- Anzeigen -

Sie sind hier: Home » Markt » Hinweise & Tipps

Kein Verzicht auf Verschlüsselung


HTTPS wird zunehmend verpflichtender Standard: Abmahnungen bei fehlendem Datenschutz
EV-SSL Zertifikate machen Websites rechts- und damit abmahnsicher

- Anzeigen -





Daten sind längst zum Unternehmenswert geworden: Wer sie speichert und richtig verarbeitet, kann mit ihrer Hilfe werben und seine Gewinne steigern. Diese Relevanzsteigerung hat aber eine Konsequenz zur Folge: Wer Daten will, muss sie auch schützen. Selbst wer keinen Online-Shop, sondern lediglich eine Info-Site mit Kontaktformular unterhält, ist in der Pflicht, dem Datenschutz einen hohen Stellenwert einzuräumen.

Die Ergebnisse einer Searchmetrics-Analyse, weltweit führender Anbieter einer Search- und Content-Performance-Plattform, lässt da bei IT-Sicherheitsexperte Christian Heutger die Alarmglocken schrillen: Nur 12 Prozent der E-Commerce- und Publisher-Seiten in Googles Suchergebnissen kommunizieren per HTTPS mit dem Browser. Nur etwas besser sieht es bei den Finanz- und Reise-Websites aus: Hier setzen immerhin 29 und 23 Prozent auf eine HTTPS-Verbindung.

"Das sind schockierende Zahlen. Denn werden Daten, zum Beispiel bei einem Bestellvorgang im Online-Shop, unverschlüsselt übertragen, können sie von Dritten erfasst und ausgelesen werden. Dabei müssen sich Internetanbieter nicht erst seit gestern an eine ganze Reihe von Gesetzen halten, darunter das IT-Sicherheitsgesetz, das Telemediengesetz sowie das Bundesdatenschutzgesetz – und bald auch die EU-Datenschutz-Grundverordnung. Unternehmen, die angesichts dieser rechtlichen Gegebenheiten entspannt auf Verschlüsselung verzichten, haben die Bedeutung von Datenschutz noch nicht verinnerlicht", so Christian Heutger, Geschäftsführer der PSW Group.

Insbesondere das IT-Sicherheitsgesetz enthält in diesem Zusammenhang die Pflicht, personenbezogene Daten entsprechend dem Stand der Technik zu schützen. Zwar enthält es keine direkte Pflicht zur Verschlüsselung, aber die Verschlüsselung wird nahegelegt und ist die wohl einzige praktikable Maßnahme, dem gesetzlich vorgeschriebenen Datenschutz zu entsprechen.

"Die Konsequenzen bei Unterlassen sind drastisch: Wer Datenschutz nicht ernst nimmt, dem drohen Abmahnungen. Verbraucherschutz- und Wettbewerbsverbände, Anwälte sowie Behörden suchen nach Verstößen, um diese abzumahnen", warnt Heutger. Zu diesen Verstoß-suchenden Behörden gehört unter anderem das Bayerische Landesamt zur Datenschutzaufsicht (BayLDA). Das BayLDA hat den Auftrag, das Einhalten des Datenschutzrechts in privaten Wirtschaftsunternehmen, bei Freiberuflern, im Web, bei Vereinen sowie bei Verbänden zu prüfen. Bereits seit Anfang 2016 untersucht die Behörde Websites auf unverschlüsselte Kontaktformulare. Aus der mit Inkrafttreten des IT-Sicherheitsgesetzes geänderten Gesetzeslage ergibt sich jedoch, dass nun auch Abmahnungen bei Sites ohne Kontaktformulare folgen könnten: Tatsächlich wird https zunehmend als ein verpflichtender Standard verstanden und alle geschäftsmäßig orientierten Online-Dienste müssen auf anerkannte Verschlüsselungsverfahren setzen.

