SSL-Zertifizierungen - großer Nutzen für Shop-Betreiber und Kunden

Veröffentlicht am 22.10.2013, Beitrag von
 

Der NSA-Abhörskandal um "PRISM" hat wochenlang die Schlagzeilen bestimmt. Auch wenn das für viele Internet-Nutzer keinen Einfluss auf ihr Verhalten im Internet verursacht hat, sind sie doch etwas mehr für Sicherheit im Internet sensibilisiert. Das ist wichtig, denn beinahe wöchentlich ist von Malware oder anderen Schadprogrammen zu hören, die Sicherheitslücken schamlos ausnutzen. Das größte Problem dabei ist die Häufigkeit dieser Meldungen - eine gewisse Gewöhnung ist eingetreten.

Jetzt lesen die Menschen solche Meldungen wieder interessierter, obwohl viele der Meinung sind, dass es nichts mit ihnen zu tun hat. Dem steht jedoch gegenüber, dass der eCommerce, also das Einkaufen über das Internet, enorme Zuwachsraten erfährt. Gerade hier sollten Verbraucher auf diesen hohen Schutz achten. Wie das über SSL-Verbindungen und SSL-Zertifikate funktioniert, erklären wir nachfolgend.

So funktioniert eine Internetverbindung

Wer eine Internetseite aufruft, startet eine Kommunikation zwischen seinem Computer bzw. Smartphone oder Tablet mit dem Server am anderen Ende. Allerdings besteht keine direkte Verbindung, vielmehr wird die Verbindung über zahlreiche Stationen geroutet. Dann werden Datenpakete hin- und hergesendet. Normalerweise sind die Daten ungesichert, also nicht verschlüsselt. Am ehesten lässt sich das mit Postkarten und Briefen plastisch darstellen. Vom Sender zum Empfänger wird die Post geroutet und durchläuft mehrere Leitstellen. Immer wieder haben dort Menschen Zugriff. Das weiß jeder. Entsprechend würde niemand auf die Idee kommen, einen 100-Euro-Schein zum Bezahlen auf eine Postkarte zu kleben - vielmehr werden speziell geschützte Briefsendungen gewählt. Mit dem Routing im Internet verhält es sich ähnlich.

Das Anzapfen von ungesicherten Internetverbindungen ist nicht schwer

Für Menschen mit technischen Grundkenntnissen, der richtigen Software und genügend krimineller Energie ist es ein einfaches, diese ungesicherten Daten zwischen dem Endgerät des Internet-Nutzers und dem Server anzuzapfen. Entsprechend leicht ist es, die übermittelten Daten nach Passwörtern und dergleichen auszuwerten. Die sichere Verbindung setzt sich aus zwei Faktoren zusammen:

1.) eine sichere Verbindung über HTTPS (statt HTTP)
2.) die SSL-Verifizierung

Viele HTTPS-Protokolle sind nur unzureichend verschlüsselt oder werden nicht schon bei ersten Aufrufen eines Internet-Shops verwendet, sondern erst mit dem Verwenden sensibler Daten wie Passwörtern zum Einloggen in bestehende Accounts oder den Registrierungsdaten. So ist es Kriminellen sogar möglich, den Datenaustausch zwischen dem Kunden-PC und dem Server unerkannt umzuleiten.

Selbst HTTPS-Verbindungen können umgeleitet werden

Der Kunde ist fest überzeugt, seine Daten an den Server des Shops zu senden, doch in Wirklichkeit schickt er sie geradewegs zu dem Kriminellen. Um das zu verhindern, müssen hier Sicherheitsverbindungen (über das HTTPS-Protokoll) und Zertifikate kombiniert werden. Das SSL-Zertifikat ist nichts anderes als eine virtuelle Verifizierung eines Servers. Der Aussteller des Zertifikats trägt sämtliche Serverdaten der betreffenden Domain ein. Beginnt nun ein Kunde dieser Seite, beispielsweise einem Online-Shop, zu kommunizieren, überwacht der Aussteller des Zertifikats die Verbindung und lässt sich die Echtheit des Servers bestätigen.

