Kein SSL Zertifikat? Ziemlich mutig!

Zwei Laptops auf einem Holztisch, deren Bildschirm ein grünes Schloss als Symbol für Internet Sicherheit und SSL Zertifikat.
SSL Zertifikat? Brauche ich nicht! Österreichische KMUs sind in Sachen Internet-Sicherheit erschreckend blauäugig. Adobe Stock, (c) nik0.0kin

Google will das Internet sicherer machen. Natürlich nicht aus Nächstenliebe, sondern aus Berechnung. Die clevere Suchmaschine weiß nämlich, dass User sich dort am wohlsten fühlen, wo sie sicher sind. Aber wie gut sind die österreichischen KMUs auf diesen Google Kreuzzug vorbereitet? Und wie sicher sind österreichische Websites momentan? HEROLD hat nachgefragt.

Warum SSL? Weil’s nötig ist!

Wir stellen uns zwei reiche Männer an der Bar vor. Der eine trinkt Wasser und wird von zwei beeindruckenden Bodyguards flankiert. Der andere ist fett wie ein Radierer, hat seine prall gefüllte Geldbörse achtlos auf die Theke gelegt und sieht nichts anderes als die hübsche Barkeeperin. Was glauben Sie: Wer von den beiden ist für den Taschendieb, der an dem kleinen Tisch hinten links sitzt und unauffällig sein Ottakringer trinkt, wohl das attraktivere Opfer?

Der Fetznschädl? Garantiert! Und hier sind wir auch schon mitten im Thema. Denn eine Website ohne SSL Zertifikat zu betreiben, ist für einen KMU genau so „mutig“ wie in einer Bar sturzbetrunken mit Bargeld zu wedeln! Also niemals vergessen: Nicht geschützte Websites sind eine offene Einladung an Hacker. Und diese lassen sich nicht zweimal bitten.

SSL – Was ist das?

SSL ist die Abkürzung für Secure Sockets Layer. Es handelt sich um ein Verschlüsselungsprotokoll, das der sicheren Übertragung von Daten im Internet dient. Dabei kann es sich entweder um die sichere Übertragung von Daten zwischen einer Domain auf einem Webserver und einem Browser handeln, über den Informationen an diese Domain geschickt werden oder der sie von ihr empfängt. Es kann sich aber auch um eine Datenübertragung zwischen zwei Servern handeln. Übrigens: Wenn heute von SSL die Rede ist, dann ist meistens TLS gemeint. TLS (= Transport Layer Security) wurde als Nachfolgeprotokoll von SSL entwickelt und ist mittlerweile standardisiert. Wir werden die beiden Bezeichnungen in unserem Artikel synonym verwenden.

Und was hat es mit HTTPS (= Hyptertext Transfer Protocol Secure) auf sich? HTTPS bezeichnet nichts weiter als die Verwendung von HTTP über SSL/TLS. Ihr Browser lässt Sie damit wissen, dass Sie eine abgesicherte Verbindung nutzen.

Wie funktioniert SSL?

In der SSL Verbindung werden Verschlüsselungsalgorithmen verwendet, die sämtliche Daten kodieren und sie auf diese Weise unlesbar für Hacker und andere Unbefugte machen. Typische Daten, die niemals ohne SSL versendet oder empfangen werden sollten, sind zum Beispiel Adressdaten, Finanzinformationen oder Kundennamen. Im weitesten Sinne also sämtliche sensiblen und/oder persönlichen Daten. Ist das SSL Protokoll aktiviert und steht die sichere Verbindung zur Verfügung, kommunizieren die beteiligten Rechner ausschließlich über jenen Verschlüsselungsmechanismus, der von SSL bereitgestellt wird.

Betrunkener Mann an der Bar, wedelt mit Bargeld und kümmert sich nicht darum, ob das sicher ist oder nicht. Das gleiche Prinzip gilt für Websites ohne SSL Zertifikat.
Geld oder Daten zu verschenken? Nur zu, es zwingt Sie niemand dazu, Ihre Website mit SSL sicher zu machen. Adobe Stock, (c) Roman Stetsyk

Wer braucht SSL? Jeder!

Kommen wir noch einmal auf unseren Fetznschädl zurück. Was unterscheidet ihn von dem anderen Mann an der Bar? Zwei Dinge: die Bodyguards und die Tatsache, dass der andere Wasser trinkt. Was hat das mit SSL zu tun? Ganz einfach: Die Bodyguards sind das SSL Zertifikat. Und ist das Zertifikat erst einmal aktiviert, beschützt es Ihre Website nicht nur vor Hackerangriffen und Manipulationsversuchen von außen, sondern es stellt auch sicher, dass Sie selbst keine sensiblen Informationen mehr unverschlüsselt versenden können. Mit anderen Worten: Das SSL Zertifikat sorgt dafür, dass Sie in der Bar nur noch Wasser trinken und sich somit nicht selbst in Gefahr bringen können.

