- Anzeigen -

Sie sind hier: Home » Markt » Hinweise & Tipps

Kein Verzicht auf Verschlüsselung


HTTPS wird zunehmend verpflichtender Standard: Abmahnungen bei fehlendem Datenschutz
EV-SSL Zertifikate machen Websites rechts- und damit abmahnsicher

- Anzeigen -





Daten sind längst zum Unternehmenswert geworden: Wer sie speichert und richtig verarbeitet, kann mit ihrer Hilfe werben und seine Gewinne steigern. Diese Relevanzsteigerung hat aber eine Konsequenz zur Folge: Wer Daten will, muss sie auch schützen. Selbst wer keinen Online-Shop, sondern lediglich eine Info-Site mit Kontaktformular unterhält, ist in der Pflicht, dem Datenschutz einen hohen Stellenwert einzuräumen.

Die Ergebnisse einer Searchmetrics-Analyse, weltweit führender Anbieter einer Search- und Content-Performance-Plattform, lässt da bei IT-Sicherheitsexperte Christian Heutger die Alarmglocken schrillen: Nur 12 Prozent der E-Commerce- und Publisher-Seiten in Googles Suchergebnissen kommunizieren per HTTPS mit dem Browser. Nur etwas besser sieht es bei den Finanz- und Reise-Websites aus: Hier setzen immerhin 29 und 23 Prozent auf eine HTTPS-Verbindung.

"Das sind schockierende Zahlen. Denn werden Daten, zum Beispiel bei einem Bestellvorgang im Online-Shop, unverschlüsselt übertragen, können sie von Dritten erfasst und ausgelesen werden. Dabei müssen sich Internetanbieter nicht erst seit gestern an eine ganze Reihe von Gesetzen halten, darunter das IT-Sicherheitsgesetz, das Telemediengesetz sowie das Bundesdatenschutzgesetz – und bald auch die EU-Datenschutz-Grundverordnung. Unternehmen, die angesichts dieser rechtlichen Gegebenheiten entspannt auf Verschlüsselung verzichten, haben die Bedeutung von Datenschutz noch nicht verinnerlicht", so Christian Heutger, Geschäftsführer der PSW Group.

Insbesondere das IT-Sicherheitsgesetz enthält in diesem Zusammenhang die Pflicht, personenbezogene Daten entsprechend dem Stand der Technik zu schützen. Zwar enthält es keine direkte Pflicht zur Verschlüsselung, aber die Verschlüsselung wird nahegelegt und ist die wohl einzige praktikable Maßnahme, dem gesetzlich vorgeschriebenen Datenschutz zu entsprechen.

"Die Konsequenzen bei Unterlassen sind drastisch: Wer Datenschutz nicht ernst nimmt, dem drohen Abmahnungen. Verbraucherschutz- und Wettbewerbsverbände, Anwälte sowie Behörden suchen nach Verstößen, um diese abzumahnen", warnt Heutger. Zu diesen Verstoß-suchenden Behörden gehört unter anderem das Bayerische Landesamt zur Datenschutzaufsicht (BayLDA). Das BayLDA hat den Auftrag, das Einhalten des Datenschutzrechts in privaten Wirtschaftsunternehmen, bei Freiberuflern, im Web, bei Vereinen sowie bei Verbänden zu prüfen. Bereits seit Anfang 2016 untersucht die Behörde Websites auf unverschlüsselte Kontaktformulare. Aus der mit Inkrafttreten des IT-Sicherheitsgesetzes geänderten Gesetzeslage ergibt sich jedoch, dass nun auch Abmahnungen bei Sites ohne Kontaktformulare folgen könnten: Tatsächlich wird https zunehmend als ein verpflichtender Standard verstanden und alle geschäftsmäßig orientierten Online-Dienste müssen auf anerkannte Verschlüsselungsverfahren setzen.

Der Verzicht auf Verschlüsselung kann aber auch wirtschaftlich mehr als unvernünftig sein, denn Google straft konsequent mit schlechterem Ranking in den Ergebnislisten ab. Und auch die Warnhinweise der Browser, wie etwa "Verbindung ist nicht sicher", machen mehr als deutlich sichtbar, wenn eine Website oder ein Shop nicht durch ein SSL-Zertifikat geschützt ist. "Mein Rat ist deshalb: Bevor sich die Datenschutzbehörde meldet oder ein Mitbewerber zu einer Abmahnung greift, sollten Wirtschaftsunternehmen auf ihrem Server Extended Validation (EV-) Zertifikate einbinden", so Christian Heutger.

Extended Validation ist die höchstmögliche Validierungsstufe: die Zertifizierungsstellen prüfen die Identität des Antrag stellenden Unternehmens sehr umfassend. Voraussetzung für ein solches "Anti-Abmahn-Zertifikat" ist ein Eintrag in ein öffentliches Register, wie das Handels- oder Vereinsregister sowie in einem öffentlichen Verzeichnis. Die Zertifizierungsstelle Comodo beispielsweise nutzt das Verzeichnis upik.de zur Verifikation der Telefonnummer, um anschließend den Validierungsanruf beim Antrag stellenden Unternehmen durchzuführen.

