Überprüfung von Website-Verschlüsselung in Bayern?

Unternehmen mit Sitz in Bayern, die eine Website betreiben, könnte kurzfristig eine Überprüfung des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) ins Haus stehen. Konkretes Prüfinteresse der Datenschützer ist dieses Mal die Verschlüsselung von Websites. Auf welche Fragen Unternehmen sich vorbereiten sollten und was die technischen Hintergründe sind, erklärt unser Beitrag.

Prüffragen: Was könnte die Datenschutzbehörde wissen wollen?

Wie die activeMind AG erfuhr, könnten in etwa folgende Fragen an bayerische Unternehmen mit einer Website gestellt werden. Wenn Sie auf die jeweilige Frage klicken, erhalten Sie in aller gebotenen Kürze einige wichtige Hintergrundinformationen:

Wenn auf einer Website personenbezogene Daten übermittelt werden können, etwa durch ein Kontaktformular, eine Newsletter-Anmeldung oder eine Online-Bewerbung, muss die Übertragung der Daten verschlüsselt werden. Ein gültiges und funktionierendes SSL-Zertifikat ist Pflicht. Oder noch einfacher ausgedrückt: In der Adresszeile muss ein „https“ auftauchen!

Wird die Website im Webbrowser des Nutzers auf diese Weise verschlüsselt ausgegeben, werden auch alle Daten, die vom Webbrowser an den Server zurückgeschickt werden, verschlüsselt  – also datenschutzkonform – übertragen.

SSL 2.0 und SSL 3.0 sind Versionen der Transportverschlüsselung (Transport Layer Security). Bis zum Jahr 1999 hieß dies noch SSL (Secure Sockets Layer). SSL 2.0 stammt aus 1995 und SSL 3.0 aus 1996 und wurde von Netscape entwickelt. Beide Versionen werden nicht mehr unterstützt. Die aktuelle Version heißt TLS 1.2.

TLS 1.2 ist die aktuelle Version der Transportverschlüsselung (Transport Layer Security).

Hierbei handelt es sich um die Stärke des Schlüssels. 2048 Bit sind die Mindestvoraussetzung, weil der Einsatz von 1024 Bit-Schlüsseln als nicht mehr sicher gilt.

SSL-Zertifikate werden von Zertifizierungsstellen herausgegeben. Damit diese die Echtheit bzw. Vertrauenswürdigkeit einer Quelle bestätigen (d. h. zertifizieren) können, müssen sie selbst Vertrauen „genießen“. Dieses erwerben sie, indem sie die Anforderungen von Betriebssystemen, Browsern oder auch Herstellern mobiler Endgeräte erfüllen und in deren Programme aufgenommen werden. Je länger eine Zertifizierungsstelle schon am Markt ist, desto mehr Browser und Geräte akzeptieren die von der Stelle ausgestellten Zertifikate. Besondere Herausforderung für die Zertifizierungsstelle ist eine umfassende Abwärtskompatibilität zu älteren Browsern etc.

PFS (Perfect Forward Secrecy oder Forward Secrecy) ist ein Schlüsselaustauschprotokoll, welches unter anderem die Rekonstruktion eines Schlüssels durch Unbefugte verhindern soll. Unter Verwendung von PFS steigt die Sicherheit des Schlüsselaustauschverfahrens, da hierbei sogennante Man-in-the-middle-Attacken nicht möglich sind und der Sitzungsschlüssel nach der Sitzung gelöscht wird.

RC4 ist eine Art der Verschlüsselung innerhalb von TLS – diese ist aber seit 2015 als offiziell unsicher eingestuft und darf nicht mehr verwendet werden.

SHA-1 ist ein Hashing-Verfahren, welches auch nicht mehr als sicher gilt, da es relativ leicht durch eine  Brute-Force-Attacke zurückgerechnet werden kann.

Bei Heartbleed handelt es sich um einen 2011 gefundenen Fehler in der SSL-Verschlüsselungstechnologie. Software, die diesbezüglich noch anfällig ist, darf nicht mehr eingesetzt werden. Durch diese sogenannten Heartbleed-Schwachstelle ist es möglich, bestimmte Speicherbereiche des Servers auszulesen, die möglicherweise geheimes Schlüsselmaterial enthalten.

HTTP Strict Transport Security (HSTS) zwingt den Webbrowser dazu, Verbindungen ausschließlich über verschlüsselte Verbindungen herzustellen. Selbst der Klick auf einen http-Link wird autormatisch auf https umgeleitet. Dies setzt natürlich voraus, dass ein gültiges SSL-Zertifikat installiert ist und dass der Webbrowser die HSTS-Technologie beherrscht.

Was Unternehmen jetzt für Ihre Website-Sicherheit tun sollten

Unternehmen sind gut beraten, den möglicher Weise bald eintreffenden Fragebogen des BayLDA von Ihrer IT-Abteilung jetzt schon überprüfen zu lassen.

Mithilfe des folgenden kostenlosen Online-Tests ist es zudem möglich, die SSL-Zertifikatskette von Webseiten zu überprüfen: https://www.ssllabs.com/ssltest/

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.