SSL

Sicherheit ist ein Gefühl, welches erreicht wird, wenn man sich von keinerlei Gefahrenquellen bedroht fühlt. Dazu sind meist eine oder mehrere Schutzvorrichtungen nötig. Das Bedürfnis nach Sicherheit ist bei uns Menschen als Urinstinkt tief verankert und überlebensnotwendig. Schon in der Steinzeit suchten sich die Menschen Schutz in Höhlen. Dort waren Sie nicht bloß vor Tieren, sondern vor allem vor den Witterungsverhältnissen geschützt. Mehrere Jahrtausende später gibt es nun aber primär andere Ziele, die mit Sicherheit in Verbindung gebracht werden. Generell schützen uns beispielsweise Gesetze und Normen vor Gefahren im Alltag.
Durch den Technikwandel gibt es nun viele neue Gefahrenquellen und damit auch neu entstandene Schutzvorrichtungen. Mit dem Erfolg des Internets gibt es Individuen, die sich im anonymen Internet durch Betrügereien an der Allgemeinheit zu bereichern versuchen, sodass hier kein Gesetz greift. Durch immer neue Angriffswege, die dem Technikwandel geschudelt sind, tun sich immer neue Wege für Angreifer auf, die erst mit der Zeit wieder geschlossen werden - ein ewiger Kreislauf also.

Verbrauchern stehen einige Möglichkeiten zur Verfügung, die Sicherheit beim täglichen Surfen im World Wide Web zu optimieren. Besonders bei Passwörtern müssen Sie besonders Vorsicht sein. Wichtige Passwörter sollten immer nur einmal verwendet werden und nicht zu leicht zu knacken sein. Verwenden Sie am besten keine persönlichen Informationen wie Ihren Namen oder Ihr Geburtsdatum. Nutzen Sie in jedem Fall eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Geben Sie Ihre Passwörter zudem niemals an Fremde weiter und bewahren Sie Ihre Zugangsdaten an einem sicheren Platz auf, der vor dem Zugriff Fremder geschützt ist. Ein anderer wichtiger Sicherheitsaspekt ist die Aktualität der von Ihnen genutzten Software. Halten Sie Ihren Browser daher stets auf dem neusten Stand, um vor möglichen Sicherheitslücken bestmöglich geschützt zu sein. Zudem sollten Sie aufpassen, in welchen Online-Shops Sie einkaufen. Achten Sie daher auf ein Impressum und die Geschäftsadresse, damit Sie vor zwielichtigen Geschäften geschützt sind. Ein Siegel wie das renommierte Trusted Shops Logo zeigen eindeutig, ob ein Einkauf sicher und problemlos möglich ist. Trusted Shops selbst bietet für Einkäufe z.B. einen Käuferschutz an, sodass Sie im Zweifelsfall Ihr Geld durch den Anbieter zurückerhalten. Auch das Thema mobiles Internet auf dem Smartphone ist heute wichtiger denn je. Da ein Smartphone durch einen Diebstahl schnell verloren gehen kann, sollten die Ihre Sicherheitseinstellungen regelmäßig überprüfen. Oftmals ist es besser, nicht dauerhaft in der E-Mail App angemeldet zu sein, sodass man ohne Eingabe eines Passworts darauf zugreifen kann. Eine Pin zum Entsperren des Smartphones ist ebenfalls extrem wichtig, da hier meist sensible Daten abgespeichert werden. Passwörter sollten generell nur in Ausnahmefällen oder höchstens bei eher unwichtigen Anwendungen auf dem Gerät selbst gespeichert werden.

Neben der Gewährleistung der Sicherheit in Firmennetzwerken, auf die wir an dieser Stelle nicht eingehen, ist speziell Betreibern von Webseiten geraten, das Thema Sicherheit nicht zu vernachlässigen. In regelmäßigen Abständen werden Sicherheitslücken in Content Management Systemen und Shopsystemen aufgedeckt, die mit Updates geschlossen werden. Wer sein System aber nicht umgehend aktualisiert, nutzt bald eine Software, die einem möglichen Hackingangriff allzu schnell nachgeben kann. Spätestens wenn ein Angreifer die Firmen-Webseite zum Spamversand nutzt, entsteht ein großer Imageschaden. Da zudem das Risiko besteht, dass die Webseite hierdurch gar nicht mehr erreichbar ist, ist dies besonders ärgerlich, wenn in dieser Zeit wichtiger Umsatz generiert werden kann. Im schlimmsten Fall gehen Kunden verloren oder verlieren den Glauben an die Marke. Neben der Webseite sollte auch die E-Mail Kommunikation abgesichert werden. Nutzen Sie hierfür eine SSL Verschlüsselung und aktivieren Sie die SSL / TLS Option in Ihrem Mail Client.
Ein wichtiger Punkt für Unternehmen ist der Datenschutz, der in Deutschland sogar per Gesetz definiert und zwingend einzuhalten ist. Hier darf man nicht nur von einem technischen Risiko ausgehen, sondern auch vom einem Risiko durch Personalverschulden. Aus diesem Grund ist es ebenso wichtig, die eigenen Mitarbeiter ausführlich in Sachen Datenschutz zu schulen, wie auch technische Vorkehrungen gegen den Diebstahl von Daten zu treffen. Wenn die Daten in falsche Hände geraten, erwarten Firmen hohe Bußgelder. Unternehmer sollten in jedem Fall alle Risiken in fest definierten Zeitabständen analysieren, von denen das Unternehmen betroffen sein könnte und prüfen, ob mit dem aktuellen Sicherheitskonzept des Betriebs alle Bereiche abgedeckt werden.

Die IT Sicherheit beschreibt die Maßnahmen, die unternommen werden, damit Anwender das Internet ohne Bedenken nutzen können. Heutzutage wird viel Wert darauf gelegt, dass bei Vorgängen im Internet kein unbefugter Dritter auf sensible Daten zugreifen kann und einem Nutzer dadurch Schaden zufügen kann. Generell lassen sich die wichtigsten Ziele der IT Sicherheit drei Oberbegriffen zuordnen: Vertraulichkeit, Verfügbarkeit und Integrität. Die Vertraulichkeit wird von diversen Datenschutzgesetzen gestützt und beinhaltet, dass nur berechtigte Personen einen Zugriff auf bestimmte Informationen und Daten haben dürfen. Vor allem der Verlust von Forschungsdaten und personenbezogenen Daten kann einen großen Schaden anrichten. Auf den Datenschutz wird in den meisten Unternehmen besonders viel Wert gelegt, denn falls hierbei etwas schief läuft, können rechtliche Konsequenzen und Imageschäden schnell zum Aus führen. Die Verfügbarkeit beschreibt, dass berechtigte Nutzer zu jedem Zeitpunkt auf ihre Daten zugreifen können. Wenn die Verfügbarkeit nicht gewährleistet ist, kann es zu kleinen und großen Arbeitsbeeinträchtigungen kommen. DM Solutions garantiert Ihnen beispielsweise in den SSD Webhosting Tarifen eine Verfügbarkeit von 99,9%.
Die Integrität wird meist noch mit dem Begriff Authentizität in Verbindung gebracht. Hierbei dürfen keine Daten unbemerkt verändert werden. Für die Überprüfung der Integrität gibt es Prüfsummen, auch Hash-Werte genannt. Um sicher zu gehen, dass die Daten während der Übertragung nicht verändert wurden, müssen die Hash-Werte vor und nach der Übertragung übereinstimmen. Mit der Authentizität kommt auch die Überprüfung der Vertrauenswürdigkeit ins Spiel. Es wird nachgewiesen, ob die Daten von dem angegebenen Sender stammen und wer dieser Sender ist. Dazu werden digitale Signaturen genutzt, die unter anderem auch in SSL Zertifikaten enthalten sind.

