Kein SSL Zertifikat? Ziemlich mutig!

Website ohne SSL Zertifikat
Für seriöse Unternehmen ein Muss: ein SSL-Zertifikat für die Website. Adobe Stock, (c) elenabsl

Google will das Internet sicherer machen. Die clevere Suchmaschine weiß nämlich, dass User sich dort am wohlsten fühlen, wo sie auch sicher sind. Aber wie gut sind die österreichischen KMUs auf diesen Google Kreuzzug vorbereitet? Und wie sicher sind österreichische Websites momentan? HEROLD informiert.

SSL – Was ist das?

SSL ist die Abkürzung für Secure Sockets Layer. Es handelt sich um ein Verschlüsselungsprotokoll, das der sicheren Übertragung von Daten im Internet dient. Dabei kann es sich entweder um die sichere Übertragung von Daten zwischen einer Domain auf einem Webserver und einem Browser handeln, über den Informationen an diese Domain geschickt werden oder der sie von ihr empfängt.

Es kann sich dabei aber auch um eine Datenübertragung zwischen zwei Servern handeln. Übrigens: Wenn heute von SSL die Rede ist, dann ist meistens TLS gemeint. TLS (= Transport Layer Security) wurde als Nachfolgeprotokoll von SSL entwickelt und ist mittlerweile standardisiert. Wir werden die beiden Bezeichnungen in unserem Artikel synonym verwenden.

Und was hat es mit HTTPS (= Hyptertext Transfer Protocol Secure) auf sich? HTTPS bezeichnet nichts weiter als die Verwendung von HTTP über SSL/TLS. Ihr Browser lässt Sie damit wissen, dass Sie eine abgesicherte Verbindung nutzen.

Wer eine Website ohne SSL Zertifikat betreibt, geht ein unnötiges Risiko ein. Denn nicht geschützte Websites sind eine offene Einladung an Hacker. Und diese lassen sich nicht zweimal bitten.

Wie funktioniert SSL?

In der SSL Verbindung werden Verschlüsselungsalgorithmen verwendet, die sämtliche Daten kodieren und sie auf diese Weise unlesbar für Hacker und andere Unbefugte machen. Typische Daten, die niemals ohne SSL versendet oder empfangen werden sollten, sind zum Beispiel Adressdaten, Finanzinformationen oder Kundennamen. Im weitesten Sinne also sämtliche sensiblen und/oder persönlichen Daten. Ist das SSL Protokoll aktiviert und steht die sichere Verbindung zur Verfügung, kommunizieren die beteiligten Rechner ausschließlich über jenen Verschlüsselungsmechanismus, der von SSL bereitgestellt wird.

Sichere Qualitäts-Webseiten gibt’s beim HEROLD!

Google liebt SSL! Unsichere Verbindungen verlieren

Nun muss grundsätzlich natürlich jeder selbst entscheiden, ob er seine Daten im Internet schützen will. Betreiber von rein privaten Homepages, denen es nicht auf’s Google Ranking ankommt, und deren Besucher weder Anfragen senden, noch sich für einen Newsletter anmelden, werden hier kaum Probleme bekommen. Bei Unternehmenswebsites sieht das aber ganz anders aus. Denn Google hat SSL und HTTPS 2014 nicht nur ganz offiziell als wichtige Ranking-Faktoren benannt, sondern warnt User im Internet sogar ausdrücklich vor unsicheren Verbindungen. Auf KMU-Websites ohne SSL Zertifikat kommen also folgende Schwierigkeiten zu:

  • schlechteres Ranking in den Google-Suchergebnissen aufgrund fehlenden SSL-Zertifikats
  • Google Sicherheitswarnung bei Eingabefeldern auf Ihrer Unternehmenswebsite
  • Google Sicherheitswarnung bei Kontakt- oder Anfrageformularen auf Ihrer Website

Achtung! Es geht nicht nur darum, was Google von Ihrer Website hält. Eines dürfen wir nämlich nicht vergessen: Der einzige Grund, warum Google SSL liebt, ist, dass der User SSL liebt. Beziehungsweise liebt der User das Gefühl, im Internet geschützt zu sein. Das bedeutet natürlich, dass er eine nicht gesicherte Homepage im Zweifel kein zweites Mal besuchen wird. Darüber hinaus erwecken Websites ohne SSL Zertifikat einen unprofessionellen Eindruck bei potenziellen Business-Partnern.

Website ohne SSL Zertifikat: Schloss als Symbol für Internet Sicherheit und SSL Zertifikat.
SSL Zertifikat? Brauche ich nicht! Österreichische KMUs sind in Sachen Internet-Sicherheit erschreckend blauäugig. Adobe Stock, (c) nik0.0kin

Wie sicher sind Österreichs Websites?

Wir wissen nun, dass SSL und HTTPS für Google wichtige Ranking-Faktoren sind, und dass der User einer gesicherten Verbindung deutlich mehr vertraut als einer Website ohne SSL. Aber setzen die österreichischen KMUs dieses Wissen auch um? Noch nicht wirklich. Die Performance landscape study von Silktide1, in der 30.000 österreichische Websites getestet wurden, hat ergeben, dass rund 89 Prozent der untersuchten Webseiten massive Qualitätsmängel aufweisen. Diese betreffen neben der Ladegeschwindigkeit und der Darstellung auf Smartphones in besonderem Maße die Sicherheit.

Gegenwärtig sind durchschnittlich nur 29% (!) der untersuchten Websites durch ein SSL Verschlüsselungsprotokoll geschützt. Besonders weit abgeschlagen sind die Branchen Handwerk (zum Beispiel Gärtner, Elektriker, Installateure etc.) mit 25% und Schönheit/Fitness (zum Beispiel Kosmetikstudios, Fußpfleger, Friseure etc.) mit 27%.

SSL Verschlüsselung aktivieren – aber wie?

Wer seine Website mit SSL sichern möchte, braucht ein entsprechendes Zertifikat. Dieses wird als Legitimationsnachweis der jeweiligen Website benötigt. Die sichere Verbindung wird dann aufgebaut, indem der Browser beim Server abfragt, ob er zur aufgerufenen Domain gehört. Der Server bestätigt dies, indem er den zugehörigen SSL-Code sendet. Et voilà: Die sichere Verbindung wird aufgebaut und sämtliche Daten verschlüsselt!

Wer stellt SSL Zertifikate aus?

Wer ein SSL Zertifikat kaufen möchte, wendet sich normalerweise an eine Zertifizierungsstelle, auch „Certification Authorities“ (CA) genannt. Diese Stelle überprüft dann alle Angaben auf Richtigkeit. Erst, wenn die Prüfung abgeschlossen ist, wird das Zertifikat ausgestellt. Es ist anschließend bei der jeweiligen Zertifizierungsstelle abgelegt und öffentlich einsehbar.

Website ohne SSL Zertifikat: Grafik eines SSL-Supermans, der die durch TSL Zertifikat geschützte Verbindung symbolisiert.
Ohne SSL Zertifikat sind die (sensiblen) Inhalte auf Ihrer Website ein gefundenes Fressen für Hacker. Foto: Adobe Stock, (c) beatpavel

Wie funktionieren SSL Zertifikate?

Beim SSL-Protokoll sind zwei Größen wichtig: 1) das digitale Schlüsselpaar, bestehend aus dem öffentlichen und dem privaten Schlüssel des jeweiligen Webservers, und 2) die ID der jeweiligen Zertifizierungsstelle. Um ein SSL-Zertifikat für Ihre Website beantragen zu können, muss diese eine eigene IP-Adresse haben. Das ist notwendig, weil das digitale Schlüsselpaar jeweils für eine IP, in die der Domain-Name einfließt, entworfen wird. Funktionieren tut das Ganze dann sozusagen über eine Umleitung: Der Browser des Besuchers verbindet sich nämlich nicht mit Ihrer Website, sondern mit einem Server des SSL-Providers. Dieser SSL-Proxy leitet die Informationen des Besuchers dann an Ihre Website weiter.

Wie funktioniert SSL Handshake? Der Begriff SSL-Handshake wird häufig für die Verschlüsselungskette verwendet, die vom SSL-Protokoll gestartet wird. Das läuft folgendermaßen ab: Durch den öffentlichen Schlüssel des Webservers werden die zu übertragenden Daten codiert. Mit dem privaten Schlüssel, der auf dem zertifizierten Server hinterlegt ist, können die Informationen dann entschlüsselt werden.

