Login

SSL-Verschlüsselung bei Kontaktformularen Pflicht

Auf einer Webseite existieren verschiedene Wege, um mir dem Seitenbetreiber Kontakt aufzunehmen. Im Regelfall ist dies ein Kontaktformular, aber auch andere Formulare zur Eingabe von Name, E-Mail-Adresse und anderen Daten, um Informationen wie eine Preisliste anzufordern, oder das abonnieren eines Newsletters.

Die Pflicht zur Absicherung von persönlichen Nutzerdaten sind im Bundesdatenschutzgesetz und Telemediengesetz geregelt. Nun betrifft dies zwar im Regelfall Diensteanbieter wie etwa einen Onlineshop und Webseiten mit eindeutiger Gewinnabsicht, allerdings gelten der Name und eine E-Mail-Adresse bereits als personenbezogene Daten, die besonders schützenswert sind.

Somit sind auch private Webseiten und Blogs, wann immer über ein Formular die genannten Daten erhoben und übertragen werden, in der Pflicht, diese Nutzerdaten zu schützen.

Zitat aus § 13 TMG, Absatz 7

(…) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist (…)
(…) Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens (…)

Erläuterung: Zumutbarkeit

Rein technisch ist die Einbindung eines Zertifikats nur minimaler Aufwand und nahezu jeder Hoster bietet hierzu auch Automatismen an. Nun könnte man argumentieren, dass es wirtschaftlich für einen privaten Webseitenbetreiber nicht zumutbar sei; in Zeiten von domainvalidierten SSL-Zertifikaten die im Jahr deutlich unter 100 EUR kosten oder komplett kostenfreien Lösungen wie Let’s Encrypt, ist dies in meinen Augen aber nicht haltbar. Wildcard- oder EV-Zertifikate sind natürlich deutlich teurer.

Erläuterung: Stand der Technik

Was “Stand der Technik” ist, lässt sich anhand existierender nationaler oder internationaler Standards und Normen oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen Bereich ermitteln (branchenspezifische Standards).
Hierzu gibt es verschiedene Empfehlungen des amerikanischen NIST, der europäischen ENISA oder des deutschen BSI, auf die man sich beziehen kann. Das “Bundesamt für Sicherheit in der Informationstechnik” (BSI) gibt beispielsweise in der technischen Richtlinie TR-02102-2 (Kryptographisches Verfahren Teil 2) ihre Empfehlungen und Details zu zu verwendeten Cipher-Suiten und Hashes, sowie der grundsätzlichen Verwendung von TLS 1.2 sowie PFS (wann immer möglich) in Verschlüsselungsverfahren aus.

Link zur Publikation “BSI-TR-02102-2.pdf” auf www.bsi.bund.de .

Einzelgesetz – Telemediengesetz (TMG): http://www.gesetze-im-internet.de/tmg/__13.html
Einzelgesetz – Bundesdatenschutzgesetz (BDSG): https://www.gesetze-im-internet.de/bdsg_1990/__9.html

Was ist zu tun, Checkliste

Prüfen Sie zunächst Ihre Webseite, ob Sie personenbezogene Daten abfragen und übermitteln (Kontaktformulare, Blogartikelseiten mit Kommentarfunktion, alle Seiten mit Logins). Falls dies der Fall ist, sind folgende Dinge mindestens erforderlich:

  • SSL-Zertifikat für die (Sub-)Domain bestellen und einrichten (Schlüssellänge mind. 2048-Bit, SHA256)
  • Alle Seiten über https einbinden, Verlinkungen anpassen
  • Direkte Aufrufe der Seiten über http verhindern, z.B. über automatische Umleitung mittels htaccess-Datei.
  • Webserver prüfen, ob dieser auch empfohlene SSL-Ciphern verwenden, z.B. Onlinecheck auf https://www.ssllabs.com/ssltest/
  • Und nicht zuletzt für den “Stand der Technik” prüfen und aktualisieren Sie Ihre Webseite (CMS, Blogsoftware, Shop) und installierte Plugins

SSL-Verschlüsselung bei uns mit wenigen Klicks

lets-encrypt-official
Alle unsere Kunden können direkt über Ihr Kundenmenü mit wenigen Klicks ein kostenloses SSL-Zertifikat mittels Let’s Encrypt aktivieren und eine Umleitung von http auf https forcieren. Bezüglich der Empfehlungen des BSI sind Sie bei uns ebenfalls bereits auf der sicheren Seite, denn als Webhoster kümmern wir uns um die Einhaltung und Aktualisierung der Anforderungen wie SHA256, PFS, TLS 1.2 etc.

Details und eine Anleitung für Let’s Encrypt finden Sie selbstverständlich auch in unseren FAQ.

1 Kommentar

  1. sbobet - 8. Januar 2018 von 22:01

    Das ist ja mal ein informativer, sorgfältig mit Liebe zum Detail geschriebener Artikel. Vielen Dank! 🙂

    Antworten

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *
Bitte beachte, dass sich Dein Kommentar auf den Artikel beziehen sollte. Wenn Du ein persönliches Kundenanliegen besprechen möchtest, wende Dich bitte an unseren Kundenservice auf Facebook, Twitter oder über unsere Support-Seite.