SSL-Verschlüsselung – ab sofort verpflichtend!
Die deutsche und europäische Gesetzgebung ist auf den Verbraucherschutz ausgerichtet. Betreibern von Websites werden immer wieder neue Bestimmungen aufgebürdet. Im Jahr 2015 traten unter anderem die Cookie-Richtlinie und das Gesetz zur Änderung der Mehrwertsteuer für digitale Leistungen und Produkte in Kraft. Im Juli 2015 wurde ein neues IT-Sicherheitsgesetz eingeführt – das Telemediengesetz. Dieses verursacht weitere Kosten und erfordert einen erhöhten zeitlichen Aufwand. Eine grundlegende Veränderung ist die Pflicht zur SSL-Verschlüsselung.
Das Telemediengesetz: Steigerung der IT-Sicherheit
Das Internet ist ein unsicherer Ort. Bandbreite und übertragenes Datenvolumen steigen permanent an. Datendiebstähle, Sicherheitslücken und die Anzahl von Websites, die mit Malware verseucht sind, verzeichnen einen rasanten Anstieg. Privatpersonen können sich mit Antiviren-Software & Co. vor grundlegenden Gefahren schützen. Gegen Datendiebstähle aus gehackten Onlineshops sind Nutzer aber weiterhin hilflos. Daher möchte der Gesetzgeber sämtliche Telekommunikationsunternehmen zur Erhöhung der IT-Sicherheit verpflichten. Gleiches gilt auch für Betreiber von Webshops. Die Sicherheit von Webservern wird durch verschiedene Aspekte gewährleistet. Dazu gehören unter anderem Zugriffsschutz, Backups und Verschlüsselungen. Eine SSL-Verschlüsselung sorgt dafür, dass die ausgetauschten Daten zwischen Onlineshop und Nutzer verschlüsselt sind. Der Großteil der Onlineshops betrachtete SSL-Verschlüsselungen in der Vergangenheit als Standard – dieser wurde durch die Gesetzgebung untermauert.
SSL-Verschlüsselungen für kommerzielle Webseiten?
Mit Einführung des neuen Telemediengesetzes (TMG) wurden SSL-Zertifikate für Webseiten mit Online-Formularen verpflichtend. Personenbezogene Daten wie Name und E-Mail-Adresse dürfen nur noch verschlüsselt übertragen werden. Der Vorteil der gesetzlichen Regelung liegt darin, dass Internetnutzer umfassend geschützt werden. Die Regelung gilt für sämtliche Webseiten, die personenbezogene Daten nutzen. Darunter fallen auch Blogs mit Werbung und Nischenwebsites. Diese müssen SSL-Lizenzen erwerben und einen finanziellen und zeitlichen Mehraufwand tragen. Die gesetzliche Regelung hat insbesondere Selbstständige getroffen. Der Nutzen des Gesetzes ist umstritten. Kritische Stimmen warnen davor, dass sich Betrüger durch die verpflichtende SSL-Verschlüsselung nicht abschrecken lassen. Die gesetzlichen Regelungen würden bei Kriminellen nicht zu einem Sinneswandel führen.
SSL-Verschlüsselung – von Google erwünscht
Ab Januar 2017 werden Anwender von Google Chrome vor der Übertragung vertraulicher Daten auf unverschlüsselte Internetseiten gewarnt. Bisher wurde auf Internetseiten ohne SSL-Verschlüsselung lediglich in der Adressleiste hingewiesen. Dort wurde ein Icon in Gestalt eines weißen Blattes angezeigt. Ein ausreichender Hinweis auf Sicherheitsmängel war dieses Blatt nicht. Sobald die Übertragung vertraulicher Daten angefordert wird, werden die betreffenden Internetseiten als unsicher markiert. Webseiten ohne Verschlüsselung werden von Google zukünftig mit einem roten Warndreieck gekennzeichnet. Google betrachtet HTTPS als Qualitätsmerkmal – unverschlüsselte Webseiten werden wohl sehr bald benachteiligt werden. Dies wirkt sich insbesondere auf die Suchergebnisliste aus, was für kommerzielle Webseiten zu wirtschaftlichen Einbußen führen kann. Eine SSL-Verschlüsselung ist bereits aus diesem Grund zu empfehlen.
Was sind grundlegende Veränderungen?
Mittlerweile gehen die Datenschutzaufsichten der Länder gegen Webseiten vor, die trotz der elektronischen Übertragung personenbezogener Daten keine angemessenen Schutzmaßnahmen ergreifen. § 13 VII TMG schreibt vor, dass bei der Verwendung von Kontaktformularen – bei denen personenbezogene Daten übertragen werden – anerkannte Verschlüsselungsverfahren zu implementieren sind. Dies betrifft nicht nur Webseiten mit Kontaktformularen, sondern sämtliche Übertragungen personenbezogener Daten – die Regelung kann auch Jobportale, Blogs und ähnliche Webseiten betreffen. Anerkannte Verschlüsselungsverfahren sind beispielsweise SSL und TLS. Betreiber von Internetseiten, die gegen diese Pflicht verstoßen, müssen gem. § 16 III TMG mit einer Geldbuße von bis zu 50.000 Euro rechnen.
Webhosting-Anbieter bei denen kostenlose Zertifikate enthalten sind: