25.02.2020

Wie werden Webseiten sicher verschlüsselt?

Eine erforderliche Maßnahme zum Schutz personenbezogener Daten bei Webseiten und anderen Diensten, die das HTTP-Protokoll nutzen, ist ein gut konfiguriertes HTTPS.

Werden personenbezogene Daten über das Internet versendet, so ist eine wirksame Verschlüsselung mit einem kryptographischen Verfahren nach dem Stand der Technik zwingend erforderlich. Wird das HTTP-Protokoll zur Übertragung genutzt, so ist entsprechend eine HTTPS-Verschlüsselung zu verwenden. Diese (Mindest-)Anforderung besteht für Webseitenbetreiber schon lange. Während das LDA-Bayern bei Prüfungen im Online-Banking-Segment ebenso wie bei Webshops dies als üblich und meist gut umgesetzt erkennt, muss festgestellt werden, dass bei vielen „gewöhnlichen“ Webseiten keine HTTPS-Verschlüsselung zum Einsatz kommt, obwohl die Seiten personenbezogene Daten übertragen. Eine solche Übertragung kann sich bspw. dann ergeben, wenn auf einer Webseite ein Kontaktformular vorhanden ist, ein Login für Nutzer angeboten wird oder auch eine persönliche Beitragskommentierung möglich ist. In diesen Fällen betrachtet das LDA-Bayern eine HTTPS-Verschlüsselung unabhängig vom Schutzbedarf als erforderlich.

Bei einem normalen Schutzbedarf, also keine Übertragung von besonderen personenbezogenen Daten nach § 3 Abs. 9 BDSG, sondern bspw. lediglich Name, Anschrift, Telefonnummer und E-Mail-Adresse, sieht das LDA-Bayern eine Transportverschlüsselung mit HTTPS als notwendig, aber auch ausreichend an. Dagegen bei einem hohen Schutzbedarf, wie bspw. Angaben über Gesundheit, Sexualleben, politische Meinungen oder religiöse Überzeugungen, gelten strengere Vorschriften. Hier ist zusätzlich zu HTTPS auch eine Ende-zu-Ende-Verschlüsselung, d.h. eine Inhaltsverschlüsselung erforderlich. Diese Anforderung haben wir zuletzt gerade im Bereich von Ärzten und Apotheken vermehrt kommunizieren müssen.

Die Erforderlichkeit von HTTPS begründet sich u. a. aus der Weitergabekontrolle in der Anlage zu § 9 BDSG, die festlegt „dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können“. Damit die Verschlüsselung ausreichend wirksam ist, muss der Webserver so konfiguriert sein, dass primär kryptographische Verfahren zum Schlüsseltausch verwendet werden, die in die Klasse „Perfect Forward Secrecy“ fallen. Diese Forderung leitet sich ebenfalls aus der Anlage zu § 9 BDSG ab, die u. a. bei der Weitergabekontrolle Verschlüsselungsverfahren nach dem Stand der Technik fordert.

Das LDA-Bayern verweisen hierbei auch auf die veröffentlichte Entschließung „Gewährleistung der Menschenrechte bei der elektronischen Kommunikation“ der 87. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 27. März 2014.
Damit eine HTTPS-Verschlüsselung dem Stand der Technik entspricht, muss auf u. a. folgende Punkte geachtet werden:

Es dürfen keine veralteten Protokollversionen unterstützt werden (SSL2, SSL3).
Es sollte TLS 1.2 als Standardprotokollversion verwendet werden.
Es muss die Verschlüsselungstechnik Perfect Forward Secrecy (PFS) eingesetzt
werden.
Die Schlüssellänge des SSL-Zertifikats sollte mindestens 2048-Bit betragen.
Die Verfahren SHA-1 und RC4 sollten nicht (mehr) verwendet werden.
Die Heartbleed-Lücke darf nicht vorhanden sein.
Die Verwendung von HTTP Strict Transport
Security (HSTS) ist zu prüfen.
Es dürfen keine selbstsignierte Zertifikate genutzt werden, sondern welche einer als vertrauenswürdigen eingestuften offiziellen Zertifizierungsstelle.

Wie kann man die Verschlüsselung von Webseiten testen? Dazu empfehlen wir folgendes kostenlose Online-Tool: https://www.ssllabs.com/ssltest/.

Quelle: LDA-Bayern

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks