Woran erkenne ich eine verschlüsselte Webseite?
Eine verschlüsselte Webseite ist an einem Schlosssymbol in der Adressleiste im Browser zu erkennen neben der aufgerufenen Webseite. Zudem ist die aufgerufene verschlüsselte Webseite an dem Zusatz "https.//" erkennbar. Wird auf das Schlosssymbol geklickt, werden weitere Informationen über das Zertifikat, Inhaber und Zertifizierungsstelle dargestellt.
Warum sollte jede Webseite grundsätzlich verschlüsselt werden?
Eine Webseite zu verschlüsseln ist grundsätzlich angeraten - aus Gründen der IT-Sicherheit (Manipulation, Schadcodeinfizierung), des Datenschutzes nach der Datenschutzgrundverordnung, Reputations- und Imageverlust für Sie durch Abwertung von Suchmaschinen wie Google, Warnhinweisen von Browsern vor unsicherer Webseite, Warnhinweisen von Sicherheitsunternehmen. Es ist eine Gefahr für Sie und Ihre Webseitenbesucher.
Übersicht:
1. Empfehlungen zur IT-Haftpflicht:
Sie haben bereits eine Haftpflichtversicherung? Dann prüfen Sie, ob eine IT-Haftpflicht enthalten ist, als Unternehmen prüfen Sie zusätzlich, ob hier auch eine Haftung bei Datenschutzverletzungen enthalten ist? Fragen Sie bei Haftpflichtversicherungen oder bei Ihrem bestehenden Haftpflichtversicherer nach!
Weitere Informationen zur IT-Haftpflichtversicherung und weshalb jeder in der Verantwortung ist, gleich ob privat oder im Unternehmen, finden Sie hier.
2. "Stille Post" im digitalen Zeitalter...!
Erinnern Sie sich noch an Ihre Kindheit, spielten Sie auch einmal "Stille Post" mit anderen Kindern?
Das zuerst mitgeteilte Wort kam selten oder nie in der Originalfassung beim letzten Empfänger in der Reihe an...!
3. Sind Sie sicher, dass Ihre Webseitenbesucher genau das zu sehen bekommen, was Sie im Original auf Ihre Webseite einstellten?
Testen Sie selbst, wie viele Knotenpunkte (Computernetzwerk-Knoten) auf dem Web von Ihrem PC zu einer Zieladresse sind.
Bei Windows-Systemen: Öffnen Sie testweise mit "cmd" die Eingabeaufforderung und geben Sie z.B."pathping www.ionos.de" oder "tracert www.ionos.de" (Die Anführungszeichen bitte bei der Eingabe weglassen, sie dienen hier nur der Beschreibung!) ein. Sie sehen nach geraumer Zeit, wie viele Netzwerkknoten aufgerufen werden bis zur Zieladresse.
Dies demonstriert beispielhaft, welche Wege Ihre Datenpakete nehmen, um eine Webseite aufzurufen. Dies funktioniert im Internet nicht nach dem Prinzip des kürzesten Weges wie beim Strom. Hier können Daten um die ganze Welt geleitet werden, über verschiedenste Computersysteme und Netzwerke, von Unternehmen und Staaten. Dies kann ein paar Minuten später beim gleichen Aufruf bereits anders ausschauen und andere Netzwerkknoten darstellen.
Und: Bei manchen Systemen ist auch nicht sichtbar, ob diese überhaupt eine Rückmeldung geben...! Sie können daher auch nie sicher sein, wer da Daten auf dem Weg durchs Internet sichtet, spiegelt, kopiert und manipuliert.
Wie stelle ich fest, wer Inhaber einer IP-Adresse, Domain oder Webseite ist?
Z.B. über die Webseite www.network-tools.com können Sie jede IP-Adresse oder Webseite (Domain) anfragen und sehen, wer sich dort verbirgt.
Der Aufruf einer unverschlüsselten Webseite bedeutet daher ein unkalkulierbares Risiko für Datenpakete von und zu Ihrem internetfähigen Gerät wie PC, Laptop, Smartphone, Tablet, Router, Webcam, Iot-Gerät, etc.
Wo können Sie verifizieren, z.B. bei Webshops, ob es das Unternehmen tatsächlich existiert?
Die Justizbehörden der Bundesländer in Deutschland führen über die Plattform www.handelsregister.de ein Register zur Recherche nach Unternehmen. Anhand der Domainabfrage www.network-tools.com, der Registereinträge und Rufnummern können Sie hier Unternehmen verifizieren.
4. Es ist eine Tatsache, dass eine unverschlüsselte Webseite ein potenzielles Risiko für den Webseitenbetreiber und den Besucher darstellt:
Warum sollten Webseitenbetreiber, Webdesigner und Administratoren Ihre Webseiten prüfen?
