Aber: Die Computer-Kriminalität nimmt Jahr für Jahr zu und dieser Trend wird sich auch in den nächsten Jahren fortsetzen. Oftmals haben es Kriminelle dabei auf sensible Daten abgesehen, bspw. Passwörter für E-Mail-Accounts oder Online-Banking. Sofern die Datenübertragung zwischen Webbrowser des Besuchers und dem Webbrowser des Betreibers nicht gesichert ist, haben Kriminelle einfaches Spiel. Um die Websicherheit zu gewährleisten, ist es unabdingbar, die zwischen Webbrowser und Webserver ausgetauschten Daten zu verschlüsseln. Diese Verschlüsselung von vertraulichen Daten wird durch ein SSL-Zertifikat sichergestellt. Damit kann der Betreiber einer Webseite dem Besucher versichern, dass die Daten auf dieser Webseite sicher und vor dem Zugriff Dritter geschützt sind.
Was bedeutet eigentlich SSL?
Doch was ist unter einem solchen Zertifikat überhaupt zu verstehen und wozu wird es benötigt? SSL steht für « Secure Socket Layer » und ist ein digitales Zertifikat welches die Daten verschlüsselt, die an einen Server gesendet werden. Das digitale Zertifikat kann sich als einfacher Datensatz vorgestellt werden, welcher auf dem Server oder der Webseiten-Domain hinterlegt wird und damit die Dateneingaben der Besucher sichert. Das Zertifikat ist also für die Privatsphäre und den Datenschutz verantwortlich, indem eine sichere Verschlüsselung des Zugriffes erlaubt wird. In diesem Datensatz sind diverse Informationen enthalten wie bspw. der Name des Zertifikatinhabers, Seriennummer und Ablaufdatum des Zertifikats und ein sogenannter digitaler Fingerabdruck.
Wenn also ein Besucher vertrauliche Daten an den Webserver sendet, greift der Browser des Besuchers auf das SSL-Zertifikat des Servers zu und gewährleistet damit eine sichere Verbindung. Nebst der technischen Sicherheit geht es oft aber vor allem auch um den Eindruck, den man beim Webseiten-Besucher hinterlässt. Mit einem Zertifikat zeigt man eine gewisse Authentizität und vermittelt dem Besucher ein sichereres Gefühl. Das Vertrauen des Besuchers in die Webseite kann damit erhöht werden, da ein Zertifikat die Echtheit der Webseite und des dahinterstehenden Betreibers bezeugt.
Welche SSL-Zertifikate gibt es?
Als Webseiten-Betreiber kann man sich von einer vertrauenswürdigen Organisation ein Zertifikat ausstellen lassen. Dadurch wird die Identität des Webseiten-Betreibers authentifiziert. Es wird dabei zwischen drei Überprüfungsarten unterschieden: Diese unterscheiden sich hauptsächlich hinsichtlich Bearbeitungszeit und den anfallenden Kosten – bei gleichbleibender technischer Websicherheit. Die unterste Stufe der SSL-Verschlüsselung bildet die «Domain Validation», die wie es der Name schon sagt, bloß die Domain prüft. Es muss bloß die Kontrolle über die Domain aufgezeigt werden können, die dahinterstehende Organisation wird nicht überprüft.
Für einen Großteil der Webseiten, solange keine hochsensiblen Daten wie beim Online-Banking übertragen werden, reicht ein kostenloses Zertifikat, bspw. von «Let’s Encrypt». Eine Stufe höher angesiedelt ist die «Organization Validation», bei welcher zusätzlich zur erstgenannten Validation Unterlagen vom Webseiten-Betreiber eingefordert werden oder eine telefonische Überprüfung stattfindet. Die oberste Stufe der SSL-Verschlüsselung bildet die «Extended Validation». Hier wird zusätzlich zu den beiden erstgenannten Stufen auch die Antragsstellende Person selbst überprüft. Zudem muss die Zertifizierungsstelle eine Vollmacht besitzen, solche «Extended Validations» durchführen zu dürfen. Die Sicherheit steigt demnach nicht damit, dass höhere Stufen eine technisch bessere Lösung anbieten, sondern dass die empfundene Sicherheit steigt, weil die Zertifizierungsstelle den Antragssteller bzw. dessen Organisation genauer überprüft.
Wie erkenne ich die Websicherheit auf meiner Seite?
Woran lassen sich SSL-gesicherte Webseiten erkennen? Die notwendigen Informationen lassen sich in der Adresszeile des Browsers finden. Ist dort ein (meist grünes) Schloss-Symbol und ein https:// (anstelle von http://) zu finden, ist die Webseite mit SSL verschlüsselt. Über das grüne Schloss lassen sich zudem die oben aufgeführten Informationen (Name des Zertifikatinhabers etc.) in Erfahrung bringen. Sie befinden sich auf einer Webseite, welche weder ein grünes Schloss noch das https:// ausweisen kann? Dann befinden Sie sich auf einer Webseite, die kein gültiges Zertifikat besitzt. Normalerweise werden solche Seiten in der Adresszeile mit «Nicht sicher» ausgewiesen. Aber keine Angst – das muss zwangsläufig nicht bedeuten, dass es sich um eine betrügerische Webseite handelt. Das Risiko ist allerdings grösser, dass Daten von kriminellen Dritten ausgelesen werden, als dies bei SSL-geschützen Webseiten der Fall ist.
Nebst der Websicherheit bieten SSL-Zertifikate noch einen zusätzlichen Nutzen. Ein gültiges Zertifikat ist ein offizieller SEO-Boost, denn die SSL-Verschlüsselung beeinflusst das Googleranking positiv. Mit dem Erwerb eines Zertifikats steigern Sie demnach die Sichtbarkeit Ihrer Webseite und bringen Ihre Firma in der Online-Präsenz auf die nächste Stufe, da die Webseite ein höheres Googleranking genießt.