DSGVO: Webseiten verschlüsseln mit SSL?

Tipps und Antworten zum Thema SSL-Verschlüsselung

Unter Einzelhändlern gibt es zumeist zwei Blickwinkel auf die neue Datenschutzgrundverordnung (DSVGO): zum Einen hat die neue DSGVO für viel Verunsicherung unter Händlern gesorgt, da sich niemand wirklich sicher zu sein scheint, ob er auch wirklich alle Anforderungen der DSGVO erfüllt. Auf der anderen Seite hat die Grundverordnung aber auch dazu beigetragen, dass das Thema Datenschutz nun vielerorts diskutiert wird. Und auch viele Händler fangen jetzt erst an, den eigenen Umgang mit Daten im digitalen Zeitalter zielführend zu hinterfragen.

In unregelmäßigen Abständen will das Einzelhandelslabor helfen bei Fragen zur DSGVO und Datenschutz etwas mehr Sicherheit zu erzeugen und die wichtige Diskussion rund um den Datenschutz mit hilfreichen Tipps zu begleiten. Heute stellen wir Dr. Lars Michael Bollweg vom Competence Center E-Commerce Fragen zum Thema SSL-Verschlüsselung.  SSL-Verschlüsselung bietet einen hohen Grad an Sicherheit für den Datenaustausch zwischen Webseitennutzer und Webseitenbetreibern. Ob eine Seite verschlüsselt ist erkennt man an der URL in der Adressleiste des Browsers. Immer wenn die Adresse mit einem „https://“ beginnt, handelt es sich um eine sichere Seite. Um SSL-Verschlüsselung nutzen zu können muss der Webseitenbetreiber SSL-Zertifikate vorhalten. Jedoch können die Kosten für SSL-Zertifikate jährlich weit über 100 Euro betragen. Unnötige Kosten für SSL-Zertifikate können aber umgangen werden: Der Online-Service „Let´s Encrypt“ bietet eine kostengünstige Alternative zu konventionellen SSL-Sicherheitszertifikaten. Die häufigsten Fragen zu SSL und wie Sie den Service „Let’s Encrypt“ nutzen können, erklären wir Ihnen im folgenden Interview mit Lars Bollweg.

Schritt für Schritt zur sicheren Website

Bei vielen Händlern herrscht große Verunsicherung, muss ich als Einzelhändler eine SSL-Verschlüsselung nutzen?

Bollweg: In knappen Worten, ja – zumindest in den allermeisten Fällen! Sobald Sie personenbezogene Daten (z. B. via Kontaktformular oder Newsletter-Anmeldung) übertragen sind Sie verpflichtet, diese Daten zu schützen. Das Werkzeug dazu ist eine SSL-Verschlüsselung. Aber auch wenn Sie all das nicht tun, ist eine SSL-Verschlüsselung trotzdem mehr als empfehlenswert. Sie erzeugt mehr Vertrauen bei den Besuchern Ihrer Webseite und sie hat einen positiven Einfluss auf das Ranking Ihrer Seite in den gängigen Suchmaschinen.

Für was steht SSL eigentlich?

Bollweg: Secure Sockets Layer oder SSL ist ein Internet Protokoll, das mit der Verwendung von Sicherheitszertifikaten eine sichere Verbindung zwischen zwei Computern erstellt. SSL-Zertifikate können für Einzelhändler die Verbindung zu Online-Kunden authentifizieren und die Kommunikation mit diesen verschlüsseln. Dieses Prinzip verhindert, dass Drittparteien Ihre Daten oder die Daten Ihrer Kunden einsehen können.

Dr. Lars Bollweg vom Competence Center E-Commerce (CCEC) beantwortet Fragen zum Thema SSL-Verschlüsselung

Wie viel kosten die Sicherheitszertifikate?

Bollweg: Die Kostenbreite für Sicherheitszertifikate reicht, je nach Bedarf, von etwa 40 EUR/Jahr für eine sehr kleine Website bis 200 EUR/Jahr oder mehr für Firmen mit erhöhtem Schutzbedarf.

Es gibt aber auch Alternativen, beispielsweise die Non-Profit Organisation Let´s Encrypt. Diese finanziert sich ausschließlich über Spendengelder und Sponsoren und ermöglicht es so jedem ein kostenloses SSL-Zertifikat einzurichten. Natürlich muss man die Kosten für den Host der Webseite weiterhin zahlen. In seltenen Fällen kann eine Bearbeitungsgebühr beim Hosting-Provider anfallen.

Was ist Let´s Encrypt?

Bollweg: Let´s Encrypt ist eine Zertifizierungsstelle für SSL-Zertifikate. Let´s Encrypt bietet kostenlose SSL-Zertifikate für Einzelhändler und jeden anderen an. Mit Let´s Encrypt Zertifikaten ist die Sicherheit vertraulicher Datenübertragungen gewährleistet, die, beispielsweise durch die neue Datenschutzrichtlinie der EU, zunehmend strenger geregelt werden. Diese Sicherheitszertifikate sind kompatibel mit den gängigen Betriebssystemen und Web-Browsern.

Wie kann ich Let´s Encrypt einführen?

Bollweg: Bevor Sie ein Let´s Encrypt-Zertifikat erhalten können, müssen Sie mit ihrem Hosting-Anbieter absprechen, inwiefern Let´s Encrypt angeboten bzw. unterstützt wird. Sollte es möglich sein, Let´s Encrypt einzuführen, kann Ihr Anbieter in Ihrem Namen ein Zertifikat anfordern, installieren und automatisch verwalten. Häufig kann man das auch selber machen – mit einem einfachen Klick. Für Sie als Betreiber der Webseite sind danach keine weiteren Handlungen mehr erforderlich. Hier geht es zu „Let’s Encrypt“: https://letsencrypt.org/getting-started/

Wichtig ist aber, dass in vielen Fällen noch die URLs auf der Seite angepasst werden müssen. Also, dass der volle SSL-Schutz erst dann greift, wenn auch alle Bilder und Grafiken von einer http:// auf eine https:// URL geändert wurden.

Wie lange sind die Zertifikate gültig?

Bollweg: Nach Aktivierung des Zertifikates ist die Nutzung auf 90 Tage beschränkt. Vor Ablauf dieser Frist kann das Zertifikat kostenfrei erneuert werden. In der Regel findet diese „Erneuerung“ automatisch statt, so dass kein manueller Aufwand entsteht. Die Beschränkung auf 90 Tage erhöht die Sicherheit des Systems, indem Sie die Gefahr von Missbrauch und gestohlenen Sicherheitszertifikaten zeitlich begrenzt.