Das Wichtigste zur SSL-Verschlüsselung in Kürze
- Ein SSL-Zertifikat ermöglicht es dem Computer eines Seitenbesuchers die Identität des Seitenservers zu identifizieren und zu bestätigen.
- Bevor eine eigentliche Verbindung zwischen einem Browser und dem Server der Website hergestellt wird, findet ein „Handshake“ statt: Der Browser überprüft, ob er auch wirklich mit dem richtigen Server in Kontakt steht und ermittelt anschließend einen Schlüssel, mit welchem die Daten der Sitzung einkodiert werden.
- Die Nutzung dieser Technik ist an der URL einer Seite erkennbar: Diese beginnt bei Einbindung eines SSL-Zertifikats mit „HTTPS“. Die Sicherheit dieser Seiten ist deutlich größer als bei unverschlüsselten Websites.
- In Sachen Datenschutz ist das HTTPS-Protokoll empfehlenswert.
Wie sicher ist das HTTPS-Protokoll?
Inhaltsverzeichnis
Das kleine grüne Vorhängeschloss vor der Adresszeile eines jeden Browsers verrät, dass die besuchte Seite als „sicher“ eingestuft wird. Sicherheit wird in diesem Fall mit der Einbindung eines SSL-Zertifikats gleichgesetzt.
Doch ist HTTPS wirklich sicher?
Dieser Ratgeber schlüsselt die Funktionsweise des SSL-Zertifikats auf und erklärt, welche Datenschutzvorteile das HTTPS-Protokoll bietet.
So funktioniert die Verschlüsselung mittels HTTPS: Sicherheit beginnt mit einem Händeschütteln
Zunächst sollen die beiden wichtigsten Abkürzungen erläutert werden:
- SSL: Secure Socket Layer. Hierbei handelt es sich in erster Linie um eine Möglichkeit, einen Server zu authentifizieren.
- HTTPS: Hypertext Transfer Protocol Secure. Hierbei handelt es sich um ein Protokoll, welches die Verschlüsselung durchführt.
Doch wie genau stellen SSL-Verschlüsselung und HTTPS-Protokoll die Sicherheit einer Verbindung sicher? Folgende Schritte laufen im Hintergrund ab, wenn Sie eine derart geschützte Website besuchen.
- Der Server der Website sendet sein SSL-Zertifikat und einen öffentlichen Schlüssel (Public key) an Ihren Browser – dieser Vorgang wird „Handshake“ genannt
- Dieser überprüft, ob er auch wirklich auf den angegebenen Server und die angegebene Website zugreift. Kopien populärer Websites werden durch diesen Schritt meist entlarvt
- Nach erfolgreicher Authentifizierung schickt Ihr Browser mithilfe des öffentlichen Schlüssels einen eigens für die Sitzung errechneten Schlüssel (Session key) an den Server. Das HTTPS-Protokoll verschlüsselt alle übertragenen Daten mithilfe des session keys
Allumfassende Sicherheit bietet auch HTTPS nicht
Heutzutage sind die meisten Browser dazu übergegangen, Websites, welche das HTTPS-Protokoll nicht nutzen, als unsicher zu markieren. Dies spricht für einen hohen Sicherheitsfaktor der Kodierung.
Dennoch ist es Experten gelungen, die Verschlüsselung mithilfe eines Programms rückgängig zu machen und so auf die übermittelten Daten zuzugreifen.
Diverse Antivirenprogramme sind ebenfalls dazu in der Lage, eine über HTTPS-Verschlüsselte Verbindung zu unterbrechen, um die übermittelten Daten auf Malware zu prüfen.
Dank HTTPS-Protokoll Sicherheit und Datenschutz einer Website erhöhen: Darauf kommt es an
Grundsätzlich kann jeder Websitebetreiber ein eigenes SSL-Zertifikat erstellen und dieses auf einem Server installieren. Zertifikate, welche nicht von anerkannte Zertifizierungsstellen erstellt und signiert wurden, werden von den Browsern jedoch nicht als sicher eingestuft.
Der erste Schritt – die Authentifizierung des Website-Servers – ist nämlich nur dann erfolgreich, wenn der Browser die Bestätigung von einer der anerkannten Zertifizierungsstellen erhält.
SSL-Verschlüsselung in der Datenschutzerklärung erklären?
Um das Vertrauen Ihrer Seitenbesucher zu stärken, empfiehlt es sich, in der Datenschutzerklärung Ihrer Website zur erklären, inwieweit das HTTPS-Protokoll die Sicherheit der übermittelten Daten schützt.
Auf diesem Weg beweisen Sie Ihren Kunden, dass Sie sich mit der Thematik des Datenschutzes im Internet befasst haben und die Privatsphäre Ihrer Seitenbesucher schützen.
Folgende Formulierung können Sie dazu verwenden:
SSL-Verschlüsselung (HTTPS-Protokoll)
Um Ihre übermittelten Daten bestmöglich zu schützen nutzen die Websitebetreiber eine SSL-Verschlüsselung. Sie erkennen derart verschlüsselte Verbindungen an dem Präfix “https://“ im Seitenlink in der Adresszeile Ihres Browsers. Unverschlüsselte Seite sind durch „http://“ gekennzeichnet.
Sämtliche Daten, welche Sie an diese Website übermitteln – etwa bei Anfragen oder Logins – können dank SSL-Verschlüsselung nicht von Dritten gelesen werden.
Datenschutzerklärung bei SSL-Einbindung anpassen: Vorlage zum Download
Hier können Sie die komplette Datenschutzerklärung mit allen oben genannten Punkten gebündelt downloaden:
Download als PDF Download als .doc
Cowardos meint
17. Mai 2018 at 9:46
Hallo,
die Formulierung:
(1) “ Um Ihre übermittelten Daten bestmöglich zu schützen nutzen die Websitebetreiber eine SSL-Verschlüsselung “
Ist nicht gaaaanz richtig 🙂
Es müsste genauer lauten:
(2) “ Um Ihre Daten bei der Übermittlung bestmöglich zu schützen nutzen die Websitebetreiber eine SSL/TLS-Verschlüsselung “
…..
Bei SSL/TLS werden die Daten verschlüsselt vom Sender zum Empfänger transportiert. Was mit den Daten passiert, nach dem sie beim Empfänger angekommen sind und wieder entschlüsselt wurden (um weiter verarbeitet werden zu können), hat nichts mit SSL/TLS zu tun.
Damit werden bei SSL/TLS nicht die übermittelten Daten geschützt, sondern die Daten bei/während der Übermittlung.
…
Bekomme ich jetzt ein Besserwisserkrönchen ?
datenschutz.org meint
8. Juni 2018 at 14:26
Hallo Cowardos,
da das Partizip II „übermittelt“ hier passivisch und nicht zwingend perfektiv zu verstehen ist, ist unser Satz dem Ihren semantisch mindestens gleichwertig. Dass es um einen Schutz während der Übertragung geht, wird im Übrigen durch den Inhalt der vorangegangenen Abschnitte des Textes deutlich. Daher verbleibt das Besserwisserkrönchen leider bei uns.
Die Redaktion von Datenschutz.org
Holodietmar meint
30. Oktober 2023 at 13:24
Für die kommerzielle Nutzung wie webshops verstehe ich die Sicherheitsanforderungen. Für eine rein private Seite finde ich den Zwang auf SSL übertrieben. Hier werden einfache private Nutzer immer weiter aus dem Netz vertrieben oder mit weiteren Kosten verbunden. Finde ich schade.