Die TLS-Verschlüsselung wird Pflicht

12.03.2018 / Neues zum Thema Datenschutz

Die neue Datenschutz-Grundverordnung (DSGVO) steht vor der Tür und das bedeutet für alle Unternehmensseiten eine TLS-Verschlüsselungspflicht. Denn wer seine personenbezogenen Daten nicht sichert, handelt ordnungswidrig und muss mit Abmahnungen oder Geldbußen rechnen. Für den User ist die TLS-Verschlüsselung ein wichtiger Indikator um zu erkennen, ob eine Webseite sicher ist. TLS, kurz für Transport Layer Security, ist die Verschlüsselung von Daten zwischen User und Webseitenbetreiber. Oft wird auch der Begriff SSL genannt, wobei SSL für Secure Sockets Layer steht und den Vorgänger von TLS darstellt. Beide haben jedoch den gleichen Zweck – die personenbezogenen Daten zu verschlüsseln.

Wie funktioniert die Verschlüsselung?

Die Verschlüsselung erfolgt durch ein Public-Key Verfahren. Daten werden vom Sender kodiert und beim Empfänger wieder dekodiert. Ruft ein User die Internetseite auf, wird ihm ein Zertifikat zurückgeschickt. Der Browser des Nutzers kann so die Identität des Servers prüfen und verschlüsselte Inhalte sicherstellen. Die Überprüfung der besuchten Webseite wird durch eine sogenannte Vertrauenskette zwischen dem Browser des Users und dem Server der besuchten Website vorgenommen.

Wie funktioniert die SSL/TLS-Verschlüsselung

Wie erkennt man die Verschlüsselung?

Sie erkennen eine erfolgreiche Verschlüsselung durch eine grüne Adressleiste oder ein Schloss neben der URL. Der User kann so feststellen, dass der jeweilige Seitenbetreiber über ein gültiges Zertifikat verfügt und die Daten damit vor Einsicht und Manipulation Dritter geschützt sind. Durch das Kürzel HTTPS wird ebenfalls auf die Verschlüsselung hingewiesen. Es bedeutet, dass die Verwendung von HTTP über eine SSL- oder TLS-Verschlüsselung läuft. Falls eine Webseite nicht verschlüsselt ist, wird diese mit einem eingekreisten „i“ oder als „nicht sicher“ angezeigt.

Was sind die Vorteile der TLS-Verschlüsselung?

Der primäre Vorteil für User, aber auch für Webseitenbetreiber, ist die Verschlüsselung der Daten. Daraus folgt ein erhöhtes Vertrauen der User. Durch diese Vertraulichkeit garantiert der Webseitenbetreiber dem User, dass beispielsweise Kreditkartendaten oder Passwörter nicht von Dritten mitgelesen werden können. Ebenfalls spielen TLS-Zertifikate im Bereich SEO eine wichtige Rolle. Webseitenbetreiber können durch Zertifikate bei Suchmaschinen profitieren. Denn Google, Bing und Co berücksichtigen die Verschlüsselung und verschaffen den zertifizierten Webseitenbetreibern ein besseres Ranking in den Suchergebnissen.

Warum ist die Verschlüsselung jetzt Pflicht?

Nach der neuen Datenschutz-Grundverordnung, die am 25. Mai in Kraft tritt, müssen alle personenbezogenen Daten nach dem „Stand der Technik“ verschlüsselt werden. Um das zu gewährleisten, wird der Einsatz der TLS-Verschlüsselung zur Pflicht. Die meisten Webseitenbetreiber haben Kontaktformulare oder die Möglichkeit Newsletter zu bestellen. Hierbei werden in beiden Fällen personenbezogene Daten erhoben. Diese müssen per Gesetz sicher übermittelt und vor Dritten geschützt werden. Auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat bereits bei mehr als 2000 bayerischen Unternehmen das Sicherheitsniveau überprüft. Bei vielen Unternehmen genügten die datenschutzrechtlichen Anforderungen nicht und sie wurden deshalb vom BayLDA ermahnt.

Welche Arten von Zertifikaten gibt es?

Es gibt verschiedene Zertifikate. Je nachdem was Sie für eine Internetseite betreiben, stehen Ihnen drei verschiedene Möglichkeiten zur Auswahl. Bei allen drei Zertifikaten werden die Daten, die zwischen dem Browser des User und dem Web-Server übertragen werden, verschlüsselt.

1. Domain-Validated (DV)

Bei dem DV-Zertifikat handelt es sich um die Zertifizierung mit der geringsten Anforderung. Es wird ausschließlich die E-Mail-Adresse authentifiziert, jedoch keine Identität überprüft. Informationen werden nur über die Domain wiedergegeben. Neben der URL erscheint der Hinweis „Sicher“ zusammen mit einem grünen Schloss.

2. Organisation-Validation (OV)

Die OV-Zertifikation unterscheidet sich in der Darstellung der Browserleiste nicht von der DV-Zertifikation. Wenn jedoch der User, durch das Anklicken der grünen Adressleiste mehr Informationen zum Zertifikat einräumt, bekommt er Angaben über den Besitzer der Domain angezeigt. Hier wird die Identität des Besitzers geprüft.

3. Extended-Validation (EV)

Die EV-Verschlüsselung hat die stärkste Authentifizierung von allen drei Zertifikaten. Hier kann der User sehen, dass es sich um das EV-Zertifikat handelt. Die URL-Zeile im Browser ist grün hinterlegt. Zudem wird der Unternehmensname angezeigt und der User kann sichergehen, dass es sich um ein legales und eingetragenes Unternehmen handelt.

Wir empfehlen Ihnen sich schnellstmöglich um die verschlüsselte Übertragung Ihrer Webseite zu kümmern, um personenbezogenen Daten Ihrer Nutzer zu schützen und mögliche Bußgelder zu vermeiden. Wenn Sie sich noch mehr über die Möglichkeiten und die richtige Anwendung der Zertifikate informieren möchten, kontaktieren Sie uns jederzeit gerne.