Google liebt SSL! Unsichere Verbindungen verlieren

Nun muss grundsätzlich natürlich jeder selbst entscheiden, ob er seine Daten im Internet schützen will. Betreiber von rein privaten Homepages, denen es nicht auf’s Google Ranking ankommt, und deren Besucher weder Anfragen senden, noch sich für einen Newsletter anmelden, werden hier kaum Probleme bekommen. Bei Unternehmenswebsites sieht das aber ganz anders aus. Denn Google hat SSL und HTTPS 2014 nicht nur ganz offiziell als wichtige Ranking-Faktoren benannt, sondern warnt User im Internet sogar ausdrücklich vor unsicheren Verbindungen. Auf KMU-Websites ohne SSL Zertifikat kommen also folgende Schwierigkeiten zu:

  • schlechteres Ranking in den Google-Suchergebnissen aufgrund fehlenden SSL-Zertifikats
  • Google Sicherheitswarnung bei Eingabefeldern auf Ihrer Unternehmenswebsite
  • Google Sicherheitswarnung bei Kontakt- oder Anfrageformularen auf Ihrer Website

Achtung! Es geht nicht nur darum, was Google von Ihrer Website hält. Eines dürfen wir nämlich nicht vergessen: Der einzige Grund, warum Google SSL liebt, ist, dass der User SSL liebt. Beziehungsweise liebt der User das Gefühl, im Internet geschützt zu sein. Das bedeutet natürlich, dass er eine nicht gesicherte Homepage im Zweifel kein zweites Mal besuchen wird. Darüber hinaus erwecken Websites ohne SSL Zertifikat einen unprofessionellen Eindruck bei potenziellen Business-Partnern.

Wie sicher sind Österreichs Websites?

Wir wissen nun, dass SSL und HTTPS für Google wichtige Ranking-Faktoren sind, und dass der User einer gesicherten Verbindung deutlich mehr vertraut als einer Website ohne SSL. Aber setzen die österreichischen KMUs dieses Wissen auch um? Noch nicht wirklich. Die Performance landscape study von Silktide1, in der 30.000 österreichische Websites getestet wurden, hat ergeben, dass rund 89 Prozent der untersuchten Homepages massive Qualitätsmängel aufweisen. Diese betreffen neben der Ladegeschwindigkeit und der Darstellung auf Smartphones in besonderem Maße die Sicherheit.

Gegenwärtig sind durchschnittlich nur 29% (!) der untersuchten Websites durch ein SSL Verschlüsselungsprotokoll geschützt. Besonders weit abgeschlagen sind die Branchen Handwerk (zum Beispiel Gärtner, Elektriker, Installateure etc.) mit 25% und Schönheit/Fitness (zum Beispiel Kosmetikstudios, Fußpfleger, Friseure etc.) mit 27%.

SSL Verschlüsselung aktivieren – aber wie?

Sobald Websitebetreibern klar wird, wie wichtig die sichere Verbindung wirklich ist, will natürlich jeder am liebsten gestern die SSL Verschlüsselung aktivieren. Ganz so einfach ist die Sache aber nicht. Wer seine Website mit SSL sichern möchte, braucht nämlich ein entsprechendes Zertifikat. Dieses wird als Legitimationsnachweis der jeweiligen Website benötigt. Die sichere Verbindung wird dann aufgebaut, indem der Browser beim Server abfragt, ob er zur aufgerufenen Domain gehört. Der Server bestätigt dies, indem er den zugehörigen SSL-Code sendet. Et voilà: Die sichere Verbindung wird aufgebaut und sämtliche Daten verschlüsselt!

Wer stellt SSL Zertifikate aus?

Wer ein SSL Zertifikat kaufen möchte, wendet sich normalerweise an eine Zertifizierungsstelle, auch „Certification Authorities“ (CA) genannt. Diese Stelle überprüft dann alle Angaben auf Richtigkeit. Erst, wenn die Prüfung abgeschlossen ist, wird das Zertifikat ausgestellt. Es ist anschließend bei der jeweiligen Zertifizierungsstelle abgelegt und öffentlich einsehbar.

Grafik eines SSL-Supermans, der die durch TSL Zertifikat geschützte Verbindung symbolisiert.
Ohne SSL Zertifikat sind die (sensiblen) Inhalte auf Ihrer Website ein gefundenes Fressen für Hacker. Foto: Adobe Stock, (c) beatpavel

Wie funktionieren SSL Zertifikate?

Beim SSL-Protokoll sind zwei Größen wichtig: 1) das digitale Schlüsselpaar, bestehend aus dem öffentlichen und dem privaten Schlüssel des jeweiligen Webservers, und 2) die ID der jeweiligen Zertifizierungsstelle. Um ein SSL-Zertifikat für Ihre Website beantragen zu können, muss diese zwingend eine eigene IP-Adresse haben. Das ist notwendig, weil das digitale Schlüsselpaar jeweils für eine IP, in die der Domain-Name einfließt, entworfen wird. Funktionieren tut das Ganze dann sozusagen über eine Umleitung: Der Browser des Besuchers verbindet sich nämlich nicht mit Ihrer Website, sondern mit einem Server des SSL-Providers. Dieser SSL-Proxy leitet die Informationen des Besuchers dann an Ihre Website weiter.