Stimmt die Server-Adresse nicht mit dem Zertifikat überein, meldet das der Browser dem Nutzer sofort. Denn diese Verifizierung kann selbst mit größter krimineller Energie nicht umgangen werden. Die NSA hat es beispielsweise gerade geschafft, eine 64-Bit-Verschlüsselung zu knacken - eine einzige in vielen Monaten mit einem Superrechner! Doch die Internetverbindungen als auch die Zertifikate werden mit bis zu 256 Bit verschlüsselt. Ein Knacken der Verschlüsselung würde derzeit länger dauern, als die Menschheit alt ist.

Auf was der Verbraucher beim Besuchen eines Online-Shops achten sollte

Eine Verschlüsselung mit Zertifikat sollte heute die Pflicht eines jeden Shop-Betreibers sein. Deutsche Shop-Inhaber haben sich auch zur Datensicherheit verpflichtet, allerdings nur in Bezug auf die dort gespeicherten Daten. Die Sicherung der Verbindung ist nicht geregelt. Daher gibt es hier große Unterschiede. Zunächst einmal positionieren Online-Shops die Zertifikate etablierter Anbieter wie der Host Europe GmbH prominent auf ihrer Webseite. Das ist bereits ein erster Anhaltspunkt, der auch für den Shop-Betreiber lohnend ist, weil er Sicherheit vermittelt.

Einige Shops bieten eine HTTPS-Verschlüsselung jedoch erst ab dem individuellen Login- oder Anmelde-Bereich ein. Bis dahin sind die Daten ungesichert. Andere wiederum binden den kompletten Shop inklusive Startseite ein. Hier können überhaupt keine Daten abgegriffen werden. Bei der teilweisen Absicherung ist es für Shop-Besucher besonders dann kritisch, wenn sie zum Beispiel den "Zurück"-Button des Browsers anklicken und so wieder im ungesicherten Bereich landen.

Auch Shop-Betreiber profitieren maßgeblich von einem SSL-Zertifikat

Für Shop-Betreiber ist wichtig, dass wirklich alle Objekte der Webseite, also des Shops, in die Sicherheitszertifizierung und Verbindung eingebunden sind. Andernfalls können die Browser der Shop-Besucher unsichere Objekte melden, von denen der Besucher ja nicht wissen kann, dass es lediglich nicht eingebundene Objekte sind. Lässt der Shop-Betreiber den gesamten Shop inklusive der Startseite verschlüsseln und zertifizieren, sind seine Kunden immer sicher. Für den Kunden ist das ein Kaufanreiz, für den Shop-Besucher ein Argument zum Steigern seines Umsatzes. Bei Shops, die gänzlich auf Sicherung durch SSL-Zertifikate verzichten, sollten Kunden vorsichtig sein.

Diese Zertifikate gibt es

Hier ist davon auszugehen, dass hier auf Kosten der Kundensicherheit gespart wird, denn die Zertifizierung kostet natürlich Geld. Inzwischen haben sich hier drei große Auswahlpakete bei den renommierten Anbietern von SSL-Zertifikaten etablieren können:

  •  sehr günstige Zertifizierungen im Bereich weniger Euro, die für Blogs, Foren und ähnliche Seiten gedacht sind
  • dann eben SSL-Zertifikate für kleine bis mittlere Online-Shops, die ebenfalls nur im zweistelligen Eurobereich (pro Jahr) zu finden sind
  • Zertifikate, die von Banken und großen Shops genutzt werden. Die liegen im dreistelligen Euro-Bereich und sind zumeist an der grünen Farbe der gesicherten Adresse im Browserfenster zu erkennen.

 

 

SSL-Zertifikate - eine Win-Win-Situation

Für den Shop-Betreiber lohnt sich der Vergleich, da große Preisunterschiede bestehen, während die Leistungen ähnlich gestaffelt sind. Dennoch sollten die Domain-Besitzer ausschließlich SSL-Zertifizierungen bekannter Sicherheitsunternehmen zurückgreifen, die stellen dann auch eine Grafik mit dem Zertifikat zur Verfügung, bei der der Kunde beim Darüberziehen mit der Maus die hinterlegten und wichtigen Shop-Daten sehen kann. Von den SSL-Zertifikaten profitieren dann beide Seiten: der Kunde, weil er absolut sicher shoppen kann. Der Shop-Betreiber, weil er keine Kunden verliert, die nicht auf diese sichere Internetverbindung und Verifizierung verzichten - zu Recht übrigens.


Kommentar abgeben
Nach oben