SSL-Verschlüsselung (https://) Ihrer Webseiten. Je nach Hoster und Ausstattung des SSL-Zertifikats können dabei weitere Kosten auf den Webseitenbetreiber zukommen. Kostenfreie SSL-Zertifikate sind über https://www.letsencrypt.org beziehbar, allerdings ist die Einbindung ohne professionelle Hilfe meist sehr kompliziert. Zudem muss das Zertifikat alle 3 Monate erneuert werden. Viele Provider bieten je nach bestehendem Webpaket eigene SSL-Zertifikate an, bzw. unterstützen die kostenfreien Zertifikate von letsencrypt.org.

Nur mit der Einbindung des Zertifikates ist es aber leider nicht getan. So müssen im Quellcode Ihrer Webseiten z.b. alle internen Links und Bildverknüpfungen auf „https“ umgestellt werden. Auf der Webseite https://www.whynopadlock.com/ kann man zudem seine Seite auf SSL-Verschlüsselung prüfen lassen. Eine detaillierte Analyse zeigt Ihnen wo auf Ihrer Webseite noch auf „http“ verlinkt wird.

Datenschutzerklärung

Nicht zu vergessen sind die Angaben zum Datenschutz wie z.b. Angaben zu Google-Analytics (falls verwendet), Kontaktformulare, Cookies, Server-Log-Files, Kommentarfunktionen, SSL-Verschlüsselung, Facebook und Co. sowie Angaben zum Recht auf Auskunft, Sperrung, Löschung von Daten.

Gehackte FTP-Zugangsdaten

In den letzten Wochen wurden verstärkt Zugangsdaten zu FTP-Servern gehackt. Die BSI (Bundesamt für Sicherheit in der Informationstechnik) hat bei einer Botnetz-Analyse Zugangsdaten zu diversen Internetprovidern ausfindig gemacht. Betroffen sind vornehmlich Strato und Host Europe Accounts. Auch bei einigen von meinen Kunden wurde Schadsoftware in Form von Javascripts hinterlegt. Weiterlesen