SSL und die Internetsicherheit

SSL – oder einfach nur kurz „sichere“ Internetverbindung

In diesem Beitrag möchte ich kurz darüber aufklären, warum eine sichere, verschlüsselte Internetverbindung so wichtig ist.

Doch lasst mich kurz mal die allgemeine Definition in einem Zitat zusammenfassen, danach kann ich vereinfacht erklären, was die Kernaussage ist.

Wenn eine Webseite nicht sicher ist dann fehlt die Verschlüsselung
– “Nicht sicher” – bedeutet nichts anderes als, dass die Seite für jedermann zu knacken ist!


„Eine SSL-Verbindung (Secure Socket Layer) ist eine verschlüsselte Netzverbindung zwischen einem Server (z.B. der Google-Server, auf den man eine www-Adresse eingibt) und einem Client (Browser). SSL wurde von der Netscape Communications Corporation entwickelt. Es ist eine hybride Verschlüsselungsmethode, das heißt, dass sowohl die hohe Geschwindigkeit für die symmetrische Verschlüsselung von Daten als auch die Sicherheit asymmetrischer (paarweiser) Verschlüsselung genutzt werden.

Aus technischer Sicht sieht die Funktionsweise folgendermaßen aus: Der jeweils genutzte Browser erkennt durch das „s“ am http, dass für einen angesprochenen Server ein Zertifikat angefordert werden soll. Der Server muss sein Zertifikat von der Zertifizierungsstelle holen und an den Browser zurücksenden. Der Browser bekommt dann von der Zertifizierungsstelle eine Information zur Gültigkeit oder zum Ablauf des Zertifikates. Dann kann der Browser mit dieser Information überprüfen, ob er mit dem Server verbunden ist, der über die URL angesprochen wurde.

Damit die Sicherheit vollkommen ist, werden vom Browser zuerst Testnachrichten übermittelt, die über Verschlüsselungsmethoden verschlüsselt sind. Kommen diese regelkonform an, weiß man, dass die SSL-Verbindung funktioniert und sicher ist.

Über diese Verschlüsselungsmethode von Daten soll erreicht werden, dass sensible Daten – wie z.B. Kreditkartennummern oder persönliche Daten beim Online-Einkauf oder Krankendaten usw. – verschlüsselt übertragen werden. Die Verschlüsselung erfolgt insbesondere beim Einsatz mit HTTPS.

Vertrauliche Daten können so mit ihrem gesamten Inhalt verschlüsselt von einer Station zu einer anderen Station übertragen werden. Leider sind bei mehreren Stationen Sicherheitslücken möglich, wenn Daten von Stationen entschlüsselt werden, die eigentlich kein Anrecht auf die Information haben. Ein weiterer Nutzen von SSL ist, dass die Daten während der Session (also der Übertragungs- bzw. Verbindungssituation) nicht durch Dritte verändert, gelesen oder manipuliert werden können. Dieser Schutz entsteht mit der Algorithmisierung der Daten, die z.B. durch RC4 oder 40–128-Bit-Schlüssel. An der Internetadresse erkennt man bei der URL ein angehängtes „s“ und weiß dadurch, dass es sich um eine SSL-Verbindung handelt. Es steht dann nicht mehr nur http://, sondern https://. Die SSL-Verschlüsselung ist zum Beispiel bei der Übertragung von Finanzdaten, von Krankendaten, von Persönlichkeitsangaben, bei Nachrichtendiensten und allen dem strengen Datenschutz unterliegenden Daten, die per Internet übertragen werden sollen in Anwendungen.“ – SSL-Trust

So, ich habe den Text oben deshalb nicht selber geschrieben, weil es eben andere schon richtig gut getan haben, weshalb das Rad ja nicht neu erfunden werden sollte. In einer Grafik kurz erklärt funktioniert SSL dann so:

Was SSL ist



Doch was genau hat sich SSL zum Ziel gemacht:

  • SSL prüft ob ein Webserver (z.B. von der volksbank-freiburg) wirklich auch derjenige ist den man aufgerufen hat, denn sonst könnte man ja mit Aufwand nicht nur den Server tricksen sondern auch die Webseite so Faken, dass man als Anwender/Benutzer nur den Eindruck hat man befinde sich auf der Volksbankseite, so gibt der Kunde brav seine Login-Daten auf der Volksbankseite ein und diese kommen auf der gefakten Seite raus, so dass der Hacker ganz einfach und leicht an die Kundendaten rankommt.

  • Doch benutzt der Server und somit auch die Webseite SSL so werden die eingegebenen Daten auf dem Weg verschlüsselt. Warum: Es geht um sensible Daten wie z.B. Bankdaten, Login Daten, Kennwörter, etc.

  • Wenn die Webseite „Nicht sicher -“ ist, somit also kein gültiges SSL-Zertifikat hat, werden im Klartext die Kennwörter sowie alle sensiblen Daten durch das Internet geschickt und jeder kann diese abfangen, sobald er sich nur ein wenig damit auskennt, was gar nicht mehr so selten ist, wie man an jüngsten Ereignissen feststellen konnte.

  • Außerdem von großer Wichtigkeit doch sehr oft unterschätzt wird:

    • Kontaktformulare: Bei einem Kontaktformular (sei es direkt durch „Contact Form 7“, „Mailpoet“, „Mailchimp“ etc.) werden personenbezogene Daten verarbeitet. Werden diese ohne SSL-Zertifikat durch das Internet „gejagt“, dann werden somit sensible Daten wie z.B. Telefonnummer, Name, Email-Adresse, vielleicht Adresse, vielleicht Kundennummer, etc. verantwortungslos und unverschlüsselt übertragen. 

DENN Verschlüsselung von Webseitenübertragung per SSL ist „Stand der Technik“, somit ein MUSS in der hiesigen Zeit. Wenn etwas passiert sollte, dann greift weder die DSGVO noch der beste Anwalt der Welt.

Ihr fragt euch bestimmt: „Ja und? Wenn jemand meine Daten hat dann ist es ja nicht schlimm!“ Doch so einfach ist es nicht. Wenn Webseiten gehackt werden dann auch aus unscheinbar unwichtigen Gründen, der grösste Ansporn aber ist es Geld damit zu machen. Denn sind die Daten mal in den falschen Händen geraten kann ein Wort umgedreht werden und mal ist der Schuldige und hat lange damit zu kämpfen es vor Gerichten zu beweisen, dass man xy nicht gesagt oder geschrieben hat.

Bei Formularen sind es die Daten die relevant wenn z.B. jemand ein Blog abonnieren oder sich für ein Newsletter eintragen muss/möchte, die EIGENE oder die ANDERE Webseite / Blog ist ABER NICHT verschlüsselt und die Daten gelangen ins Internet, werden von Dritter veröffentlicht, dann hat man gegen die DSGVO gehandelt und macht sich somit strafbar.

Dazu verlinke ich euch weiter unten zwei sehr wichtige Seiten, wofür ihr euch die paar Minuten Zeit nehmen solltet. Gibt es Fragen, so könnt ihr mir schreiben, doch Vorweg ich tätige KEINE Rechtsberatung. Expertin bin ich nur auf dem Gebiet der Digitalisierung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.