Das verschlüsselte Internetprotokoll HTTPS setzt sich auch für einfache Websites immer mehr durch. Doch welche Vorteile bringt dies für Nutzer und Betreiber? Wann ist die Browserverschlüsselung rechtlich erforderlich? Und wie klappt die Umsetzung in der Praxis? – Analyse und Erfahrungsbericht.
Motivation (1): Bonus im Google-Ranking
Ein “Vorzug” der HTTPS-Verschlüsselung aus Sicht der Website-Betreiber ist die Bevorzugung verschlüsselter Websites im Google-Ranking. Als Teil einer umfassenden IT-Sicherheits-Initiative fördert Google seit August 2014 offiziell den Einsatz von HTTPS durch bessere Sichtbarkeit in der Suchmaschine. Laut Aussage von Google könne der anfangs relativ schwache https-Bonus in Zukunft gesteigert werden. Nach einer Studie von InterNetX beträgt dich Verbesserung der Sichtbarkeit aber auch jetzt schon bis zu 5%. Da jeder Schritt nach oben in der Google-Trefferliste die Klickrate drastisch ansteigen lässt, ist der Anreiz zum Wechsel also erheblich.
Bei aller guten Absicht führt die HTTPS-Bonus-Entscheidung von Google aber auch vor Augen, dass das Suchmaschinenmonopol dem Konzern eine bedenkliche Macht verleiht. Ob HTTPS für einfache Websites wirklich einen nennenswerten Sicherheitsgewinn darstellt, darüber kann man trefflich streiten (golem.de diskutiert hierzu einige eher exotische Szenarien). Gerade bei einfachen Blogs und statischen Seiten ist es daher gut zu verstehen, wenn Webmaster den – auch finanziellen – Aufwand nicht für gerechtfertigt erachten. Sie werden von Google auf zweifelhafte Weise abgestraft. Denn in jedem Fall bleibt der Inhalt einer Website von der Umstellung auf HTTPS gänzlich unberührt – er wird schlichtweg nicht “relevanter” in Bezug auf Google-Suchanfragen. Die Entscheidung von Google ist also auch ein Stück weit Willkür, gegen die es keine Handhabe gibt.
Motivation (2): IT-Sicherheitsgewinn
Bei HTTPS werden die zwischen Browser und Webserver ausgetauschten Inhalte verschlüsselt. Dazu wird unterhalb der Anwendungsschicht – auf der HTTP zum Einsatz kommt – eine verschlüsselte Transportschicht etabliert. Das genutzte Verschlüsselungsverfahren wird meist als SSL bezeichnet, obwohl sich längst der Nachfolgestandard TLS durchgesetzt hat. Verschlüsselung hat aber nur Sinn, wenn zuvor sichergestellt ist, dass man mit der richtigen Gegenstelle spricht. Die Website liefert daher zunächst ein Zertifikat an den Browser aus, das die Identität des Anbieters bestätigt. Dieses Zertifikat wird vom Browser geprüft. Hierzu sind eine Reihe von vertrauenswürdigen “Root”-Zertifikaten in allen modernen Browsern vorinstalliert. Diese Zertifikate – und von ihnen abgeleitete Zertifikate – akzeptiert der Browser automatisch; die Identität des Webservers ist dann insoweit bestätigt (im Zweifel sollte man die Angaben zum Zertifikat aber sorgfältig durchlesen).
Im Ergebnis wird durch HTTPS also die Identität des Anbieters bestätigt (“bin ich auf der richtigen Website?”) und es wird Angreifern deutlich erschwert, die sonst frei über das Internet übertragene Kommunikation abzufangen. Z.B. wird der Inhalt von Internetformularen und Up-/Downloads vor Dritten geschützt.
Motivation (3): Datenschutzrecht
Die Verschlüsselung der Verbindung per HTTPS ist vor allem wichtig, wenn personenbezogene oder gar sensible Daten ausgetauscht werden. Gerade in diesen Fällen dürften Website-Betreiber zum Anbieten dieser Verschlüsselung (oder äquivalenter Maßnahmen) auch verpflichtet sein. Dies ergibt sich aus § 9 BDSG:
Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
In der Anlage zu § 9 S. 1 BDSG führt der Gesetzgeber dieser näher aus:
Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,
[…] 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), […]
Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.
Zumindest beim Online-Banking sollte HTTPS mittlerweile Stand der Technik sein. Doch auch beim normalen E-Commerce sprechen gute Gründe dafür, dass das Gesetz eine Transportverschlüsselung vorsieht (HTTPS oder eine gleichwertige). Maßstab ist hier die Zumutbarkeit für den Anbietert (§ 9 S. 2 BDSG). Dabei ist zu berücksichtigen, dass der Aufwand für die Einführung einer HTTPS-Verschlüsselung letztlich relativ gering ist und gerade kommerziellen Anbietern ohne weiteres zugemutet werden kann.
Motivation (4): IT-Sicherheitsgesetz
In der Zukunft wird sich eine Verpflichtung zum Einsatz wirksamer Verschlüsselung womöglich auch aus dem IT-Sicherheitsgesetz ergeben. Der aktuellen Entwurf sieht die Einführung eines neuen § 13 Abs. 7 Telemediengesetz vor:
(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind.
Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung
eines als sicher anerkannten Verschlüsselungsverfahrens.
Wie man leicht sieht, ist dies im Wortlaut sehr nahe an dem ohnehin schon geltenden Datenschutzgesetz. Anders als § 9 BDSG knüpft § 13 Abs. 7 TMG n.F. aber nicht daran an, dass personenbezogene Daten verarbeitet werden. Auch Diensteanbieter, deren Website nicht auf die Verarbeitung personenbezogener Daten abzielt, würden unter die Pflicht des § 13 Abs. 7 TMG n.F. fallen. Insofern wird sich zukünftig die Frage stellen, ob HTTPS auch für einfache Websites irgendwann “Stand der Technik” wird. Dann könnte aus § 13 Abs. 7 TMG die Pflicht folgen, dieses Verfahren beim Betrieb einer Website einzusetzen.
Eigene Erfahrungen
Bei mir hat die Umstellung des Blogs und der Kanzleiseite auf HTTPS relativ problemlos geklappt. Gerade für die Kanzleiseite kam bei mir noch die Motivation hinzu, dass ich ein Webformular zur Kontaktaufnahme anbieten wollte. Hierbei ist es m.E. sehr wichtig, eine lückelose Verschlüsselung vom Interessenten bis zum Anwalt sicherzustellen. Dies ist dank HTTPS der Fall: Das Kontaktformular wird per HTTPS an den Webserver übermittelt. Von dort erfolgt die Übertragung an mich per verschlüsselter E-Mail (Perfect Forward Secrecy).
Man sollte allerdings für die Umstellung etwas Zeit einplanen. Der Teufel steckt oft im Detail. Bei mir verursachten zwei Dinge erheblichen zusätzlichen Aufwand:
- Nicht nur der eigene Server muss umgestellt werden, sondern auch alle Inhalte, die von Drittanbietern geladen werden. Anderenfalls zeigen die gängigen Browser zu Recht sehr unschöne Warnsymbole. Bei meinen Seiten gibt es nur einen Drittanbieterinhalt, nämlich im Blog, und zwar das in der Datenschutzerklärung genannte und von der Datenschutz-Aufsichtsbehörde in Bayern geprüfte Zählpixel der VG Wort. Wie ich auf Nachfrage von der VG Wort erfuhr, kann der Server https://ssl-vg03.met.vgwort.de/ genutzt werden, um das Pixel verschlüsselt abzurufen. Die Umstellung erforderte allerdings einigen händischen Aufwand und Änderungen in der WordPress-Datenbank.
- Da erstaunlicherweise weder Google Feedburner noch Microsoft Outlook mit HTTPS -verschlüsselten RSS-Feeds umgehen können, wollte ich den RSS-Feed von der Umleitung auf HTTPS ausnehmen. Dies war über die .htaccess-Datei möglich. Die Konfiguration ist allerdings alles andere als trivial. Wer dasselbe Problem hat und nicht weiterkommt, kann mir gerne eine Nachricht schicken.
Im Ergebnis sprechen gute Gründe für eine Umstellung auf HTTPS. Für einfache Blogs und Websites ist sie allerdings rechtlich derzeit nicht erforderlich.
Bildnachweis: (c) המאבטח, Creative Commons Attribution 3.0 Unported