Welche Vorteile hat die gesicherte Verbindung?

Die Verschlüsselung von Daten und sensiblen Informationen ist nicht der einzige Vorteil von TLS. Das Protokoll wird eingesetzt, um drei Hauptziele zu erreichen: 1. Vertraulichkeit (durch Verschlüsselung), 2. Authentizität (durch Legitimierung) und 3. Datenintegrität.

  • Vertraulichkeit: Die gesicherte Verbindung signalisiert dem Besucher der Website: Hier werden deine Daten verschlüsselt und können nicht von Dritten abgefangen werden! Das schafft Vertrauen beim Kunden.
  • Authentizität: Die Zertifizierungsstelle überprüft die Identität des Websitebetreibers. Das heißt, wenn dem User eine HTTPS-Verbindung angezeigt wird, kann er sicher sein, dass es sich nicht um eine Betrüger-Website handelt, die zum Beispiel einen ähnlichen Domain-Namen hat. Die Identität des Betreibers muss für den Kunden stets überprüfbar sein.
  • Integrität der Daten: Die Datenintegrität ist der Grund, warum insbesondere Webshops niemals ohne TLS operieren sollten. Nur bei einer abgesicherten Verbindung ist ausgeschlossen, dass die Bestellung/der Bezahlvorgang durch Dritte manipuliert wird beziehungsweise sensible Informationen (zum Beispiel Kreditkartendaten) durch Ditte abgefangen werden.

Wie sicher ist SSL wirklich?

Wir haben bereits gesehen, dass SSL/TLS für eine Website im KMU-Bereich unverzichtbar ist. Doch auch Websites mit SSL Zertifikat sind nicht automatisch auf der sicheren Seite, denn Cyberattacken und Manipulationsversuche beschränken sich leider nicht auf den Augenblick der Datenübertragung. Der SSL-Proxy verschlüsselt und schützt die Daten, während sie vom Besucher-Browser übertragen werden. Nachdem der Proxy die Daten dann aber auf die Zielwebsite weitergeleitet hat, hört der Schutz durch das SSL Zertifikat auf. Das bedeutet, dass der weitere Datenschutz dem Websitebetreiber selbst obliegt – zum Beispiel durch eine entsprechende Firewall und ein gut gewähltes Content Management System (CMS).

Website ohne SSL Zertifikat: Hacker
Ohne zusätzlichen Schutz sind die (sensiblen) Inhalte auf Ihrer Website ein gefundenes Fressen für Hacker. Foto: Adobe Stock, (c) Thaut Images

Wie schütze ich meine Website?

Dass der erste Schritt in Sachen Website Sicherheit und Datenschutz der Kauf eines SSL/TLS Zertifikats ist, wissen wir mittlerweile. Wir wissen aber auch, dass das Verschlüsselungsprotokoll noch nicht ausreicht, um Ihre Website insgesamt gegen Hackerangriffe und Manipulationsversuche zu schützen. KMUs, die auf der sicheren Seite sein wollen, sollten sich aus diesem Grund für einen Webhoster entscheiden, bei dem nicht nur das TLS/SSL Zertifkat im Service integriert ist, sondern deren Webserver auch anderweitig nach aktuellem technischen Stand bestmöglich geschützt sind.

Website von HEROLD: SSL-zertifiziert & DSGVO-konform

Von HEROLD erstellte Websites sind selbstverständlich SSL-zertifiziert und DSGVO-konform. Zusätzlich sind sie jedoch bestmöglich gegen Hackerangriffe geschützt, da keine Open Source Systeme (wie zum Beispiel WordPress) verwendet werden. HEROLD-Websites werden über geschlossene, nicht öffentliche Content Management Systeme betrieben. Laufende Updates der Software selbst sowie der Firewall sorgen zusätzlich für die Sicherheit Ihrer Daten. HEROLD ist nicht umsonst der größte Website-Anbieter im österreichischen KMU-Segment2. In zehn Jahren gab es keinen einzigen erfolgreichen Hackerangriff auf eine HEROLD-Website.

Mit einer HEROLD-Website bist du auf der sicheren Seite!

1) Silktide Performance landscape Study 2018

2) HEROLD (2018) 

Weitere Artikel

HEROLD Blog Team