In einer Testumgebung kann für Webseitenbetreiber, Webdesigner und Administratoren ein EICAR-Test sinnvoll sein, auch um vorhandene Sicherheitssoftware und Webfilter zu prüfen: www.eicar.org.
Wie kann ich als Webseitenbesucher feststellen, ob eine Webseite verseucht, bzw. mit einem Virus, Trojaner, etc. infiziert ist?
Über www.virustotal.com können IP-Adressen, Domains und Dateien geprüft werden.
Bitte beachten Sie:
Ist eine Webseite unverschlüsselt, ist ein derartiger Test nur eine sprichwörtlich ungesicherte Momentaufnahme.
5. DNS-Hijacking: Gefahr für gesamte IT
Wenn Daten im Internet, im Router, im PC oder in Netzwerken umgeleitet werden, sind Datenübertragungen und Systeme grundsätzlich gefährdet. Um Datenübertragungen in Netzwerken und im Internet insgesamt zu ermöglichen, sind Verteilersysteme erforderlich. Die Funktion eines Verteilsystems - Domain-Name-Systems - ist Bestandteil von vielen Komponenten in Netzwerken. Ist ein DNS-System kompromittiert, besteht deshalb Gefahr für den gesamten Datenaustausch und die angeschlossenen Systeme.
Informationen zum DNS-System:
https://www.ionos.de/digitalguide/server/knowhow/namensaufloesung-im-netz-was-ist-ein-dns-server/
https://de.wikipedia.org/wiki/Domain_Name_System
Informationen zu den Gefahren des DNS-Hijackings:
https://www.ionos.de/digitalguide/server/sicherheit/was-ist-dns-hijacking/
https://www.ionos.de/digitalguide/server/sicherheit/dns-spoofing/
https://www.ionos.de/digitalguide/domains/domainverwaltung/url-hijacking-was-ist-das-eigentlich/
6. Weitergehende Informationen zur Verschlüsselung von Webseiten im Zusammenhang mit der Datenschutzgrundverordnung:
Worauf muss ich bei der Verschlüsselung meiner Webseite achten?
Voraussetzung für eine verschlüsselte Webseite ist, dass das Zertifikat bei internationalen Registrierungsstellen registriert ist. Darauf nehmen die Browseranbieter bezug, um so die Herkunft und Vertrauensstellung des Zertifikatsanbieters verifizieren zu können. Ohne klassifizierte Verifikation ist keine Verschlüsselung angezeigt (https://de.wikipedia.org/wiki/Transport_Layer_Security) .
Hier der Bezug zu Registrierungsstellen: https://www.globalsign.com/de-de/ssl-information-center/zertifizierungsstellen-vertrauenshierarchien/ . Erst dann können Browseranbieter die Zertifikate und die Vertrauensstellung verifizieren!
Informationen von Google: "Webseite mit HTTPS sichern / Schützen Sie Ihre Webseite und Ihre Nutzer"
https://support.google.com/webmasters/answer/6073543?hl=de&ref_topic=9460495
Fehlerursachen für Zertifkatsfehler auf Webseiten sind z.B. auch selbstsignierte Zertifikate. Hierbei kann Ihr Webseitenbesucher nicht verifizieren, ob Ihre Webseite auch authentisch, integer und sicher ist. Weitere Information zu Fehlerursachen u.a. von Kaspersky:
Wie wichtig ist die Qualität und Vertrauensstellung eines Zertifikats zur Verschlüsselung meiner Webseite?
„...
Bei der Entscheidung zwischen den unterschiedlichen Vertrauensstufen ist die wichtigste Frage, die man sich selbst stellen sollte: "Wie viel Vertrauen will man den Besuchern der betreffenden Webseite vermitteln?" Dabei sollte man nicht unberücksichtigt lassen, wie wichtig die Markenidentität für eine Webpräsenz ist...!“
(Quelle: https://www.globalsign.com/de-de/blog/anleitung-ssl-zertifikate-auswaehlen/)
Beachten Sie bei der Einrichtung Ihrer verschlüsselten Webseite u.a. den "Canoncial-Tag" zur richtigen Umleitung auf Ihre verschlüsselte Webseite, bzw. Homepage
Hintergrund ist je nach Programmierung Ihrer Webseite, dass bei einer verschlüsselten Webseite diese auch ausschließlich aufgerufen wird. Ansonsten besteht der Fehler in einem doppelten Inhalt Ihrer Webseiten fort, da diese unverschlüsselt und verschlüsselt erreichbar sind. Dies führt zu einer Abwertung bei Suchmaschinen, eine Warnung in Browsern bei Aufruf von unverschlüsselten Webseiten, Sicherheitsprogramme warnen hier zudem vor unverschlüsselten Webseiten oder sperren diese gar. Zudem stellt sich bei unverschlüsselten Webseiten grundsätzlich die Situation, dass es sich um eine abmahnwürdige Datenschutzverletzung handelt, da Provider Daten speichern und allein aus dieser Analogie die Notwendigeit zum Datenschutz besteht.
Beispiel:
Sie können diese Homepage über http://www.webservice-schmitz.de, webservice-schmitz.de und https://www.webservice-schmitz.de aufrufen. Die Umleitung erfolgt immer auf die verschlüsselte Webseite https://www.webservice-schmitz.de . Hierbei wird auch vermieden, dass z.B. Google zweimal Seiten mit gleichem Inhalt indexiert, was auch zu einer Abwertung bei der Suchmaschine führt.
Testen Sie diesen Vorgang mit Ihrer Webseite, ob generell Ihre verschlüsselte Webseite aufgerufen wird?
Informationen zum Canoncial-Tag / Umleitung auf eine https-Homepage / Vermeidung von doppeltem Inhalt (Content) von Webseiten
Informationen von Google: "Dublizierte Inhalte vermeiden"
https://support.google.com/webmasters/answer/66359?hl=de
Informationen von Google: "Doppelte URLs zusammenfassen"
https://support.google.com/webmasters/answer/139066?hl=de
Informationen zum Canoncial-Tag, https, SEO...
https://www.luna-park.de/blog/9331-https-als-ranking-faktor/
Technische Prüfung der Protokolle auf Verschlüsselung der Webseite über das Netzwerkprotokollprogramm Wireshark (www.wireshark.org):
Ob die aufgerufene Webseite über eine Verschlüsselung verfügt, lässt sich eindeutig über ein Netzwerkprotokollprogramm wie Wireshark feststellen. Wird im Browser eine Webseite aufgerufen, sind hier alle Protokolle des Datenverkehrs nachvollziehbar. Enthalten sollte hier als Standard z.B. das Protokoll TLS-Socket-Layer zur Verschlüsselung und Verifizierung. Weitere Informationen zur Qualität und Vertrauensstellung von Zertifikaten:
https://www.globalsign.com/de-de/blog/anleitung-ssl-zertifikate-auswaehlen/
https://www.thawte.de/resources/ssl-information-center/get-started-with-ssl/ssl-faq/
Wie kann ich meine Webseite auf eine Verschlüsselung prüfen?
https://www.ionos.de/tools/ssl-check
SSL-Server-Check (Sehr umfangreich, ggf. mit Hinweisen zu Bugs!):
https://www.ssllabs.com/ssltest/
Meine Webseite ist verschlüsselt! Ist sie jetzt sicher?
Aber auch wenn eine Webseite verschlüsselt ist, bedeutet dies noch nicht, dass auch die Inhalte der aufgerufenen Webseite frei von Schadcodes sind. Bei der Erstellung von Webseiten besteht das Risiko, dass eingetragene Inhalte bereits infiziert sind, oder auch auf infizierte Webseiten oder Inhalte eine Verlinkung enthalten ist. Im Internet werden auch gefälschte Zertifikate verwendet, die eine verschlüsselte Verbindung darstellen.
In dieser Konsequenz bedeutet dies, dass Sie auf die Schutzfunktionen auch Ihrers Browsers, Ihres Computers, Laptop, Smartphones, Tablets, etc. achten müssen, diese aktuell und auf dem Stand der Technik halten. Schutzfunktionen wie Webfilter des Browsers, Ihrer Antivirensoftware als auch eine sichere Konfiguration Ihres internetfähigen Endgeräts sind hier essentiell zur Abwehr.
Wie kann ich mich bei der Programmierung und Webseitenerstellung vor infizierten Inhalten auf meiner Webseiten schützen?
https://www.ionos.de/hilfe/sicherheit/sitelock/was-ist-sitelock/
https://www.strato.de/faq/sicherheit/was-bietet-mir-sitelock/
- SQL-Injection Scan
- Cross-Site-Scripting (XSS)-Scan
- Malware-Scan
- Suchmaschinen-Blacklist Überwachung
- SSL-Verifikation der Webseite
- File Change-Monitoring
- Sitelock-Siegel mit Sicherheitszertifikat für die Webseite
Da Webseiten i.d.R. über Cloud-Dienste genutzt, bzw. erstellt und bearbeitet werden, denken Sie daher auch an die Sicherheit Ihrer IT-Infrastruktur.
