User-Daten DSGVO-konform schützen

5 Dinge, die Webseiteninhaber über SSL-Zertifikate wissen sollten

| Autor / Redakteur: Stefan Moritz* / Georgina Bott

Wenn sich Kunden für Newsletter anmelden, sich in ihren Kunden-Account einloggen oder über ein Formular Kontakt zum Unternehmen aufnehmen, sind Webseiteninhaber in der Pflicht, diese Daten zu schützen.
Wenn sich Kunden für Newsletter anmelden, sich in ihren Kunden-Account einloggen oder über ein Formular Kontakt zum Unternehmen aufnehmen, sind Webseiteninhaber in der Pflicht, diese Daten zu schützen. (Bild: gemeinfrei / CC0)

Seit dem 25. Mai 2018 müssen Webseiteninhaber sicherstellen, dass personenbezogene Daten von EU-Bürgern effektiv vor dem Zugriff Dritter geschützt werden. SSL-Zertifikate sind hier eine Möglichkeit, denn sie verschlüsseln den Datentransfer zwischen Webseite und Server.

1. DV, OV oder EVD – das richtige Sicherheitslevel

Unternehmen können zwischen drei verschiedenen SSL-Zertifikaten wählen, die sich in puncto Sicherheit unterscheiden. Bei Anfrage eines DV-Zertifikats (Domain Validation) überprüft die beauftragte Zertifizierungsstelle lediglich, ob der Antragsteller auch tatsächlich der Inhaber der genannten Domain ist. Das Zertifikat wird dann innerhalb von wenigen Minuten ausgestellt. Bei einem OV-Zertifikat (Organization Validation) und einem EV-Zertifikat (Extended Validation) wird hingegen zusätzlich die Identität des Unternehmens validiert – letzteres ist dabei die sicherste Variante mit der umfangreichsten Prüfung.

Für welches der Zertifikate sich ein Unternehmen entscheidet, hängt von der zu schützenden Website ab. Bei Seiten, die keine persönlichen Daten des Users abfragen, reicht ein DV-Zertifikat. Ist ein Login erforderlich, sollte die Seite jedoch mindestens mit einem OV-Zertifikat gesichert werden. Für E-Commerce und Banking ist ein EV-Zertifikat Pflicht.

2. Visuelle Sicherheitsbeweise

SSL-Zertifikate haben neben der Sicherung des Datenverkehrs noch einen weiteren entscheidenden Vorteil: Sie liefern dem User visuelle Beweise für die Vertrauenswürdigkeit der Webseite. So erscheint links im Browser „https“ statt „http“ sowie ein grünes Schloss-Icon, wenn ein SSL-Zertifikat aktiv ist. Bei einem EV-Zertifikat wird zusätzlich der rechtsgültige und eingetragene Unternehmensname in der Adresszeile grün hervorgehoben – je nach Browser färbt sich auch die komplette Adresszeile grün. Ob sich ein Unternehmen für ein EV-Zertifikat oder ein kostengünstigeres DV-Zertifikat entscheidet, ist also nicht nur eine finanzielle Frage. Vielmehr müssen Markeninhaber überlegen, wie sie vor den Kunden auftreten wollen oder müssen – denn visuelle Sicherheitsmerkmale erhöhen auch das Vertrauen der User.

3. Seriöse Zertifizierungsstelle

SSL-Zertifikat ist nicht gleich SSL-Zertifikat – es kommt auch immer auf die Seriosität der Zertifizierungsstelle – auch Certification Authority (CA) genannt – an. 2014 etwa hatten mehrere große Internetunternehmen irrtümlich gefälschte Zertifikate erworben. Die Folge: Betrüger fingen die Paypal-Daten von Kunden der Spieleplattform Steam über mindestens drei Monate hinweg ab. Unternehmen sollten also auch bei der Wahl der Zertifizierungsstelle wachsam sein. Anbieter von Markenschutz-Lösungen geben hier Hilfestellung und schlagen vertrauenswürdige CAs vor – wie etwa das US-amerikanische Unternehmen DigiCert, das derzeit eine der größten seriösen Zertifizierungsstellen ist.

4. Laufzeit der Zertifikate

In der Regel werden SSL-Zertifikate nicht einmalig, sondern mit einer Laufzeit ausgestellt – meist umfasst diese zwei Jahre. Gerade für große Unternehmen mit vielen verschiedenen Domains bedeutet dies einen erheblichen Überwachungsaufwand – der allein mit Excel-Tabellen kaum zu stemmen ist. Abhilfe können Provider schaffen, die Zertifikate in einem übersichtlichen Dashboard listen und automatisiert darauf hinweisen, sobald ein neues erforderlich ist.

5. Verbessertes Google-Suchranking

Neben der EU-Datenschutz-Grundverordnung üben auch große Software-Konzerne wie Google oder Mozilla immer mehr Druck auf Unternehmen aus, ihre Webseiten mit SSL-Zertifikaten zu sichern. Google rankt etwa Seiten mit Zertifizierung um bis zu fünf Prozent höher als ungesicherte. Ab Juli 2018 will Google Chrome zudem mit einem durchgestrichenen Schloss-Icon auf ein fehlendes SSL-Zertifikat hinweisen. Mozilla Firefox hat dies bereits umgesetzt und macht User mit einem durchgestrichenen Schloss auf nicht gesicherte Verbindungen aufmerksam, wenn eine Website etwa einen Login verlangt. Beide Unternehmen planen zudem, erweiterte Browser Features nur noch für gesicherte Seiten bereitzustellen.

Das sollten B2B-Unternehmen zur EU-DSGVO wissen

Datenschutzgrundverordnung

Das sollten B2B-Unternehmen zur EU-DSGVO wissen

08.05.18 - Am 25. Mai endet die Übergangsfrist für die Europäische Datenschutzgrundverordnung (EU-DSGVO) und Datenschutzverstöße werden mit hohen Strafen belegt. Was B2B-Unternehmen zur EU-DSGVO wissen sollten, haben wir in einer Beitragsübersicht zusammengefasst. lesen

* Stefan Moritz ist Regional Director DACH bei MarkMonitor.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45376720 / Leadmanagement)