PUBLIKATIONEN

Ohne HTTPS geht nichts mehr

Dass Online-Shops nur über einen Provider gehostet werden sollten, die eine entsprechende Verschlüsselungstechnik (zB. TLS, SSL, HTTPS) unterstützen, ist bekannt. Schließlich gibt der Kunde im Online-Shop hochsensible Kunden – und  Paymentdaten an den Shop-Betreiber weiter. Weitestgehend unbekannt ist jedoch, dass der Schutz personenbezogener Daten auch bereits bei Kontaktformularen, Newsletter-Abonnements und sogar schon bei der Kommentarfunktion bspw. in Blogs  greift. Auch hier werden persönliche Daten preisgegeben, deren Übertragung verschlüsselt zu erfolgen hat. Shop-Betreiber, welche noch über keine vollumfängliche Absicherung verfügen, werden derzeit von verschiedenen Landesdatenschutzstellen auf diesen Mangel hingewiesen. Noch ist offen, ob sich daraus eine neue Abmahnwelle entwickeln kann. Seitenbetreiber sollten diese Entwicklung jedoch nicht abwarten, sondern aus verschiedensten Gründen, ihre gesamte Website grundsätzlich absichern.

Um die Online-Landschaft in Deutschland sicherer und vertrauensvoller zu gestalten, ist Ende Juli 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (sog. IT-Sicherheitsgesetz) in Kraft getreten. Website-Betreiber und Online-Händler haben dafür zu sorgen, soweit dies technisch möglich und wirtschaftlich zumutbar ist, sicher anerkannte Verschlüsselungsverfahren anzuwenden, um personenbezogene Daten zu schützen. Sollte also auf einer Unternehmensseite ein Formular (z. B. Anmelde-, Kontakt-, Bestellformular) vorhanden sein,  sollte sichergestellt sein, dass hierfür ein sicheres Verschlüsselungsverfahren (z.B. TLS, HTTPS, SSL) eingesetzt wird. Denn Kunden nutzen meist Formulare, über die sie sich mitteilen: Von den allgemeinen Kontaktformularen über Info-Anfragen zu bestimmten Artikeln, Versanddauer oder Reklamationen bis hin zu Abos oder Login-Seiten.

Es wird auch zur Pflicht, die eingesetzte Software stets mit Updates zu aktualisieren. Wer also WordPress für seinen Blog nutzt oder einen Online-Shop betreibt, der ist nun gesetzlich verpflichtet, sich regelmäßig um Updates zu kümmern.

Die LDA Bayern nimmt an, dass unverschlüsselt übertragene Formulare dem Datenschutzgesetz widersprechen. Nach solchen Formularen sucht nun das Bayerische Landesamt für Datenschutzaufsicht systematisch und fordert die Shopbetreiber mahnend mit Fristsetzung zur (sicheren) Verschlüsselung der Seiten auf. Im Grunde genommen ist die Pflicht zur Absicherung der persönlichen Nutzerdaten nichts Neues. Die Frage ist nur, welche technischen Maßnahmen tatsächlich zur Bedingung werden.

Checkliste für eine sichere Verschlüsselung

  • Verschlüsseln Sie Ihre gesamte Seite und umschreiben Sie diese automatisch von http auf https. Für einen wirksamen Schutz der Datenübertragung sollte in den meisten Fällen die Verschlüsselung über HTTPS ausreichen. Prüfen Sie vor der Umstellung, ob wirklich alle Inhalte über SSL ausgeliefert werden. Denken Sie hier auch an Skripte von Drittanbietern.
  • Stellen Sie sicher, dass Besucher die von sog. Referrals oder Verweisen auf Ihre Webseite gelangen automatisch via htaccess auf Ihre https-Seite weitergeleitet werden.
  • Prüfen Sie alle Online-Formulare, in denen personenbezogene Daten abgefragt werden: Kontaktformulare, Blogartikel mit Kommentar- oder Share-Funktion, wenn über sie Login- oder Session-Daten weitergeleitet werden. Alle Formulare, die Login-Daten übertragen, müssen besonders geschützt werden. Dabei ist es unerheblich, ob personenbezogene Angaben veröffentlicht werden oder nicht. Denn wenn diese im Formular abgefragt werden, werden sie übertragen und müssen auch geschützt werden.
  • Überprüfen Sie das SSL-Zertifikat: Hat es eine Schlüssellänge größer als 1024-Bit (empfohlen wird 2048-Bit)? Nutzt die Webserverkonfiguration diese größere Länge auch? Wenn nein, konfigurieren Sie diese um.
  • Ändern Sie die empfohlene Schlüssellänge bei personenbezogenen Daten des SSL-Zertifikates auf mindestens 2048-Bit (Stand der Technik). Für eine Datensicherheit sind große Schlüssellängen notwendig. Achten Sie auch hier darauf, dass die Webserverkonfiguration die größere Länge nutzt.
  • Überprüfen Sie Ihren Mailserver: Als Übertragungsart sollte auf STARTTLS umkonfiguriert werden, um einen verschlüsselten Versand sicherzustellen. Testen Sie auch hier die Schlüssellänge – binden Sie unter Umständen ebenso den größeren Schlüssel ein.

Seit 2015 konfiguriert CYBERDAY neue Shops ausschließlich auf SSL/https. Und übrigens: Auch Google bevorzugt Seiten mit https!

Gerne unterstützen wir auch Sie bei der Verschlüsselung Ihres Onlineshops oder Webseite. Sprechen Sie uns einfach an. Wir stehen für ein unverbindliches Erstgespräch gerne für Sie bereit.

Telefon: 089 23 23 92 94 0

Links:

Bild:
Stefano Ferrario by pixabay

Schreibe einen Kommentar

Ähnliche Artikel
Wie geht es weiter nach dem Kaufabbruch?

Ein interessanter Eintrag auf dem Blog von Shop.org, der Online-Tochter des amerikanischen Einzelhandelsverbands National Retail Federation (NRF), setzt sich mit den Ergebnissen eines Webinars zum Thema „Shopping Cart Abandonment Research and Insights“ auseinander. Die dabei präsentierten Fakten scheinen ernüchternd. So beträgt die durchschnittliche Kaufabbruchrate 72 Prozent. Besuchen Kunden zum ersten Mal einen Onlineshop, liegt diese noch wesentlich höher: Nur in 0,25 Prozent der Fälle wird dann ein in den Warenkorb gelegter Artikel auch gekauft. Doch sollten Shopbetreiber nicht in Panik ausbrechen

Rechtsneuigkeiten im E-Commerce vom September 2015

Beim Vertrieb von Waren und Dienstleistungen in Frankreich ist es fahrlässig, einfach die vertrauten deutschen Regeln 1:1 umzusetzen. Die EU-Richtlinien haben zwar viele Regeln des Fernabsatzrechts in der EU angeglichen. Aber es sind in Frankreich nach wie nationale Sonderregeln zu beachten, die umzusetzen sind.
Hier sind einige Tipps der IT-Recht Kanzlei, was der deutsche Onlinehändler beim Vertrieb von Waren in Frankreich beachten sollte.

– Die Webseite des Onlinehändlers, die sich an französische Verbraucher richtet, sollte insgesamt in französischer Sprache formuliert sein. Verstöße gegen das Sprachgebot können von der französischen Wettbewerbsbehörde (Direction générale de la concurrence) mit empfindlichen Geldbußen geahndet werden.

Weiterlesen
Kontakt