Was ist SSL-Verschlüsselung? Wer oft im Internet surft, dem ist sicher schon bei einigen Seiten ein grünes Schloss neben der Adresszeile aufgefallen. Dieses Symbol gibt an, ob die eingegebenen Daten mithilfe aktueller Verschlüsselungstechnologien sicher übertragen werden und somit gegen unberechtigtxe Fremdzugriffe geschützt sind. Eines dieser Verschlüsselungsprotokolle ist das Transport Layer Security (TLS), besser bekannt unter der ehemaligen Bezeichnung Secure Sockets Layer (SSL).

Weshalb sind derartige Technologien nötig, wie funktionieren sie und welche Auswirkungen hat eine sichere Verschlüsselungstechnologie auf den Austausch persönlicher Daten?

 

Was ist SSL-Verschlüsselung? 

Wo sensible Informationen weitergeleitet werden, sind unberechtigte Zugriffe unerwünscht. Schon im alten Rom wurden kriegswichtige Befehle verschlüsselt übermittelt. Zwar sind seit dieser Zeit etwa 2000 Jahre vergangen, die Problematik bleibt aber weiter bestehen - denn dass sich manche Hacker nicht immer an gesetzlichen Vorgaben stören, sondern versuchen, in irgendeiner Form Profit aus erbeuteten Daten zu schlagen, ist weitläufig bekannt.

Um derartigen Angriffen gewappnet entgegentreten zu können, stellte das Unternehmen Netscape Communications im Jahr 1994 die erste Version der SSL-Verschlüsselungstechnologie vor, die schließlich - stetig weiterentwickelt - 1999 in TLS (Transport Layer Security) umbenannt wurde und von diesem Zeitpunkt an regelmäßig unter dem neuen Namen weiterhin aktualisiert wird.

Auch nach der Neuregelung der europäischen Datenschutz-Grundverordnung (EU-DSGVO) steigt die Nachfrage nach Sicherheitszertifikaten an. Seit Inkrafttreten im Mai 2018 müssen Webseitenanbieter eine sichere Übertragung personenbezogener Daten gewährleisten.

 

Funktionsweise von SSL/TLS

Um eine gesicherte Verbindung herzustellen, identifiziert sich der Server gegenüber dem Client, also dem Anwender, mit einem Zertifikat. Daraufhin sendet entweder der Client eine geheime Zahlenfolge, die über den öffentlichen Schlüssel des Servers verschlüsselt wurde. Oder aber Client und Server berechnen über das sogenannte Diffie-Hellman-Schlüsselaustauschverfahren, bei dem zwei Kommunikationspartner über eine öffentliche, abhörbare Leitung einen geheimen Schlüssel erstellen, einen geheimen Code, aus dem ein weiterer Schlüssel berechnet wird, der für die folgende verschlüsselte Kommunikation verwendet wird.

Neben einem grünen Schloss wird das Zertifikat auch durch ein "https" ("Hypertext Transfer Protocol Secure") vor der Internetadresse sichtbar. Webseiten ohne sicheres Hypertext-Übertragungsprotokoll weisen sich hingegen durch ein schlichtes "http" aus.

 

Gibt es absolute Sicherheit?

Absolute Sicherheit kann und wird es wohl nie geben. Software-Entwickler tun aber alles dafür, Hackern immer mindestens eine Nasenlänge voraus zu sein.

Insgesamt gibt es drei nach Ihren Anforderungen zu unterscheidende Zertifizierungslevel:

  • Domain-Validated-Zertifikat (DV-SSL)

Weit verbreitet ist das Domain-Validated-Zertifikat, bei dem die Domain - also die Internetseite - recht einfach überprüft wird: Die Zertifizierungsstelle sendet eine E-Mail an den Auftraggeber. Bestätigt dieser, der Inhaber der Webseite zu sein, erhält er für gewöhnlich innerhalb weniger Minuten das Zertifikat.

Ausreichend ist dieses Zertifikat etwa für Blogs oder Seiten, auf denen keine kritischen persönlichen Informationen eingegeben werden.

  • Organisation-Validation-Zertifikat (OV-SSL)

Höhere Anforderungen stellt das Organisation-Validation-Zertifikat an den Auftraggeber: Neben einer Überprüfung der Domain müssen zusätzliche Dokumente, wie etwa ein Auszug aus dem Handelsregister, eingereicht werden.

Dieses Zertifikat bietet in der Regel einen geeigneten Schutz für die meisten Firmenwebseiten.

  • Extended-Validation-Zertifikat (EV-SSL)

Die höchsten Anforderungen werden bei dem erweiterten Validierungszertifikat gestellt: Neben einem aufwendigen Valdidierungscheck wird die gesamte Datenübertragung über eine 256-Bit-Verschlüsselung abgewickelt, die bis zum heutigen Zeitpunkt als unknackbar gilt.

Besonders Banken, Versicherungen und andere Finanzdienstleister greifen auf dieses Zertifikat zurück, um ihren Kunden maximalen Schutz zu bieten.

In der Vergangenheit gab es zwar eine Vielzahl von Phishing-Versuchen, die aber vor allem dann erfolgreich waren, wenn veraltete Zertifikate - und somit nicht mehr sichere Verschlüsselungstechniken - Verwendung fanden oder gefälschte Websites echte Zertifikate zweifelhafter Zertifizierungsstellen nutzten.

Mit der Einführung des Extended-Validation-SSL-Zertifikats ("EV SSL Zertifikat") ist die Sicherheit der Seiten, die es verwenden, deutlich gestiegen. Für den Nutzer wird das Zertifikat dadurch erkennbar, dass neben dem Schloss-Symbol auch der Firmenname grün hinterlegt angezeigt wird.


***

Management Summary

  • Es besteht die grundlegende Notwendigkeit, Daten und deren Übertragung zu schützen
  • Durch die Verwendung von SSL-/TLS-Verschlüsselungen kann ein hohes Maß an Sicherheit gewährleistet werden
  • Seit Inkrafttreten der Datenschutz-Grundverordnung (EU-DSGVO) im Mai 2018 müssen Webseitenanbieter eine sichere Übertragung personenbezogener Daten gewährleisten
  • Der eigene Verstand sollte beim Surfen im Internet dennoch immer wachsam sein
  • Vor der Eingabe sensibler Informationen sollte darauf geachtet werden, ob die aufgerufene Internetseite seriös ist und ihre Authentizität durch entsprechende Zertifizierungen belegen kann
  • Besonders in großen Unternehmen spielt IT-Sicherheit eine bedeutsame Rolle
  • Sie wird streng geprüft und unterliegt hohen Standards


Wenn Sie mehr zur Datensicherheit in der Cloud erfahren wollen, legen wir Ihnen unser Whitepaper "Cloud-Software und Datensicherheit" ans Herz.