Sie sind hier: Home » Markt » Hinweise & Tipps

Datenübertragung mit SSL-Verschlüsselung


Mehr als nur Rankingfaktor: SSL-Verschlüsselung ist für Unternehmer Pflicht
Website-Betreiber, die die SSL-Verschlüsselung nutzen möchten, können zwischen SSL/TLS-Zertifikaten unterschiedlicher Zertifizierungsstellen mit Preis- und Sicherheitsspannen wählen



Seit Sommer 2015 sind Website-Betreiber in der Pflicht, personenbezogene Daten gegen Zugriffe von außen zu schützen. Wer darauf verzichtet, riskiert Bußgelder. "In aller Regel haben Unternehmen mindestens ein Kontaktformular oder die Möglichkeit, einen Newsletter zu bestellen, auf der Website. In beiden Fällen werden personenbezogene Daten eingegeben, die vor Zugriffen von außen geschützt werden müssen. Für Unternehmen bedeutet das, dass sie die Daten, die ihre Kunden auf ihrer Website eingeben, verschlüsseln müssen", erklärt Christian Heutger, Geschäftsführer der PSW Group.

Der IT-Sicherheitsexperte begründet: "Jede unverschlüsselte Datenübertragung kann im World Wide Web abgefangen, mitgelesen und schlimmstenfalls manipuliert werden." Einen sicheren Weg der Datenübertragung gewährleistet die SSL-Verschlüsselung. "SSL" kürzt "Secure Socket Layer" ab. "Wir sind eigentlich bereits bei TLS, was für "Transport Layer Security" steht, dem Nachfolger von SSL angelangt. Allerdings hat sich SSL im Sprachgebrauch aber einfach durchgesetzt", so Heutger.

Website-Betreiber, die die SSL-Verschlüsselung nutzen möchten, können zwischen SSL/TLS-Zertifikaten unterschiedlicher Zertifizierungsstellen mit Preis- und Sicherheitsspannen wählen. Im Wesentlichen gibt es jedoch drei Arten: Domain-validierte, organisationsvalidierte und erweitert validierte-Zertifikate. Sie unterscheiden sich in ihrer Authentifizierungsstärke, die auf den Umfang eines spezifischen Validierungsprozesses, bei dem eine vertrauenswürdige und unabhängige Instanz die Identität einer Website bestätigt, zurückgeht. Als Faustformel rät Christian Heutger: "Wer eine private Seite, ein Forum, einen Blog, das Intranet oder einen Mailserver absichern möchte, für den ist das Domain-validierte SSL/TLS-Zertifikat ausreichend. Um eine Firmenwebsite, einen Online-Shop oder ein größeres Forum abzusichern, braucht es das höher authentifizierte organisationsvalidierte SSL/TLS-Zertifikat. Wer sensible Daten auf einer stark frequentierten Seite absichern möchte und in einem öffentlichen Register geführt wird, für den ist das Extended Validation-SSL/TLS-Zertifikat perfekt."

Es gibt übrigens noch einen weiteren Grund, SSL-Verschlüsselung einzusetzen: Die Suchmaschine Google hat Sicherheit längst zum Rankingfaktor gemacht. "Zwar ist das nur einer von über 200 Faktoren, die das Ranking beeinflussen. Diese Chance, besser zu ranken als die Wettbewerber, sollte sich dennoch niemand entgehen lassen", meint Heutger. Hinzu kommt die Tatsache, dass mehrere Browser mittlerweile Warnungen anzeigen, wenn die SSL-Verschlüsselung fehlt: Seit Beginn des Jahres 2017 warnen sie vor unsicheren, unverschlüsselten Websites.

Die Installation eines SSL/TLS-Zertifikats ist nicht besonders schwierig und kann von der eigenen IT-Abteilung durchführt werden. Alternativ bieten Dienstleister wie die PSW Group einen Installationsservice an, wenn das Zertifikat dort erworben wurde. Sobald das Zertifikat installiert ist, werden sämtliche HTTP-Links in HTTPS-Links geändert. Dies kann, je nach Umfang einer Website, einige Zeit in Anspruch nehmen. "Um das aktuelle Ranking nicht zu verschlechtern, raten wir dazu, Weiterleitungen auf die neuen URLs, in der Fachsprache "Redirects" genannt, einzurichten. Zusätzlich muss die neue HTTPS-Site auch der Google Search Console gemeldet werden, denn die Suchmaschinen sieht diese als neue Seite an", gibt Heutger noch einen Tipp.

Gibt der Kunde nun die Webadresse im Browser ein, versendet der Server, auf dem die Seite liegt, sein SSL/TLS-Zertifikat. Der Browser überprüft dies per Nachfrage bei der ausstellenden Zertifizierungsstelle. Ist das Zertifikat gültig, entsteht eine gesicherte Verbindung zwischen Server und Browser. Alle übertragenen Daten sind verschlüsselt. (PSW Group: ra)

eingetragen: 26.10.17
Home & Newsletterlauf: 11.12.17

PSW Group: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Markt / Hinweise & Tipps

  • Compliance, die gelebt wird

    Trotz strikterer Cybersecurity- und Compliance-Vorgaben behandeln viele KMU die Dokumentation ihrer IT-Infrastruktur noch stiefmütterlich. Dabei birgt fehlende oder unvollständige Dokumentation das Risiko von ineffizientem Troubleshooting und teuren Fehlentscheidungen. Ohne verlässliche Informationen zu Netzstrukturen, Systemabhängigkeiten oder Rechten wird jeder Incident zur Blackbox.

  • Echtzeitüberweisungen gemäß IPR

    Zahlungsdienstleister stehen unter Druck: Bis Oktober dieses Jahres müssen sie die Verification of Payee (VOP) umgesetzt haben und die Versendung von Echtzeitüberweisungen (Instant Payments) möglich machen. NTT Data erklärt die größten Hürden - und wie sie bis zur Deadline überwunden werden können.

  • PCI-DSS und Sichtbarkeit

    Als anerkanntes Security Framework ist der Payment-Card-Industry-Data-Security-Standard (kurz: PCI-DSS) für Anbieter von Kreditkartentransaktionen ein absolutes Compliance-Muss. Tiho Saric, Senior Sales Director bei Gigamon, verrät, wie die Einhaltung des Sicherheitsstandards dank Netzwerksichtbarkeit zum Kinderspiel wird.

  • Resilienz kritischer Infrastrukturen stärken

    Mit dem neuen KRITIS-Dachgesetz steht die deutsche Wirtschaft vor einer sicherheitspolitischen Zäsur. Ziel des juristischen Rahmenwerks ist es, die Resilienz kritischer Infrastrukturen zu stärken - und das über alle Sektoren hinweg: von Energie, Wasser und Telekommunikation über Gesundheit und Ernährung bis hin zum Transportwesen. Neben Konzernen geraten nun zunehmend auch mittelständische Betreiber in den Fokus.

  • E-Mails mit geschäftskritischen Inhalten

    Unternehmen, die ein falsches Bild von der grundsätzlichen Aufbewahrung von E-Mails mit geschäftskritischen Inhalten haben, laufen Gefahr, gesetzliche Vorgaben der GoBD oder DSGVO zu missachten. Folglich müssen sie dann mit juristischen und finanziellen Konsequenzen rechnen. Umso erstaunlicher ist es, dass zahlreiche Unternehmen ihrem Schutz noch immer nur wenig Bedeutung beimessen.

Volkswagen spielt auf Zeit Haftungsgrenze sinkt auf maximal 50 Euro

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen