Web-Traffic verschlüsseln
Sicherer Online-Auftritt dank SSL-Zertifikat
Alle Unternehmen mit einer Online-Präsenz tragen die Verantwortung, Kundeninformationen sicher zu verwahren. Eine der beliebtesten Methoden hierfür sind SSL-Zertifikate, die den Web-Traffic verschlüsseln und Nutzern visuelle Beweise dafür liefern, dass die Website sicher besucht werden kann.
Sicherheit im Umgang mit Daten von Online-Usern ist das A und O für Markenunternehmen – insbesondere natürlich hinsichtlich der neuen EU-Datenschutz-Grundverordnung (DSGVO), die ab 25. Mai 2018 bindend gilt. Viele Unternehmen entscheiden sich dabei für ein SSL-Zertifikat, das den Web-Traffic verschlüsselt, die Sicherheit der Website visuell im Browser sichtbar macht und – je nach Sicherheitslevel – auch die Identität des Webseiten-Inhabers verifiziert. Ein SSL-Zertifikat ist sicherlich eine der einfachsten Methoden, um die eigene Website zu schützen – der Erwerb selbigen kann jedoch zum Stolperstein werden. So wurde beispielsweise 2014 bekannt, dass mehrere große Internetunternehmen unwissentlich gefälschte SSL-Zertifikate eingekauft hatten. Ein Mangel an Zertifikatsüberprüfungen bei der beliebten Spieleplattform Steam führte etwa dazu, dass PayPal-Zahlungen von Kunden mindestens drei Monate lang unbemerkt abgefangen wurden. Zudem gibt es verschiedene Arten von Zertifikaten mit unterschiedlichen Sicherheitsebenen. Unternehmen müssen sich daher im Vorfeld darüber klar werden, welche Art von Zertifikat sich für welche ihrer Websites eignet.
Das richtige Sicherheitslevel wählen
Ein SSL-Zertifikat verschlüsselt Daten, die zwischen Web-Browser und Server übertragen werden, und schützt sie somit vor unerwünschten Zugriffen und Manipulationen. User können anhand eines grünen Schloss-Icons ganz links in der Adresszeile des Browsers sowie der Bezeichnung „Https“ erkennen, ob ein SSL-Zertifikat aktiv ist. Unternehmen stehen drei verschiedene Arten von Zertifikaten zur Auswahl:
Domain Validation (DV)
Das SSL-Zertifikat Domain Validation (DV) bietet Unternehmen sozusagen einen Grundschutz für ihre Website. Dabei prüft eine Zertifizierungsstelle (Certification Authority (CA)), ob der Antragsteller tatsächlich der Inhaber der angegebenen Domain ist. In der Regel kann ein DV-Zertifikat innerhalb weniger Minuten ausgestellt werden. Nach Erwerb des Zertifikats sind Datenübertragungen zwischen Website und Server verschlüsselt und als visueller Hinweis für den User erscheint das grüne Schloss-Icon in der Adresszeile.
Organization Validation (OV)
Einen Schritt weiter geht das SSL-Zertifikat Organization Validation (OV). Neben der Domain-Überprüfung, verifiziert die beauftragte Zertifizierungsstelle hier auch die Identität des Unternehmens oder der Organisation – etwa über die Anforderung eines Handelsregisterauszugs. Der User kann sich diese Information dann mit einem Klick auf das Schloss-Symbol anzeigen lassen. Die Ausstellung dieses Zertifikats nimmt in der Regel ein bis zwei Tage in Anspruch. Auch hier sind ab Erwerb des Zertifikats natürlich alle online Datenübertragungen verschlüsselt.
