Ist Ihre Website gesichert? SSL-Zertifikate als Teil des Markenvertrauens!

Wenn wir im Internet unterwegs sind, hinterlassen wir nicht nur unbewusst (verwertbare) Fußspuren, sondern geben oftmals aktiv sensible Daten von uns preis. Ohne das wären beispielsweise Newsletter-Anmeldungen, Shop-Bestellungen oder Online-Banking ja auch nicht möglich. Da Phishing und Cyberkriminalität jedoch kontinuierlich zunehmen, wird die Sicherheit der eigenen Daten immer wichtiger.

Wahrscheinlich denken wir alle genau das und doch sind gerade Websites und Webshops noch nicht immer sicher. Beleuchten wir das Thema Sicherheit bei Websites daher einmal Schritt für Schritt. Sie werden sehen, dass es manchmal bereits kleine Aspekte sind, die das Vertrauen Ihrer Kunden in Ihre Marke stärken.

Sichere Websites dank HTTPS - doch was steckt dahinter?

Gesehen haben Sie es mit Sicherheit selbst auch schon ganz oft, dass immer mehr Websites die Abkürzung HTTPS statt HTTP vorangestellt haben. Wissen Sie denn auch wieso?

HTTPS - Hypertext Transport Protocol Secure

Hierbei handelt es sich um ein spezielles Protokoll zur sicheren Übertragung von Daten. Das Hypertext Transport Protocol Secure ist also ein Hinweis darauf, dass die eigenen Daten verschlüsselt übertragen werden. Bei einer unverschlüsselten Übertragung wäre es jederzeit möglich, dass die eigenen Daten abgefangen und ausgelesen werden - doch wer gibt freiwillig seine Kreditkarteninformationen oder ähnliches preis. Durch die Verschlüsselung und Authentifizierung wird gewährleistet, dass Datenübertragungen zwischen den richtigen Parteien stattfinden und nicht gecrackt wurden.

SSL - Secure Socket Layers

Die Voraussetzung, dass eine solch sichere Übertragung möglich ist, ist die Einbindung sogenannter SSL-Zertifikate auf der Website. Die Secure Socket Layers bezeichnen einen Code auf dem Webserver zur Verschlüsselung und Authentifizierung des Datenverkehrs im Internet. Hierdurch wird die Datenübertragung zwischen dem verwendeten Browser und dem angefragten Webserver gesichert. Auf den Webbrowser kommen wir gleich nochmal gesondert zu sprechen.

TLS - Transport Layer Security

SSL, TLS, was muss ich denn noch alles wissen? Keine Sorge, es ist im Grunde ganz einfach: die TLS stellen technisch eine Weiterentwicklung von SSL dar, die heute quasi der gängige Standard sind. Es hat sich jedoch eingebürgert, dass weiterhin von SSL die Rede ist. Wundern Sie sich also nicht, wenn Sie über diese beiden Abkürzungen stolpern und doch quasi von ein und der selben Sache die Rede ist.

Wie funktionieren SSL-Zertifikate eigentlich?

SSL Record Protocol

Streng genommen bestehen SSL-Zertifikate aus mehreren Protokollen, die beim Aufruf einer Website aktiviert werden. Zunächst wird über die bestehende Verbindung zwischen Ihnen und dem Webserver eine weitere Verbindung, das SSL Record Protocol, geschoben. Dieses Protokoll sorgt für die Verschlüsselung zwischen den beiden Computern und ist ein Aufzeichnungsprotokoll. Im Endeffekt erfolgt nur eine Prüfung, ob alle Eingaben am anderen Ende auch korrekt wieder ausgegeben werden oder ob es zu Abweichungen kommt.

SSL Handshake Protocol

Hier kommt dann nun ein weiteres Protokoll, dass SSL Handshake Protocol, ins Spiel. Die Namensgebung ist dabei keineswegs zufällig. Das Handshake Protocol sorgt quasi dafür, dass beide Computer vorm Austausch von Daten “per Handschlag” eine Identifizierung der Teilnehmer vornehmen und sicherstellen, dass die Daten nicht bei einer dritten Partei gelandet sind. Die beiden Computer verständigen sich auf einen Code und die Größe der jeweils zu übermittelnden Datenpakete und diese fließen in einem eigenen Algorithmus von einem Computer zum Anderen und werden dort defragmentiert und lesbar gemacht. Bei diesem Handshake treten die SSL-Zertifikate also in Erscheinung und fungieren als eine Art digitaler Personalausweis.  

