CYBERDAY GmbH verwendet Cookies, um Ihnen den bestmöglichen Service zu gewährleisten. Wenn Sie auf der Seite weitersurfen stimmen Sie der Cookie-Nutzung zu. Diese Meldung nicht mehr anzeigen

089 23 23 92 94 0

Power made in GermanyPower made in Germany

Ohne HTTPS geht nichts mehr

Dass Online-Shops nur über einen Provider gehostet werden sollten, die eine entsprechende Verschlüsselungstechnik (zB. TLS, SSL, HTTPS) unterstützen, ist bekannt. Schließlich gibt der Kunde im Online-Shop hochsensible Kunden – und  Paymentdaten an den Shop-Betreiber weiter. Weitestgehend unbekannt ist jedoch, dass der Schutz personenbezogener Daten auch bereits bei Kontaktformularen, Newsletter-Abonnements und sogar schon bei der Kommentarfunktion bspw. in Blogs  greift. Auch hier werden persönliche Daten preisgegeben, deren Übertragung verschlüsselt zu erfolgen hat. Shop-Betreiber, welche noch über keine vollumfängliche Absicherung verfügen, werden derzeit von verschiedenen Landesdatenschutzstellen auf diesen Mangel hingewiesen. Noch ist offen, ob sich daraus eine neue Abmahnwelle entwickeln kann. Seitenbetreiber sollten diese Entwicklung jedoch nicht abwarten, sondern aus verschiedensten Gründen, ihre gesamte Website grundsätzlich absichern.

Um die Online-Landschaft in Deutschland sicherer und vertrauensvoller zu gestalten, ist Ende Juli 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (sog. IT-Sicherheitsgesetz) in Kraft getreten. Website-Betreiber und Online-Händler haben dafür zu sorgen, soweit dies technisch möglich und wirtschaftlich zumutbar ist, sicher anerkannte Verschlüsselungsverfahren anzuwenden, um personenbezogene Daten zu schützen. Sollte also auf einer Unternehmensseite ein Formular (z. B. Anmelde-, Kontakt-, Bestellformular) vorhanden sein,  sollte sichergestellt sein, dass hierfür ein sicheres Verschlüsselungsverfahren (z.B. TLS, HTTPS, SSL) eingesetzt wird. Denn Kunden nutzen meist Formulare, über die sie sich mitteilen: Von den allgemeinen Kontaktformularen über Info-Anfragen zu bestimmten Artikeln, Versanddauer oder Reklamationen bis hin zu Abos oder Login-Seiten.

Es wird auch zur Pflicht, die eingesetzte Software stets mit Updates zu aktualisieren. Wer also WordPress für seinen Blog nutzt oder einen Online-Shop betreibt, der ist nun gesetzlich verpflichtet, sich regelmäßig um Updates zu kümmern.

Die LDA Bayern nimmt an, dass unverschlüsselt übertragene Formulare dem Datenschutzgesetz widersprechen. Nach solchen Formularen sucht nun das Bayerische Landesamt für Datenschutzaufsicht systematisch und fordert die Shopbetreiber mahnend mit Fristsetzung zur (sicheren) Verschlüsselung der Seiten auf. Im Grunde genommen ist die Pflicht zur Absicherung der persönlichen Nutzerdaten nichts Neues. Die Frage ist nur, welche technischen Maßnahmen tatsächlich zur Bedingung werden.

Checkliste für eine sichere Verschlüsselung

  • Verschlüsseln Sie Ihre gesamte Seite und umschreiben Sie diese automatisch von http auf https. Für einen wirksamen Schutz der Datenübertragung sollte in den meisten Fällen die Verschlüsselung über HTTPS ausreichen. Prüfen Sie vor der Umstellung, ob wirklich alle Inhalte über SSL ausgeliefert werden. Denken Sie hier auch an Skripte von Drittanbietern.
  • Stellen Sie sicher, dass Besucher die von sog. Referrals oder Verweisen auf Ihre Webseite gelangen automatisch via htaccess auf Ihre https-Seite weitergeleitet werden.
  • Prüfen Sie alle Online-Formulare, in denen personenbezogene Daten abgefragt werden: Kontaktformulare, Blogartikel mit Kommentar- oder Share-Funktion, wenn über sie Login- oder Session-Daten weitergeleitet werden. Alle Formulare, die Login-Daten übertragen, müssen besonders geschützt werden. Dabei ist es unerheblich, ob personenbezogene Angaben veröffentlicht werden oder nicht. Denn wenn diese im Formular abgefragt werden, werden sie übertragen und müssen auch geschützt werden.
  • Überprüfen Sie das SSL-Zertifikat: Hat es eine Schlüssellänge größer als 1024-Bit (empfohlen wird 2048-Bit)? Nutzt die Webserverkonfiguration diese größere Länge auch? Wenn nein, konfigurieren Sie diese um.
  • Ändern Sie die empfohlene Schlüssellänge bei personenbezogenen Daten des SSL-Zertifikates auf mindestens 2048-Bit (Stand der Technik). Für eine Datensicherheit sind große Schlüssellängen notwendig. Achten Sie auch hier darauf, dass die Webserverkonfiguration die größere Länge nutzt.
  • Überprüfen Sie Ihren Mailserver: Als Übertragungsart sollte auf STARTTLS umkonfiguriert werden, um einen verschlüsselten Versand sicherzustellen. Testen Sie auch hier die Schlüssellänge – binden Sie unter Umständen ebenso den größeren Schlüssel ein.

Seit 2015 konfiguriert CYBERDAY neue Shops ausschließlich auf SSL/https. Und übrigens: Auch Google bevorzugt Seiten mit https!

Gerne unterstützen wir auch Sie bei der Verschlüsselung Ihres Onlineshops oder Webseite. Sprechen Sie uns einfach an. Wir stehen für ein unverbindliches Erstgespräch gerne für Sie bereit.

Telefon: 089 23 23 92 94 0

Links:

Bild:
Stefano Ferrario by pixabay

Schreibe einen Kommentar