SSL-Verschlüsselung

Die Pflicht zur Absicherung von persönlichen Nutzerdaten sind im Bundesdatenschutzgesetz und Telemediengesetz geregelt. Nun betrifft dies zwar im Regelfall Diensteanbieter wie etwa einen Onlineshop und Webseiten mit eindeutiger Gewinnabsicht.
Allerdings gelten der Name und eine E-Mail-Adresse bereits als personenbezogene Daten, die besonders schützenswert sind.

Somit sind auch private Webseiten und Blogs, wann immer über ein Formular die genannten Daten erhoben und übertragen werden, in der Pflicht, diese Nutzerdaten zu schützen.

Zitat aus § 13 TMG, Absatz 7
(…) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist (…)
(…) Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens (…)

Erläuterung: Zumutbarkeit
Rein technisch ist die Einbindung eines Zertifikats nur minimaler Aufwand und nahezu jeder Hoster bietet hierzu auch Automatismen an. Nun könnte man argumentieren, dass es wirtschaftlich für einen privaten Webseitenbetreiber nicht zumutbar sei; in Zeiten von domainvalidierten SSL-Zertifikaten die im Jahr deutlich unter 100 EUR kosten oder komplett kostenfreien Lösungen wie Let’s Encrypt, ist dies in meinen Augen aber nicht haltbar. Wildcard- oder EV-Zertifikate sind natürlich deutlich teurer.

Erläuterung: Stand der Technik
Was “Stand der Technik” ist, lässt sich anhand existierender nationaler oder internationaler Standards und Normen oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen Bereich ermitteln (branchenspezifische Standards).
Hierzu gibt es verschiedene Empfehlungen des amerikanischen NIST, der europäischen ENISA oder des deutschen BSI, auf die man sich beziehen kann. Das “Bundesamt für Sicherheit in der Informationstechnik” (BSI) gibt beispielsweise in der technischen Richtlinie TR-02102-2 (Kryptographisches Verfahren Teil 2) ihre Empfehlungen und Details zu zu verwendeten Cipher-Suiten und Hashes, sowie der grundsätzlichen Verwendung von TLS 1.2 sowie PFS (wann immer möglich) in Verschlüsselungsverfahren aus.

Link zur Publikation “BSI-TR-02102-2.pdf” auf www.bsi.bund.de .

Einzelgesetz – Telemediengesetz (TMG): http://www.gesetze-im-internet.de/tmg/__13.html
Einzelgesetz – Bundesdatenschutzgesetz (BDSG): https://www.gesetze-im-internet.de/bdsg_1990/__9.html

Was ist zu tun, Checkliste
Prüfen Sie zunächst Ihre Webseite, ob Sie personenbezogene Daten abfragen und übermitteln (Kontaktformulare, Blogartikelseiten mit Kommentarfunktion, alle Seiten mit Logins). Falls dies der Fall ist, sind folgende Dinge mindestens erforderlich:

SSL-Zertifikat für die (Sub-)Domain bestellen und einrichten (Schlüssellänge mind. 2048-Bit, SHA256)
Alle Seiten über https einbinden, Verlinkungen anpassen
Direkte Aufrufe der Seiten über http verhindern, z.B. über automatische Umleitung mittels htaccess-Datei.
Webserver prüfen, ob dieser auch empfohlene SSL-Ciphern verwenden, z.B. Onlinecheck auf https://www.ssllabs.com/ssltest/
Und nicht zuletzt für den “Stand der Technik” prüfen und aktualisieren Sie Ihre Webseite (CMS, Blogsoftware, Shop) und installierte Plugins

SSL-Verschlüsselung