Bei nicht HTTPS-verschlüsselten Webseiten erscheint seit einigen Wochen im Mozilla Firefox bei der Eingabe von Benutzernamen und Kennwörtern ein Hinweis, dass die Verbindung nicht sicher sei und Zugangsdaten in falsche Hände geraten könnten. Unsere Kunden sind verunsichert, da sie diese Meldung zumeist bei der Anmeldung am Content Management System der eigenen Webseite sehen. Das ist zum einen richtig, denn die eigene Webseite hat in dem Fall keine Verschlüsselung. Zumindest hat sie diese Verschlüsselung am Login nicht. Zum anderen betrifft das aber alle Webseiten, die keine oder eine unzureichende Verschlüsselung anbieten.

Sichere Webseiten mit SSL und HTTPS

Im privaten und vor allem im beruflichen Umfeld werden mehr und mehr sensible Daten über das Internet transportiert. Datenmissbrauch, Datendiebstahl und Datenspionage sind ein ernstzunehmendes Problem. Damit Firmen- und Kundendaten sicher übertragen werden können, muss der Übertragungsweg vom Webserver zum Webbrowser verschlüsselt werden. Dazu gehören unter anderem:  Registrierungsdaten, Log-in Daten, Zahlungsinformationen, Daten auf Eingabeformularen und hochgeladene Dokumente. Mit „Secure Socket Layers“, kurz SSL, sorgt  man für eine Verschlüsselung und Authentifizierung des Datenverkehrs. Darauf aufbauend werden Daten sicher per „Hypertext Transport Protocol Secure“, kurz HTTPS, übertragen. Die Aufgabe ist es die vom Anbieter (Webserver) vorgegebene Identität mit einem SSL-Zertifikat überprüfbar zu machen und damit Vertrauen zu schaffen. Technologisch passiert das automatisch zwischen Webserver und Webbrowser, aber auch in der Wahrnehmung fühlen wir uns sicher, wenn der Webbrowser oben an der Webadresse, kurz URL, das grüne Sicherheitsschloss anzeigt. Die Sicherheit der Verschlüsselungen wird stetig weiterentwickelt. Eine Weiterentwicklung des SSL ist die „Transport Layer Security“, kurz TLS.

Vorteile einer HTTPS-verschlüsselten Webseite

Aus Sicht des Datenschutzes wird eine hohe Sicherheit für Kunden und Partner geschaffen und somit das Risiko für Datenmissbrauch, Datendiebstahl und Datenspionage verringert. Jedes Unternehmen und jeder Unternehmer hat daran ein gesteigertes Interesse. Kontaktformulare auf Webseiten dürfen im Grunde nicht mehr ohne SSL-/TLS-Verschlüsselung betrieben werden. Für Formularseiten, auf denen persönliche Daten eingegeben werden, ist seit einigen Jahren in § 9 BDSG iVm Nr. 4 des Anhangs zu § 9 BDSG eine Regelung geschaffen worden. Dazu gehören eben diese Kontaktformulare. Gefordert wird hier ein Schutz nach aktuellem Stand der Technik, und das ist nach heutigem Stand eine SSL- und/oder TLS-Verschüsselung. Es gibt jedoch einen weiterem wichtigen Vorteil: Webseiten, die vschlüsselt ihre Daten übertragen, werden seit einigen Jahren durch Google besser bewertet und erfahren dadurch ein besseres Ranking in den Suchergebnissen. In einzelnen Fällen haben wir gesehen, dass Webseiten von Google mit https:// gelistet werden, und dann erscheint beim Besucher der Webseite ein Hinweis, dass das Zertifikat abgelaufen sei. Hier entsteht jetzt Misstrauen.

Umstellung der eigenen Webseite auf HTTPS

Die Umstellung der eigenen Webseite auf HTTPS passiert in zwei Schritten.

Schritt 1: Ein SSL-Zertifikat muss erworben werden. Am einfachsten ist es sicherlich, wenn man dieses Zertifikat beim Hoster bestellen und installieren lassen kann. In wenigen Minuten ist die Website auf HTTPS umgestellt. Gegebenenfalls sind ein paar Handgriffe auf dem eigenen Webspace zum Beispiel in der .htaccess notwendig.

Schritt 2: Alle absolut verlinkten Elemente müssen auf https:// umgestellt werden. Das kann einiges an Arbeit bedeuten. Jedes Bild, jedes Dokument, jeder interne Link muss überprüft werden. Erst dann wird die Webseite als vollständig sicher anerkannt und zeigt im Webbrowser das grüne Sicherheitsschloss.

Umstellung der eigenen Webseite auf Responsive Webdesign

Wer seine eigene Webseite nun schon mal überarbeitet und wer sich auch für das bessere Ranking bei Google interessiert, der sollte auch gleich eine Umstellung des Templates der eigenen Webseite auf Responsive Webdesign erledigen. Google rankt regelmäßig solche Webseiten besser, die sich in der Darstellung an mobile Endgeräte anpassen. Das ist nicht selbstverständlich, das erfordert eine Programmierung in der Webseite. Es ist nicht auszuschließen, dass Webseiten, die sich an mobile Endgeräte nicht anpassen, früher oder später auf mobilen Endgeräten in den Suchergebnissen gar nicht mehr angezeigt werden.

Fazit: Was ist zu tun?

Sprechen Sie mit Ihrem technischen Ansprechpartner Ihrer Webseite über diese Veränderungen. Es geht um die Verschlüsselung der Formularseiten, es geht darüber hinaus um die Verschlüsselung der gesamten Webseite und es geht um die Möglichkeiten die Webseite auf Responsive Webdesign umzustellen. Gegebenenfalls kostet das etwas Geld. Aber aus dem Wettbewerbsvorteil, den sich Unternehmen erlauben, in dem sie kein Geld dafür ausgeben, konstruieren Anwaltskanzleien früher oder später eine Abmahnung. Das Bayerische Landesamt für Datenschutzaufsicht ermahnte in der jüngsten Vergangenheit bereits Shopbetreiber zur Umsetzung einer sicheren Verschlüsselung von Formularen.