Als Shop-Inhaber kommunizieren Sie auf verschiedene Art und Weise mit Ihren Kunden: Sie schicken E-Mails zur Kaufbest\u00e4tigung, Newsletter-An-\/-Abmeldung, zum Beantworten von Fragen oder zu sonstigen Anl\u00e4ssen. Zudem kommunizieren Sie \u00fcber Ihre Website: Ihre Kunden bestellen Waren, hinterlegen pers\u00f6nliche Daten inklusive etwaigen Zahlungsdaten und kommentieren und\/ oder bewerten, wenn entsprechende M\u00f6glichkeiten vorhanden sind. Der Schutz all dieser Kommunikationen obliegt Ihnen als Shop-Inhaber. Es liegt in Ihrer Verantwortung, sowohl die pers\u00f6nlichen Daten Ihrer Kunden als auch die Kommunikation mit ihnen vor Manipulationen und Diebstahl zu sch\u00fctzen. Ihr Hilfsmittel: Verschl\u00fcsselung.<\/p>\n
<\/p>\n
Ein SSL-Zertifikat verfolgt die drei Hauptziele Vertraulichkeit, Datenintegrit\u00e4t und Authentizit\u00e4t. Sehen wir uns das genauer an: Ein Kunde m\u00f6chte in Ihrem Online-Shop bestellen. Um dies zu tun, gibt der Kunde seine pers\u00f6nlichen Kontakt-, Adress- und Zahlungsdaten ein. Die verschl\u00fcsselte Verbindung sorgt f\u00fcr die notwendige Vertraulichkeit: die pers\u00f6nlichen Daten des Kunden k\u00f6nnen nicht von Dritten abgefangen und wom\u00f6glich missbraucht werden.<\/p>\n
Das SSL-Zertifikat gew\u00e4hrleistet aber auch die Integrit\u00e4t der Daten Ihres Kunden. Bedeutet: Manipulationen der aufgegebenen Bestellung sind nicht m\u00f6glich. Manipulationen k\u00f6nnen in unterschiedlicher St\u00e4rke vorkommen, sind jedoch immer f\u00fcr K\u00e4ufer und H\u00e4ndler sehr nachteilig. So kann es etwa dazu kommen, dass sich der Kunde einen Pullover bestellt hat, aufgrund der Manipulation aber Schuhe geliefert bekommt. Oder dass die Ware nie bei ihm ankommt, da die Empf\u00e4ngeradresse manipuliert wurde. Als H\u00e4ndler und als K\u00e4ufer bringt das \u00c4rger \u00fcber R\u00fccksendungen, nicht erfolgte Sendungen, Waren, die bezahlt, aber nie geliefert wurden, und so weiter. Einen Einzelfall m\u00f6gen Sie und der betroffene Kunde wom\u00f6glich noch verkraften. Aber stellen Sie sich nur vor, was Ihnen f\u00fcr ein Aufwand entst\u00fcnde, wenn Manipulationen h\u00e4ufiger vorkommen! Das kann bis zur Existenzbedrohung gehen.<\/p>\n
Das dritte Ziel, das ein SSL-Zertifikat verfolgt, ist die Authentizit\u00e4t. Das bedeutet, dass Ihre Kunden die M\u00f6glichkeit haben, die Identit\u00e4t von Ihnen als Shopbetreiber zu \u00fcberpr\u00fcfen. Die Identit\u00e4t des Verk\u00e4ufers wird also sichergestellt, was zur Folge hat, dass der Kunde wei\u00df, mit wem er Gesch\u00e4fte macht. Cyberkriminelle k\u00f6nnten fehlende Authentizit\u00e4t beispielsweise dadurch ausnutzen, einen Shop aufzusetzen, der Ihrem zum Verwechseln \u00e4hnlich sieht. Potenzielle Kunden werden via Phishing-E-Mails auf den gef\u00e4lschten Webshop geleitet, geben eventuell Bestellungen auf und zahlen, erhalten jedoch nie Waren. Ihr Name wird damit in den Dreck gezogen \u2013 Ihr Image wird massiv besch\u00e4digt. Ein SSL-Zertifikat, das Ihre Authentizit\u00e4t best\u00e4tigt, verhindert genau das.<\/p>\n
Ein SSL-Zertifikat sorgt also nicht nur f\u00fcr einen Schutz vor Datendiebstahl und -manipulation, sondern schafft zus\u00e4tzlich Vertrauen bei Ihren Kunden. Insbesondere, wenn Sie sich f\u00fcr ein EV-Zertifikat entscheiden und damit f\u00fcr eine gr\u00fcne Adressleiste sorgen, schenken Kunden Ihnen und Ihrem Shop Vertrauen. Das gilt \u00fcbrigens nicht nur f\u00fcr Kunden, sondern auch f\u00fcr Suchmaschinen: Seit dem vergangenen Jahr sieht der Suchmaschinenriese Google HTTPS als Rankingfaktor an<\/a>. Werfen Sie gerne einen Blick in unser SSL-Zertifikate<\/a> Portfolio. Mithilfe einer \u00dcbersicht auf unserer Webseite k\u00f6nnen Sie SSL-Zertifikate vergleichen<\/a>\u00a0und finden\u00a0 z\u00fcgig und einfach das richtige SSL-Zertifikat f\u00fcr Ihre Anspr\u00fcche. Gerne k\u00f6nnen Sie sich auch von unserem Support<\/a> beraten lassen.