Webhosting wird häufig über Onlineportale und Lognis genutzt. Daher ist es ratsam, bereits an Ihre eigene IT-Infrastruktur zu denken und Ihre internetfähigen Geräte abzusichern und zu schützen. Sind Ihre Heim- oder Arbeitsplatzgeräte nicht sicher konfiguriert und veraltet, besteht natürlich auch eine erhöhte Gefahr für Ihre Onlinepräsens mit Ihrer Webseite, wenn bereits beim Hochladen von Daten die Webseite infiziert und unsicher programmiert wird.
Warum sollten Webseitenbetreiber eine "Vereinbarung zur Auftragsdatenverarbeitung" abschließen?
Aufgrund der oben genannten Punkte ist jedem Webseitenbetreiber angeraten, auch eine "Vereinbarung zur Auftragsdatenverarbeitung" nach DSGVO auch mit seinem Provider abzuschließen. Dies begrenzt Ihr Haftungsrisiko auf die technischen und inhaltlichen Bereiche Ihrer Webseite, für die nur Sie verantwortlich sind. Andernfalls sind Sie für sämtliche technischen und datenschutzrechtlichen Aspekte Ihrer Webseite verantwortlich!
https://www.e-recht24.de/artikel/datenschutz/10580-auftragsdatenverarbeitung-adv-datenschutz.html
Bei Dienstleistungen zur Homepage- und Webseitengestaltung ist immer auch ein Abgleich der rechtlichen Maßgaben u.a. zu Impressum, Datenschutzerklärung und Cookiebannern, bzw. -richtlinien angeraten.
Da die Angaben auf die Homepage gehören, ist hier bei Erstellung oder Inanspruchnahme der Dienstleistung zur Homepageerstellung darauf zu achten. Wie es aus DSGVO-Praxis-Informationen von IT-Fachanwälten verlautet, fehlen häufig bei Dienstleistungsverträgen zur Webgestaltung und auch im Nachgang auf der öffentlich zugänglichen Webseite die vorgenannten Angaben oder sie sind unvollständig.
Empfehlung:
Die Maßgaben im Dienstleistungsvertrag aufnehmen und definieren, ergänzen bzw. anpassen. Da sich das IT-Recht weiter entwickelt, ist eine Rücksprache mit einer IT-Fachkanzlei - auch zur weiteren Unterstützung in Sachen IT-Recht - eine Empfehlung.
7. Wichtige Gründe des Webservice Schmitz für die Wahl von IONOS (1und1) als Provider:
IT-Sicherheit und Datenschutz für Webseitenbetreiber und Webseitenbesucher.
Informationen unter:
https://www.ionos.de/sicherheit
https://www.ionos.de/digitalguide/server/sicherheit/was-ist-cybersicherheit/
https://www.ionos.de/tools/website-check
https://www.ionos.de/hilfe/sicherheit/sitelock/was-ist-sitelock/
https://www.ionos.de/domains/domain-guard
https://www.ionos.de/digitalguide/server/sicherheit/was-ist-dns-hijacking/
https://www.ionos.de/digitalguide/server/sicherheit/dns-spoofing/
https://www.ionos.de/digitalguide/domains/domainverwaltung/url-hijacking-was-ist-das-eigentlich/
https://www.ionos.de/digitalguide/server/knowhow/dnssec-signierte-namensaufloesung/
https://www.ionos.de/tools/ssl-check
Mailarchivierung: "...Für geschäftliche E-Mails und ihre Dateianhänge gilt deshalb eine Pflicht zur rechtssicheren und revisionssicheren E-Mail-Archivierung...!"
https://www.ionos.de/office-loesungen/email-archivierung-bk
Eine fehlende SSL-Verschlüsselung von Webseiten ist eine Datenschutzverletzung. Hiervon betroffen sind auch Kontaktformulare...!
Insbesondere für Unternehmen besteht eine kostspielige Abmahngefahr und zudem Reputationsverlust. Maßgaben sind im Telemediengesetz und der DSGVO datiert. Infos auch unter: Webseite verschluesseln
https://www.e-recht24.de/news/abmahnung/10648-kontaktformular-verschluesselung-abmahnung.html
Beachten Sie auch die Maßgaben zu Ihren Cookies auf Ihrer Webseite, hier zum Urteil des EuGH vom 01.10.19:
"...Mit seinem heutigen Urteil entscheidet der Gerichtshof, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird...!"
https://www.cookiebot.com/de/aktive-einwilligung-und-der-fall-von-planet49/
Urteil des EuGH zur Einwilligung in Cookies:
https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-10/cp190125de.pdf
|
|