"EV-Zertifikate sind also nicht binnen weniger Minuten ausgestellt, sondern bedingen eine ausführliche Prüfung der Unternehmensidentität. Das hat den Hintergrund, dass die bestätigte Identität in die URL einfließt, denn EV-Zertifikate sind die einzigen, die die Adressleiste im Browser grün färben. Der Unternehmensname steht noch vor dem "https" und Websitebesucher können sich so sicher sein, dass die Website tatsächlich die ist, die sie erreichen wollten", erklärt Heutger. EV SSL-Zertifikate von Comodo gibt es bei PSW Group bereits ab 129 Euro pro Jahr. Andere namhafte Zertifizierer sind beispielsweise auch SwissSign, GeoTrust und thawte. (PSW Group: ra)

eingetragen: 20.08.17
Home & Newsletterlauf: 12.09.17

PSW Group: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Kreditkarten: Zukünftig keine Extragebühren

    Im Vertrieb bedeuten Jahresneuanfänge vor allem eins: Stress. Über die Feiertage angehäufte Arbeit sowie neue herausfordernde Aufgaben nehmen oftmals alle zeitlichen Kapazitäten in Anspruch. Dass Verkäufer sich dann noch über die aktuelle Rechtslage auf dem Laufenden halten, ist fraglich. Oliver Kerner, professioneller Vertriebstrainer aus Bremen und Gründer von OK-Training, fasst deswegen im Folgenden die wichtigsten Gesetzesänderungen für Vertriebsmitarbeiter zusammen: Fragen rund um Ausbau- und Entsorgungskosten bei defekten Geräten führten in der Vergangenheit immer wieder zu Streitigkeiten. 2018 soll sich das ändern. Was der Europäische Gerichtshof und der Bundesgerichtshof bereits vorschreiben, hält jetzt auch Paragraph 445a des Bürgerlichen Gesetzbuchs fest: Wenn ein Anbieter ein fehlerhaftes Produkt verkauft, muss er die beim Herausmontieren entstandenen Kosten tragen. Darüber hinaus schreibt Paragraph 475 Absatz 6 vor, dass Privatkunden in solch einer Situation vom Verkäufer einen Vorschuss des finanziellen Aufwands verlangen können. Beim B2B-Handel gilt dies allerdings nicht. Gewerbliche Kunden müssen den Ausbau zunächst selbst bezahlen und können erst später den Betrag zurückverlangen.

  • Datenformat sind EDIFACT-Nachrichten

    Seit Juni 2017 besteht eine grundsätzliche Verschlüsselungs- und Signierpflicht von EDIFACT-Dateien gemäß BSI-Richtlinien. Bis Ende Dezember galt eine Übergangsregelung, welche den Unternehmen für die Migration auf die neuen Verfahren mehr Zeit einräumte. Nun ist diese Übergangszeit vorüber und es gibt Neuigkeiten zu den Algorithmen bei S/MIME und Zertifikaten. "Die Bundesnetzagentur hat ihre "Regelungen zum Übertragungsweg" im Dezember überarbeitet. Ursprünglich sollten bereits ab Januar 2018 alle ausgestellten Zertifikate das Signaturverfahren RSASSA-PSS nutzen. Da jedoch nicht genügend vertrauenswürdige öffentliche Zertifizierungsstellen gefunden werden konnten, die Zertifikate mit diesem Signaturverfahren anbieten, müssen erst alle ab 1. Januar 2019 ausgestellten Zertifikate zwingend mit RSASSA-PSS signiert sein", weist Christian Heutger, IT-Sicherheitsexperte, hin.

  • Kontoauszüge regelmäßig überprüfen

    Jede zweite bargeldlose Zahlung in Deutschland ist eine Lastschrift. Im Schnitt sind es mehr als 300 Lastschriften pro Sekunde, die ausgeführt werden. Lastschriften sind besonders beliebt für regelmäßige Zahlungen - Miete, Strom oder der Beitrag fürs Fitnessstudio: viele regelmäßige Rechnungsbeträge werden vom Gläubiger (z.B. dem Vermieter) vom Konto abgebucht, wenn der Kunde dem Gläubiger hierfür vorab seine Einwilligung mit einem "SEPA-Lastschriftmandat" gegeben hat.

  • Penetrationstest ist nicht gleich Penetrationstest

    Oftmals werden automatisierte Sicherheitsprüfungen als Penetrationstests bezeichnet. Blue Frost Security zeigt, was einen echten Penetrationstest ausmacht und was das so genannte "Redteam-Testing" bedeutet. Je nach Anwendungsfall sind entweder Teile oder der gesamte Umfang des Testszenarios erforderlich. Penetrationstests sind simulierte Angriffe auf ein Netzwerk, System oder eine Anwendung, um den Status-quo der IT-Sicherheit im Unternehmen festzustellen. Ziel ist die Identifizierung von Schwachstellen bzw. Sicherheitslücken und die Optimierung der IT/TK-Infrastruktur. Ein automatisierter Sicherheitsscan wird oft als Penetrationstest deklariert, ist aber keiner. Blue Frost Security hat die fünf Stufen eines professionellen Penetrationstests zusammengefasst.

  • Umgang mit Informationssicherheitssystemen

    Schlanker, schneller, praxisorientierter: So sieht das neue IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) aus. Im Februar 2018 wird die zweite Edition veröffentlicht, um die erste Lieferung von November 2017 zu ergänzen. Tatjana Brozat, Referentin der TÜV Nord Akademie und Inhaberin von x-net-training & solutions, beantwortet die wichtigsten Fragen und erklärt, was Unternehmen schon jetzt tun können.