Der Verzicht auf Verschlüsselung kann aber auch wirtschaftlich mehr als unvernünftig sein, denn Google straft konsequent mit schlechterem Ranking in den Ergebnislisten ab. Und auch die Warnhinweise der Browser, wie etwa "Verbindung ist nicht sicher", machen mehr als deutlich sichtbar, wenn eine Website oder ein Shop nicht durch ein SSL-Zertifikat geschützt ist. "Mein Rat ist deshalb: Bevor sich die Datenschutzbehörde meldet oder ein Mitbewerber zu einer Abmahnung greift, sollten Wirtschaftsunternehmen auf ihrem Server Extended Validation (EV-) Zertifikate einbinden", so Christian Heutger.

Extended Validation ist die höchstmögliche Validierungsstufe: die Zertifizierungsstellen prüfen die Identität des Antrag stellenden Unternehmens sehr umfassend. Voraussetzung für ein solches "Anti-Abmahn-Zertifikat" ist ein Eintrag in ein öffentliches Register, wie das Handels- oder Vereinsregister sowie in einem öffentlichen Verzeichnis. Die Zertifizierungsstelle Comodo beispielsweise nutzt das Verzeichnis upik.de zur Verifikation der Telefonnummer, um anschließend den Validierungsanruf beim Antrag stellenden Unternehmen durchzuführen.

"EV-Zertifikate sind also nicht binnen weniger Minuten ausgestellt, sondern bedingen eine ausführliche Prüfung der Unternehmensidentität. Das hat den Hintergrund, dass die bestätigte Identität in die URL einfließt, denn EV-Zertifikate sind die einzigen, die die Adressleiste im Browser grün färben. Der Unternehmensname steht noch vor dem "https" und Websitebesucher können sich so sicher sein, dass die Website tatsächlich die ist, die sie erreichen wollten", erklärt Heutger. EV SSL-Zertifikate von Comodo gibt es bei PSW Group bereits ab 129 Euro pro Jahr. Andere namhafte Zertifizierer sind beispielsweise auch SwissSign, GeoTrust und thawte. (PSW Group: ra)

eingetragen: 20.08.17
Home & Newsletterlauf: 12.09.17

PSW Group: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Astronomische Renditeversprechen

    Die Niedrigzinsphase hält weiter an. Wohin also mit dem Ersparten? Betrüger haben gegenwärtig leichtes Spiel, Anleger mit hohen Renditeversprechen und anderen Tricks in die Falle zu locken. Nach der polizeilichen Kriminalstatistik ist Anlagebetrug zwar leicht rückläufig (2016 um 2,6 Prozent gegenüber dem Vorjahr; 7.815 Fälle 2016 gegenüber 8.022 Fällen 2015) - von Entwarnung kann jedoch keine Rede sein. Der entstandene Schaden ist 2016 sogar um gut acht Prozent auf 356 Millionen Euro angestiegen (2015 waren es noch 328 Millionen Euro). Hinzu kommt die Dunkel­ziffer nicht erfasster Fälle. Um sich zu schützen, sollten Anleger ihr Geld ausschließlich seriösen Anbietern anvertrauen und Vergleichsangebote einholen. Bei deutlichen Warnsignalen ist Skepsis angebracht. Folgende Hinweise helfen bei der Einschätzung, ob man nicht lieber die Finger von einem Angebot lassen sollte.

  • Erhöhte Bußgelder für juristische Personen

    Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist bereits seit dem 24. Mai 2016 beschlossene Sache - die Schonfrist läuft allerdings am 25. Mai 2018 ab. Zu diesem Stichtag gilt für alle Unternehmen verbindlich die neue Rechtslage. Grund genug, sich mit dem Thema jetzt genau auseinanderzusetzen und die erforderlichen Maßnahmen zu treffen, bevor zeitliche Engpässe für die Umsetzung entstehen. G Data stellt hierzu ein Whitepaper bereit und zählt fünf Änderungen auf, die für Unternehmer von entscheidender Bedeutung sind.