Wie funktioniert SSL Handshake? Der Begriff SSL-Handshake wird häufig für die Verschlüsselungskette verwendet, die vom SSL-Protokoll gestartet wird. Das läuft folgendermaßen ab: Durch den öffentlichen Schlüssel des Webservers werden die zu übertragenden Daten codiert. Mit dem privaten Schlüssel, der auf dem zertifizierten Server hinterlegt ist, können die Informationen dann entschlüsselt werden.

Welche Vorteile hat die gesicherte Verbindung?

Die Verschlüsselung von Daten und sensiblen Informationen ist nicht der einzige Vorteil von TLS. Das Protokoll wird eingesetzt, um drei Hauptziele zu erreichen: 1. Vertraulichkeit (durch Verschlüsselung), 2. Authentizität (durch Legitimierung) und 3. Datenintegrität.

  • Vertraulichkeit: Die gesicherte Verbindung signalisiert dem Besucher der Website: Hier werden deine Daten verschlüsselt und können nicht von Dritten abgefangen werden! Das schafft Vertrauen beim Kunden.
  • Authentizität: Die Zertifizierungsstelle überprüft die Identität des Websitebetreibers. Das heißt, wenn dem User eine HTTPS-Verbindung angezeigt wird, kann er sicher sein, dass es sich nicht um eine Betrüger-Website handelt, die zum Beispiel einen ähnlichen Domain-Namen hat. Die Identität des Betreibers muss für den Kunden stets überprüfbar sein.
  • Integrität der Daten: Die Datenintegrität ist der Grund, warum insbesondere Webshops niemals ohne TLS operieren sollten. Nur bei einer abgesicherten Verbindung ist ausgeschlossen, dass die Bestellung/der Bezahlvorgang durch Dritte manipuliert wird beziehungsweise sensible Informationen (zum Beispiel Kreditkartendaten) durch Ditte abgefangen werden.

Wie sicher ist SSL wirklich?

Wir haben bereits gesehen, dass es für KMU-Websites ein absolutes No-Go ist, auf SSL/TLS zu verzichten. Doch auch Websites mit SSL Zertifikat sind nicht automatisch auf der sicheren Seite, denn Cyberattacken und Manipulationsversuche beschränken sich leider nicht auf den Augenblick der Datenübertragung. Der SSL-Proxy verschlüsselt und schützt die Daten, während sie vom Besucher-Browser übertragen werden. Nachdem der Proxy die Daten dann aber auf die Zielwebsite weitergeleitet hat, hört der Schutz durch das SSL Zertifikat auf. Das bedeutet, dass der weitere Datenschutz dem Websitebetreiber selbst obliegt – zum Beispiel durch eine entsprechende Firewall und ein gut gewähltes Content Management System (CMS).

Wie schütze ich meine Website?

Dass der erste Schritt in Sachen Website Sicherheit und Datenschutz der Kauf eines SSL/TLS Zertifikats ist, wissen wir mittlerweile. Wir wissen aber auch, dass das Verschlüsselungsprotokoll noch nicht ausreicht, um Ihre Website insgesamt gegen Hackerangriffe und Manipulationsversuche zu schützen. KMUs, die auf der sicheren Seite sein wollen, sollten sich aus diesem Grund für einen Webhoster entscheiden, bei dem nicht nur das TLS/SSL Zertifkat im Service integriert ist, sondern deren Webserver auch anderweitig nach aktuellem technischen Stand bestmöglich geschützt sind.

Hacker, dessen Gesicht nicht zu erkennen ist, vor einem Computer, mit dem Ziel, Daten von Websites ohne SSL Zertifikat zu stehlen.
Ohne zusätzlichen Schutz sind die (sensiblen) Inhalte auf Ihrer Website ein gefundenes Fressen für Hacker. Foto: Adobe Stock, (c) Thaut Images

Website von HEROLD: SSL-zertifiziert & DSGVO-konform

Von HEROLD erstellte Websites sind selbstverständlich SSL-zertifiziert und DSGVO-konform. Zusätzlich sind sie jedoch bestmöglich gegen Hackerangriffe geschützt, da keine Open Source Systeme (wie zum Beispiel WordPress) verwendet werden. HEROLD-Websites werden über geschlossene, nicht öffentliche Content Management Systeme betrieben. Laufende Updates der Software selbst sowie der Firewall sorgen zusätzlich für die Sicherheit Ihrer Daten. HEROLD ist nicht umsonst der größte Website-Anbieter im österreichischen KMU-Segment2. In zehn Jahren gab es keinen einzigen erfolgreichen Hackerangriff auf eine HEROLD-Website.

Nicht überzeugt? Wunderbar! Das ist die perfekte Gelegenheit, das HEROLD-Website-Angebot auf Herz und Nieren zu prüfen! Lassen Sie sich von einem unserer Website-Spezialisten beraten und erfahren Sie, welche anderen Vorteile Sie neben Sicherheit mit einer HEROLD-Website noch erwarten dürfen!


1) Silktide Performance landscape Study 2018

2) HEROLD (2018) 

Weitere Artikel