<\/p>\n Oft ist die Rede von SSL-Zertifikaten, wenngleich heutzutage ausschlie\u00dflich TLS-Zertifikate ausgestellt werden. TLS ist der Nachfolger von SSL, jedoch hat sich der Begriff SSL bei der Verschl\u00fcsselung durchgesetzt. Kl\u00e4ren wir kurz einmal Begrifflichkeiten:<\/p>\n Man unterscheidet zwischen domainvalidierten, organisationsvalidierten und den bereits erw\u00e4hnten Extended Validation-Zertifikaten:<\/p>\n Lesen Sie auf dieser Seite im unteren Know-how-Bereich mehr zu den verschiedenen Varianten der SSL-Zertifikate<\/a>.<\/p>\n Um eine abgesicherte Verbindung aufzubauen, ist ein SSL\/TLS-Zertifikat unabdingbar. In dem Zertifikat ist unter anderem der Zertifikateaussteller gespeichert, au\u00dferdem Zertifikatinhaber sowie dessen \u00f6ffentlicher Schl\u00fcssel. Das Zertifikat wird auf dem Server, \u00fcber den sp\u00e4ter die Verbindung aufgebaut werden soll, installiert. Um die Integrit\u00e4t des Zertifikats sicherzustellen, wird es von der CA signiert.<\/p>\n Theoretisch k\u00f6nnen Sicherheitszertifikate auch selbst generiert und signiert werden, jedoch gibt es Probleme in der Praxis, die dagegen sprechen: die Authentizit\u00e4t und damit eines der Hauptziele von SSL-Zertifikaten geht verloren, da es keine unabh\u00e4ngige Institution gibt, die die Identit\u00e4t des Ausstellers \u00fcberpr\u00fcft h\u00e4tte. Zahlreiche moderne Browser geben Warnmeldungen f\u00fcr Seiten mit selbst signierten Zertifikaten aus, da die Authentizit\u00e4t nicht objektiv \u00fcberpr\u00fcft wurde. Dieser objektive Pr\u00fcfer ist idealerweise eine Zertifizierungsstelle (CA), die in den Listen vertrauensvoller Organisationen in Betriebssystemen und Software wie Browsern als solche bereitsteht. Es geht also um eine Vertrauenskette, die bei selbst signierten Zertifikaten nicht vorhanden sein kann.<\/p>\n Sogenannte Man-in-the-Middle-Angriffe (MITM-Angriffe) kommen relativ h\u00e4ufig vor, wenn Shop-Betreiber auf Verschl\u00fcsselung verzichten. Dabei schaltet sich der Cyberkriminelle zwischen die beiden Kommunikationspartner, also K\u00e4ufer und Shop. Er \u00fcbernimmt die Kontrolle \u00fcber den kompletten Datenverkehr, den beide Kommunikationspartner austauschen, und kann somit Informationen einsehen und auch manipulieren. Der Angreifer t\u00e4uscht den Kommunikationspartnern dabei vor, das jeweilige Gegen\u00fcber zu sein \u2013 Betroffene bekommen den MITM-Angriff also nicht mit. Zu unsch\u00f6ner Prominenz gelangte das MITM-Angriffsszenario „Poodle“ im vergangenen Jahr, auch hier war SSLv3 einer der unsicheren \u00dcbelt\u00e4ter. Genaue Informationen zu „Poodle“ lesen Sie bitte in unserem Artikel „Des Poodles Kern<\/a>“ nach.<\/p>\n Um MITM-Attacken entgegenzuwirken, ist die Verschl\u00fcsselung das effektivste Mittel. Achten Sie bitte darauf, unsichere SSL-Versionen definitiv auszuschlie\u00dfen, um nicht von Sicherheitsl\u00fccken wie Poodle \u00fcberrascht zu werden und um die Daten Ihrer Kunden wirklich effizient zu sch\u00fctzen. Halten Sie sich idealerweise immer an aktuelle TLS-Versionen.<\/p>\n Fehlt K\u00e4ufern das Vertrauen in Ihren Online-Shop, werden sie ihre Produkte woanders bestellen. Es ist an Ihnen als Online-H\u00e4ndler, eine vertrauensvolle Umgebung f\u00fcr Ihre Kunden zu schaffen und den Schutz sensibler Kundendaten ernst zu nehmen \u2013 nicht nur, weil es das Gesetz vorschreibt, sondern auch, weil Sie sich wirklich mit dem Schutz der Kundendaten auseinandergesetzt haben. Erfahren Sie mehr dazu in unserer kompletten Basisschutz-Serie<\/a>, die wir in den n\u00e4chsten Wochen weiter erg\u00e4nzen.