Certification Authority

Wie im richtigen Leben, so ist es auch bei SSL-Zertifikaten so, dass diese nicht von Jedermann ausgestellt werden dürfen, um anerkannt zu sein. Es gibt hierfür verschiedene Zertifizierungsstellen, die Certification Authorities, über die ein Zertifikat beantragt wird. Die Authority prüft hierbei die Richtigkeit der gemachten Angaben und bürgt mit ihrer Signatur hierfür.  

Warum sollte ich ein SSL-Zertifikat einbinden?

Das Internet und seine Möglichkeiten werden immer größer und vor allem immer alltäglicher in der Nutzung. Von Kontaktanfragen, über Einkäufe, bis hin zur Steuererklärung erledigen wir mehr und mehr Dinge digital. Und geben somit natürlich auch viel von uns preis, sofern es nicht abgesichert ist. Die Sicherung von sensiblen Daten ist natürlich besonders wichtig, wenn es um Zahlungsströme oder Log-ins geht, wie zum Beispiel bei einem Webshop, aber auch bei einer “normalen” Website wird Sicherheit mehr und mehr zum Faktor. Folgende Daten werden im Übrigen durch ein SSL-Zertifikat verschlüsselt übertragen:

• Registrierungsdaten, wie Name, Adresse, Telefonnummer oder E-Mail
• Logins (i.d.R. Benutzername und Passwort)
• Zahlungsinformationen, wie Bankverbindungen und Kreditkarteninformationen
• Eingabeformulare
• User-seitige Datei-Uploads

Es muss also nicht immer Geld im Spiel sein, wenn es um Sicherheit von Daten geht. Log-in-Bereiche und insbesondere Eingabeformulare finden sich nämlich auf sehr vielen Websites. Wir finden: egal welche Daten auf einer Website eingegeben werden müssen, sie haben es verdient, dass man sie sichert!

Welche Arten von SSL-Zertifikaten gibt es?

SSL-Zertifikate sind nicht alle gleich - und das wäre bei der Vielzahl von Nutzungsoptionen auch irgendwie merkwürdig. Es gibt daher verschiedene Stufen der Verschlüsselung und der Identifikation aus denen man das passende Zertifikat wählen kann.

Wieviel Bit sollten es denn sein?

Die unterschiedlichen Verschlüsselungsstärken werden in Bit angegeben. Je größer die Anzahl der verwendeten Bits für den Schlüssel, desto stärker ist die Verschlüsselung. Die meisten SSL-Zertifikate setzen von Haus aus auf eine starke Verschlüsselung mit 128 oder 256 Bit. Der “Schlüssel” der abgefragt wird, ist also wie bei einem Passwort, länger und daher schwerer zu knacken, weil die Anzahl der möglichen Kombinationen zunimmt. Eine 128 Bit-Verschlüsselung beispielsweise ist eine Billion Mal stärker als eine Verschlüsselung mit 40 Bit.

SSL-Zertifikate mit Domain-Validierung (DV)

Eine Domain-Validierung ist die niedrigste Stufe der Validierung. Hierbei wird durch die Certification Authority nur geprüft, ob der Antragsteller auch wirklich der Eigentümer der jeweiligen Domain ist. Es bleibt also ein Restrisiko, da keine Prüfung von Unternehmensdaten erfolgt. Dafür erfolgt eine schnelle Ausstellung seitens der Certification Authority und es ist in der Regel das günstigste Zertifikat.

SSL-Zertifikate mit Inhaber-Validierung (OV)

Eine Stufe weiter geht die Inhaber-Validierung, da hier neben dem Domain-Eigentum auch noch Unternehmensdaten, wie Handelsregistereinträge geprüft werden. Die überprüften Informationen sind durch den Website-Besucher einsehbar und somit ein weiterer Vertrauensfaktor. Das Zertifikat bietet einen höheren Grad an Sicherheit, ist in der Regel aber auch mit höheren monatlichen Kosten verbunden.

SSL-Zertifikate mit erweiterter Validierung (EV)

Das größtmögliche Maß an Sicherheit bietet die erweiterte Validierung, da hier die umfangreichste Authentifizierungsstufe zum Einsatz kommt. Es erfolgt eine noch strengere Überprüfung der Unternehmensdaten und Einhaltung der Zertifizierungsrichtlinien. Dafür erhält man den größtmöglichen Schutz und das eigene Unternehmen wird den Website-Besuchern direkt in der Adresszeile des Browsers angezeigt. 

Wildcard- und Multi-Domain-Zertifikate

Jede der genannten Zertifikats-Arten gibt es dabei in verschiedenen Ausführungen. Wenn man dies beim Antrag nicht explizit berücksichtigt, erhält man ein Einzelzertifikat für eine Domain. Hat man nun jedoch mehrere Domains oder verwendet Subdomains, wären diese nicht geschützt. Um eine Domain und entsprechende Subdomains zu schützen benötigt man das Wildcard-Zertifikat bei dem alle subdomains.beispieldomain.de mitgeschützt sind. Dies könnte zum Beispiel ein separater Log-in-Bereich sein.

