Überprüfung von Website-Verschlüsselung in Bayern?

SSL-Zertifikat für die Website-Verschlüsselung - activeMind AG

Unternehmen mit Sitz in Bayern, die eine Website betreiben, könnte kurzfristig eine Überprüfung des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) ins Haus stehen. Konkretes Prüfinteresse der Datenschützer ist dieses Mal die Verschlüsselung von Websites. Auf welche Fragen Unternehmen sich vorbereiten sollten und was die technischen Hintergründe sind, erklärt unser Beitrag.

Prüffragen: Was könnte die Datenschutzbehörde wissen wollen?

Wie die activeMind AG erfuhr, könnten in etwa folgende Fragen an bayerische Unternehmen mit einer Website gestellt werden. Wenn Sie auf die jeweilige Frage klicken, erhalten Sie in aller gebotenen Kürze einige wichtige Hintergrundinformationen:

Werden personenbezogene Daten übertragen?

Wenn auf einer Website personenbezogene Daten übermittelt werden können, etwa durch ein Kontaktformular, eine Newsletter-Anmeldung oder eine Online-Bewerbung, muss die Übertragung der Daten verschlüsselt werden. Ein gültiges und funktionierendes SSL-Zertifikat ist Pflicht. Oder noch einfacher ausgedrückt: In der Adresszeile muss ein „https“ auftauchen!

Wird die Website im Webbrowser des Nutzers auf diese Weise verschlüsselt ausgegeben, werden auch alle Daten, die vom Webbrowser an den Server zurückgeschickt werden, verschlüsselt  – also datenschutzkonform – übertragen.

Sind SSL 2.0 und SSL 3.0 deaktiviert?

SSL 2.0 und SSL 3.0 sind Versionen der Transportverschlüsselung (Transport Layer Security). Bis zum Jahr 1999 hieß dies noch SSL (Secure Sockets Layer). SSL 2.0 stammt aus 1995 und SSL 3.0 aus 1996 und wurde von Netscape entwickelt. Beide Versionen werden nicht mehr unterstützt. Die aktuelle Version heißt TLS 1.2.

Wird TLS 1.2 unterstützt?

TLS 1.2 ist die aktuelle Version der Transportverschlüsselung (Transport Layer Security).

Besitzt das SSL-Zertifikat mindestens 2048 Bit?

Hierbei handelt es sich um die Stärke des Schlüssels. 2048 Bit sind die Mindestvoraussetzung, weil der Einsatz von 1024 Bit-Schlüsseln als nicht mehr sicher gilt.

Wird die Zertifizierungsstelle des SSL-Zertifikats als vertrauenswürdig angesehen?

SSL-Zertifikate werden von Zertifizierungsstellen herausgegeben. Damit diese die Echtheit bzw. Vertrauenswürdigkeit einer Quelle bestätigen (d. h. zertifizieren) können, müssen sie selbst Vertrauen „genießen“. Dieses erwerben sie, indem sie die Anforderungen von Betriebssystemen, Browsern oder auch Herstellern mobiler Endgeräte erfüllen und in deren Programme aufgenommen werden. Je länger eine Zertifizierungsstelle schon am Markt ist, desto mehr Browser und Geräte akzeptieren die von der Stelle ausgestellten Zertifikate. Besondere Herausforderung für die Zertifizierungsstelle ist eine umfassende Abwärtskompatibilität zu älteren Browsern etc.

Wird Perfect Forward Secrecy unterstützt?

PFS (Perfect Forward Secrecy oder Forward Secrecy) ist ein Schlüsselaustauschprotokoll, welches unter anderem die Rekonstruktion eines Schlüssels durch Unbefugte verhindern soll. Unter Verwendung von PFS steigt die Sicherheit des Schlüsselaustauschverfahrens, da hierbei sogennante Man-in-the-middle-Attacken nicht möglich sind und der Sitzungsschlüssel nach der Sitzung gelöscht wird.

Ist das RC4-Verfahren entfernt?

RC4 ist eine Art der Verschlüsselung innerhalb von TLS – diese ist aber seit 2015 als offiziell unsicher eingestuft und darf nicht mehr verwendet werden.

Ist SHA-1 entfernt?

SHA-1 ist ein Hashing-Verfahren, welches auch nicht mehr als sicher gilt, da es relativ leicht durch eine  Brute-Force-Attacke zurückgerechnet werden kann.

Ist Heartbleed nicht vorhanden?

Bei Heartbleed handelt es sich um einen 2011 gefundenen Fehler in der SSL-Verschlüsselungstechnologie. Software, die diesbezüglich noch anfällig ist, darf nicht mehr eingesetzt werden. Durch diese sogenannten Heartbleed-Schwachstelle ist es möglich, bestimmte Speicherbereiche des Servers auszulesen, die möglicherweise geheimes Schlüsselmaterial enthalten.

Wird HSTS unterstützt?

HTTP Strict Transport Security (HSTS) zwingt den Webbrowser dazu, Verbindungen ausschließlich über verschlüsselte Verbindungen herzustellen. Selbst der Klick auf einen http-Link wird autormatisch auf https umgeleitet. Dies setzt natürlich voraus, dass ein gültiges SSL-Zertifikat installiert ist und dass der Webbrowser die HSTS-Technologie beherrscht.

Was Unternehmen jetzt für Ihre Website-Sicherheit tun sollten

Unternehmen sind gut beraten, den möglicher Weise bald eintreffenden Fragebogen des BayLDA von Ihrer IT-Abteilung jetzt schon überprüfen zu lassen.

Mithilfe des folgenden kostenlosen Online-Tests ist es zudem möglich, die SSL-Zertifikatskette von Webseiten zu überprüfen: https://www.ssllabs.com/ssltest/

Bitte bewerten Sie diese Inhalte!
[12 Bewertung(en)/ratings]
0 Kommentare

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.