<\/p>\n Ein SSL-Zertifikat f\u00fcr Ihren Online-Shop ist unabdingbar. Idealerweise erh\u00f6hen Sie die drei Kernziele eines SSL-Zertifikats \u2013 n\u00e4mlich Vertraulichkeit, Integrit\u00e4t und Authentizit\u00e4t \u2013 mit einem EV-Zertifikat, das ein Plus an Vertrauen spendiert, da es die Adressleiste Ihres Browsers gr\u00fcn f\u00e4rbt. Ein weiterer Vorteil: Sie verschaffen sich bei Googles SEO-Ranking einen Vorsprung, wenn Sie effizient verschl\u00fcsseln. Sch\u00fctzen Sie neben Ihrem Webshop auch die E-Mail-Kommunikation mit Ihren Kunden. So erarbeiten Sie sich ein Image als H\u00e4ndler, der die Bedenken bez\u00fcglich des Datenschutzes ernst nimmt und entsprechend handelt.<\/p>\n Wie das Internethandel-Fachportal shopanbieter.de j\u00fcngst berichtet hat<\/a>, unterstehen Shops, die auf SSL-Verschl\u00fcsselung verzichten, einer hohen Abmahngefahr. H\u00e4ndler haben das Portal shopanbieter.de darauf aufmerksam gemacht, „dass derzeit von Datenschutzbeh\u00f6rden H\u00e4ndler wegen unverschl\u00fcsselt \u00fcbertragener Webformulare mahnend angeschrieben werden“. Wenngleich noch keine tats\u00e4chliche Abmahnung versendet wurde, k\u00f6nnte sich dies jedoch aus dem neuen IT-Sicherheitsgesetz<\/a> ergeben.<\/p>\n Warum die Aufregung? Nun ja: als Online-H\u00e4ndler stellen Sie diverse Formulare zur Verf\u00fcgung. Wom\u00f6glich setzen Sie Kommentar- oder Kontakt-Funktionen, vielleicht auch einen Newsletter ein, in jedem Fall m\u00fcssen sp\u00e4testens bei einer Bestellung pers\u00f6nliche Daten vom Kunden eingegeben werden. In aller Regel binden moderne Shopsysteme Formulare wie auch den Checkout-Prozess an Verschl\u00fcsselung. Jedoch existieren noch gen\u00fcgend Formulare, die hier nicht angebunden sind. Bloggen Sie beispielsweise auch, laufen die dort bereitgestellten Formulare quasi nebenher und werden nicht \u00fcber die SSL-Verschl\u00fcsselung im Shop gesch\u00fctzt.<\/p>\n Das Bayerische Landesamt f\u00fcr Datenschutzaufsicht schaut sich nun systematisch nach unverschl\u00fcsselten Webformularen um und macht Shopbetreiber darauf aufmerksam. H\u00e4ndlern wird in dem mahnenden Schreiben eine Frist gesetzt, bis zu der eine sichere Verschl\u00fcsselung stehen sollte. Der Beh\u00f6rde ist es wichtig, nicht nur eine Transportverschl\u00fcsselung einzusetzen, sondern auch vor nachtr\u00e4glicher Entschl\u00fcsselung zu sch\u00fctzen, etwa mittels Perfect Forward Secrecy<\/a>. Die Datenschutzaufsicht st\u00fctzt sich auf \u00a7 9 BDSG. Demnach m\u00fcssen nicht-\u00f6ffentliche Stellen technische sowie organisatorische Ma\u00dfnahmen treffen, um die Daten ihrer Kunden und Interessenten effizient zu sch\u00fctzen. Mit Inkrafttreten des IT-Sicherheitsgesetzes (IT-SiG) sind Sie als H\u00e4ndler in der Pflicht, moderne Techniken zu verwenden, die die Kundendaten effizient sch\u00fctzen \u2013 das Mittel der Wahl kann nur Verschl\u00fcsselung sein.<\/p>\n Zu verschl\u00fcsseln sind s\u00e4mtliche Formulare und Felder, in denen Anwender pers\u00f6nliche Daten hinterlassen k\u00f6nnen. Dazu z\u00e4hlt das Blog mit seiner Kommentarfunktion genauso wie die Bewertungsfunktion im Shop oder auch das Kontaktformular. Ob die Eingaben des Nutzers ver\u00f6ffentlicht werden oder nicht, ist unerheblich \u2013 relevant ist, dass es m\u00f6glich ist, pers\u00f6nliche Daten wie die E-Mail-Adresse oder den Namen anzugeben. Laut LDA Bayern gilt dies auch f\u00fcr die Eingabe von Zugangsdaten: hier ist HTTPS-Verschl\u00fcsselung einzusetzen.<\/p>\nUnterschiede bei SSL-Zertifikaten<\/h3>\n
\n
\n
SSL-Zertifikate f\u00fcr Online-Shops in der Praxis<\/h3>\n
Man-in-the-Middle-Angriffe bei fehlender Verschl\u00fcsselung<\/h3>\n
Das Fazit zu den SSL-Zertifikaten<\/h2>\n
Update: Abmahngefahr bei fehlender SSL-Verschl\u00fcsselung<\/h3>\n