Möchte man nun mehrere verschiedene Domains durch das Zertifikat schützen lassen, benötigt man ein Multi-Domain-Zertifikat. Dies könnten dann verschiedene Websites auf einem Server, beispielsweise für verschiedene Marken, sein, aber auch verschiedene Top-Level-Domains, wie “.de”, “.com” oder dergleichen die genutzt werden. Insbesondere wenn auch das verwendete Content Management System, wie beispielsweise TYPO3, multidomainfähig ist und man mehrere Websites aus einem Systemkern heraus betreibt, kann sich ein solches Zertifikat im Vergleich mit mehreren Einzel-Zertifikaten lohnen.  

Woran erkenne ich, dass meine Daten SSL-gesichert sind?

Ob eine SSL geschützte Datenübertragung vorliegt, zeigen uns die Browser direkt an. Und das seit dem 01. Januar 2017 sogar noch deutlicher als früher. Insbesondere Google Chrome geht hierbei vorneweg und kennzeichnet unsichere Websites aus. Daher wollen wir uns die Kennzeichnung anhand des Branchenführers einmal näher ansehen.

Ist eine Website sicher, können Sie dies zum einen an der URL erkennen. Schauen Sie einfach, ob dem www ein http:// oder ein https:// vorangestellt wird. Zusätzlich erfolgt eine Auszeichnung durch ein kleines Sicherheitsschloss und die Kennzeichnung “sicher”. Je nach Zertifikat gibt es zudem eine farbliche Auszeichnung in grün und die vorangestellte Nennung des Betreibers.

Sehen Sie ein eingekreistes "i"? Dann ist kein SSL-Zertifikat eingebunden oder es ist nicht korrekt implementiert. Manchmal erfolgt zudem der Hinweis, dass die Website ungesichert ist. Bei Klick auf das “i” wird beispielsweise der Hinweis “die Verbindung zu dieser Website ist nicht sicher”.

Websites, die mit einem Ausrufezeichen in einem roten Dreieck gekennzeichnet sind, sollten Sie nach Möglichkeit nicht besuchen und keine persönlichen Daten hinterlassen. Diese Auszeichnung steht für eine unsichere und/oder schädliche Website, bei der größere Probleme vorliegen.

Andere Browser verfahren im Übrigen ganz ähnlich und geben auch entsprechende Warnungen aus. Sie können in der Regel also gut erkennen, ob bereits eine gesicherte Verbindung vorliegt oder nicht. Falls dies nicht der Fall ist, sollten Sie darauf achten, ob Sie das Unternehmen kennen, denn auch wenn SSL-Zertifikate eigentlich bereits zum Standard zählen, gibt es viele, auch namhafte Unternehmen, die diese noch nicht einsetzen. Und wenn Sie sich nicht sicher sind, ob Sie eine Website weiterhin besuchen oder Daten eingeben wollen: hören Sie auf Ihr Bauchgefühl.

Was sind die Vorteile einer sicheren Übertragung?

Wie eingangs geschrieben, geht es im Leben ja auch immer um Vertrauen. Durch den Einsatz von SSL zeigt man seinen Website-Besuchern, Shop-Kunden et cetera also, dass einem die Sicherheit der persönlichen Daten wichtig ist. Ein SSL-Zertifikat gibt also ein Gefühl der Sicherheit und trägt dadurch zu einem positiven Markenvertrauen bei.

Gerade das Vertrauen und das Bauchgefühl sind doch enorm wichtig, wenn es darum geht eine Geschäftsbeziehung gleich welcher Art aufzubauen. Da sollte von vornherein also ein gutes Gefühl vorhanden sein. Fragen wie “bin ich wirklich auf der richtigen Website?”, “sind meine Daten auch sicher?” werden also sofort erkennbar durch die gezeigten Symbole mit ja beantwortet und Sie als seriöser Anbieter wahrgenommen. Die Sorge um die eigenen Daten ist weg und man kann sich auf das Wesentliche konzentrieren: Ihren Content. So sinken beispielsweise auch Absprungraten, wenn die User sehen, dass eine Verbindung sicher ist.

Für Sie als Unternehmer bietet ein SSL-Zertifikat gleich einer Versicherung zudem noch eine Schutzfunktion. Sofern ein SSL-Zertifikat gecrackt wurde und durch den Missbrauch von Daten Schaden entstanden ist, wird dieser bis zu bestimmten Summen reguliert.

Gibt es einen Zusammenhang zwischen SSL-Zertifikat und Google Ranking?