Extended Validation (EV)
Das Extended-Validation-Zertifikat (EV) schließlich stellt die höchste Sicherheitsstufe dar. Hier nimmt die beauftragte CA eine umfangreiche Identitätsprüfung des Unternehmens vor. So werden etwa der eingetragene Firmenname, die registrierte Adresse und die tatsächliche Geschäftsadresse überprüft. Dieses Verfahren kann sieben bis zehn Tage in Anspruch nehmen. Dem User erschließt sich ein EV-Zertifikat ebenfalls visuell: Der rechtsgültige und eingetragene Unternehmensname erscheint in der Adresszeile und wird grün hervorgehoben – je nach Browser färbt sich auch die komplette Adresszeile grün ein. Die zusätzlichen Informationen kann der User ebenfalls mit einem Klick auf das Schloss-Symbol abrufen.
Laufzeit von Zertifikaten beachten
Für welches Zertifikat – DV, OV oder EV – sich ein Unternehmen entscheidet, ist letztlich jedoch auch eine finanzielle Frage, denn ein EV-Zertifikat ist in der Regel die teuerste Option. Unternehmen sollten sich also vorher genau überlegen, welches Zertifikat sie für welche ihrer Webseiten benötigen und damit unnötige Ausgaben vermeiden. Für nicht interaktive Seiten, wie etwa den Unternehmensblog, reicht in der Regel ein DV-Zertifikat. Sobald User jedoch persönliche Informationen eingegeben müssen, wie etwa bei einem Account-Login, sollte mindestens ein OV-Zertifikat erworben werden. Im Bereich eCommerce oder Banking beispielsweise ist ein EV-Zertifikat Pflicht.
Zudem werden Zertifikate nicht einmalig, sondern immer mit einer Laufzeit ausgestellt – in der Regel zwei Jahre. Das bedeutet für Unternehmen mit verschiedenen Domains einen nicht unerheblichen Monitoring-Aufwand, der sich mit Excel-Tabellen allein kaum bewältigen lässt. Bei der Auswahl und Laufzeitüberwachung von Zertifikaten lohnt es sich deshalb, auf einen kompetenten Partner zu vertrauen. Ein guter Provider bietet etwa ein übersichtliches Dashboard, das Unternehmen Hilfestellung bei der Auswahl des richtigen Zertifikats sowie einer vertrauenswürdigen CA gibt und sie automatisch an anstehende Verlängerungen erinnert. Einer der größten seriösen Anbieter von Zertifizierungen ist derzeit beispielsweise das US-amerikanische Unternehmen DigiCert.
Verbessertes Suchranking durch Https-Sicherung
Neben der visuellen Kennzeichnung in der Adresszeile des Webbrowsers für User hat eine Https-Sicherung noch weitere Vorteile für ein Unternehmen: So rankt Google Seiten mit Sicherheitszertifizierung etwa um bis zu fünf Prozent höher als Http-Websites. Zudem erhöhen auch Softwarehersteller den Druck in Richtung Https-Sicherung deutlich. Google Chrome will beispielsweise ab Juli 2018 sämtliche Http-Seiten mit einem durchgestrichenen Schloss in der Adresszeile als unsicher markieren. Mozilla Firefox weist User bereits mit ebendiesem Symbol auf ungesicherte Verbindungen hin, wenn eine http-Website etwa einen Login umfasst. Zudem wollen beide Unternehmen zukünftig erweitere Browser-Features nur noch für gesicherte Seiten zur Verfügung stellen. Die Bemühungen tragen bereits Früchte: Laut Google unterstützen mittlerweile 81 der Top 100 genutzten Websites https. Zum Vergleich: Im Januar 2016 waren es erst 39.
SSL-Zertifikate werden zukünftig Pflicht
SSL-Zertifikate machen die Übertragung von Daten zwischen Website und Server sicher – doch es geht um mehr: In Zeiten, in denen User durch immer neue Schlagzeilen über Online-Kriminalität verunsichert sind, ist es für Unternehmen besonders wichtig als vertrauenswürdiger Partner aufzutreten – unabhängig davon, ob die eigene Branche ein Kernziel von Phishing-Angriffen ist. Denn nur wenn sich Kunden auf einer Website sicher fühlen, werden sie dort auch Transaktionen tätigen.
Stefan Moritz ist Regional Director DACH bei MarkMonitor
Lesen Sie mehr zum Thema