  • Damit das E-Mail-Zertifikat Gültigkeit hat

    Ab 1. Januar 2018 müssen alle neu ausgestellten E-Mail-Zertifikate mit RSASSA-PSS signiert sein. Auf die gestiegenen Sicherheitsanforderungen machen die IT-Sicherheitsexperten der PSW Group aufmerksam und verweisen auf die Neureglungen der Bundesnetzagentur zum sicheren Austausch von EDIFACT-Übertragungsdateien. Die neuen Regeln sind Bestandteil des IT-Sicherheitskatalogs der Bundesnetzagentur, der Anforderungen an Netzbetreiber hinsichtlich einer sicheren IT-Infrastruktur für den Netzbetrieb stellt. Bereits seit 1. Juni 2017 muss die Übertragung von EDIFACT-Dateien in der elektronischen Marktkommunikation mit einer Verschlüsselung und Signatur abgesichert werden, die den Anforderungen des Bundesamts für Sicherheit in der Informationstechnik entspricht. "Das heißt, dass jede E-Mail, die sensible Inhalte enthält, mit AES-128 CBC oder AES-192 CBC zu verschlüsseln ist und alle Zertifikate, die für den Einsatz in der elektronischen Marktkommunikation vorgesehen sind, signiert werden müssen", verdeutlicht Christian Heutger, Geschäftsführer der PSW Group.

  • Bedeutung für eine Vielzahl von Darlehensverträgen

    Der Bundesgerichtshof (BGH) hat sich in seiner Entscheidung vom 04.07.2017, XI ZR 741/16, erneut mit der "Aufsichtsbehörde" in Widerrufsinformationen beschäftigt und stellt hierbei strenge Anforderungen an den Beginn der Widerrufsfrist. Damit können viele Darlehensverträge ab Mitte 2010 auch heute noch widerrufen werden. "Eine sorgfältige Prüfung der Vertragsunterlagen lohnt sich daher weiterhin", empfehlen Dr. Marcus Hoffmann und Mirko Göpfert, Partner der im Bank- und Kapitalanlagerecht tätigen Kanzlei Dr. Hoffmann & Partner Rechtsanwälte aus Nürnberg. In einer Vielzahl von Verträgen wird in den jeweiligen Widerrufsinformationen die "Aufsichtsbehörde" genannt. Betroffen sind Verträge von Sparkassen sowie Volks- und Raiffeisenbanken, der PSD-Bank, der Sparda Bank und der ING-DiBa. So findet sich im Hinblick auf den Fristbeginn oftmals folgende Wendung: "Die Frist beginnt nach Abschluss des Vertrags, aber erst, nachdem der Darlehensnehmer alle Pflichtangaben nach § 492 Abs. 2 BGB (z.B. Angabe des effektiven Jahreszinses, Angaben zum einzuhaltenden Verfahren bei der Kündigung des Vertrags, Angabe der für den Darlehensgeber zuständigen Aufsichtsbehörde) erhalten hat."

  • Vertragsanbahnung und Vertragsabschluss

    Das Widerrufsrecht bei Darlehensverträgen beschäftigt seit geraumer Zeit die deutsche Justiz. Nachdem der Gesetzgeber an verschiedenen Stellen regulativ eingriff, ebbte die Zahl der Widerrufe im letzten Jahr stark ab. Dies könnte sich nun jedoch erneut ändern. "Eine sorgfältige Prüfung der Vertragsunterlagen und der Abläufe bei Vertragsanbahnung und Vertragsabschluss lohnt sich weiterhin", berichten Dr. Marcus Hoffmann und Mirko Göpfert, Partner der im Bank- und Kapitalanlagerecht tätigen Kanzlei Dr. Hoffmann & Partner Rechtsanwälte aus Nürnberg. Vor dem Hintergrund vielfältiger Fehler in Widerrufsbelehrungen, bzw. seit 2010 in sogenannten Widerrufsinformationen, beschränkte sich die Diskussion in der Vergangenheit häufig auf deren Überprüfung und die Problematik, ob sich die Banken auf die Schutzwirkung gesetzlicher Muster berufen können. "Dabei wird häufig verkannt, dass sich die Frage der ordnungsgemäßen Belehrung erst dann stellt, wenn die Widerrufsfrist dem Grunde nach zunächst überhaupt angelaufen ist", erläutert Rechtsanwalt Dr. Hoffmann. Gesetzliche Voraussetzung hierfür ist, dass der Darlehensnehmer die Vertragsurkunde oder seinen Darlehensantrag zur Verfügung gestellt bekommen hat.