Eine elementare Funktion von SSL ist die Authentisierung. Hierbei muss sich der Server erst korrekt identifizieren bevor man mit einer verschlüsselten Verbindung auf die Ressource zugreifen kann. Jedes Zertifikat wird einer Domain zugeordnet, wodurch jeder Browser die Seite bei der Zertifizierungsstelle auf Echtheit überprüfen kann. Die Zertifizierungsstelle prüft die Identität des Kunden während der Erzeugung des Zertifikates. So können sich Kunden beispielsweise sicher sein, dass sie genau bei dem Händler einkaufen, der er vorgibt zu sein. Somit ist es möglich, dass auch im anonymen Internet ein Vertrauensverhältnis zwischen zwei Parteien aufgebaut wird. Die zweite Funktion von SSL Zertifikaten ist die Verschlüsselung der Datenübertragung zwischen Server und Client (Ihrem PC). SSL Zertifikate nutzen ein sogenanntes hybrides Verschlüsselungsverfahren, also einen Mix aus symmetrischer und asymmetrischer Verschlüsselung. Bei der symmetrischen Verschlüsselung gibt es nur einen Schlüssel, mit dem der Klartext verschlüsselt und entschlüsselt wird. Ein einfaches Beispiel hierfür ist die „Caesar Chiffre“, bei der die Buchstaben des Alphabetes nach rechts verschoben werden, sodass man beispielsweise anstatt einem A immer ein B schreibt. Das asymmetrische Verfahren ist dagegen etwas komplizierter, da es hier zwei Schlüssel gibt. Mit dem öffentlichen Schlüssel, der jedem der anfragt zur Verfügung gestellt wird, wird der Klartext lediglich verschlüsselt und mit dem privaten Schlüssel, der nicht an eine andere Partei weiter gegeben wird, wird der Text wieder entschlüsselt. Dieses Verfahren ist sicherer als die symmetrische Verschlüsselung, allerdings auch aufwändiger und damit langsamer.
Die SSL Verschlüsselung verbindet Sicherheit und Schnelligkeit der beiden Methoden miteinander. Mit asymmetrischer Verschlüsselung wird zu Beginn ein gemeinsamer Schlüssel für diese Sitzung generiert. Dieser sogenannte geheime Session-Key kann dann für die restliche Sitzung von beiden Parteien zum ver- und entschlüsseln der Daten genutzt werden. So bleibt der Rechenaufwand für die SSL Verschlüsselung auch bei großen Datenmengen überschaubar. SSL ist die Abkürzung für „Secure Sockets Layer“, was eigentlich ein Begriff für eine veraltete Verschlüsselungstechnik ist. Heutzutage nutzt man den Nachfolger TLS, der für „Transport Layer Security“ steht. Umgangssprachlich nennt man die Verschlüsselungstechnik noch SSL, doch eigentlich basieren die Zertifikate schon auf TLS. Die letzte SSL Version war SSL 3.0, die schon 1999 von TLS 1.0 abgelöst wurde. Die Technik hinter TLS ist prinzipiell die gleiche Technik, die auch SSL genutzt hat.

Jede SSL Sitzung beginnt mit einem Handshake zwischen Server und Client. Hierbei werden die jeweiligen Parteien authentifiziert und die Sitzungsschlüssel werden erstellt. Der Client ist im Regelfall ein Browser und der Server ist ein Webserver, auf dem eine Webseite liegt, die vom Browser aufgerufen wird. Der genaue Vorgang funktioniert wie folgt:
Die Kommunikation beginnt mit der Client-Hello-Nachricht vom Browser, also der einleitenden Nachricht, bei der der Browser eine Verbindung zu dem Webserver aufbaut. Diese beinhaltet die SSL-Versionsnummer des Clients und weitere sitzungsrelevante Informationen, die der Server benötigt, um mit dem Client via SSL zu kommunizieren. Anschließend sendet der Server die SSL-Versionsnummer und relevante Informationen für die Kommunikation zwischen den beiden. Dazu sendet der Server zwecks Authentifizierung auch sein Zertifikat und wählt die stärkste Verschlüsselung aus, die sowohl Browser als auch Server unterstützen. Das Zertifikat wird dann vom Client überprüft. Sofern der Server nicht authentifiziert werden kann, erhält der Nutzer eine Warnung, dass keine verschlüsselte Verbindung aufgebaut werden kann. Sofern der Server aber authentifiziert werden kann, fährt der Client mit dem Handshake fort. Nun beginnt der Client damit, einen Hauptschlüssel zu erstellen, mit dem später gemeinsame Session-Keys erstellt werden sollen. Die Vorstufe davon verschlüsselt der Client und sendet sie an den Server. Wenn der Server eine Authentifizierung vom Client verlangt, schickt dieser das eigene Zertifikat. Die Vorstufe des Hauptschlüssels wird serverseitig entschlüsselt und fertig gestellt. Mithilfe des Hauptschlüssels erzeugen Client und Server nun symmetrische Sitzungsschlüssel, die, wie der Name es schon verrät, für die Kommunikation der restlichen Sitzung genutzt werden. Zudem wird mit diesen Schlüsseln auch die oben genannte Integrität überprüft. Mögliche Änderungen der Daten zwischen Sender und Empfänger werden also direkt erkannt.
Zum Schluss sendet zunächst der Client die Info, dass alle folgenden Meldungen symmetrisch via Sitzungsschlüssel verschlüsselt werden und der Handshake seitens Client abgeschlossen ist. Der Server sendet anschließend ebenfalls die Bestätigung, dass der Server von nun an auf den Sitzungsschlüssel zurückgreift und der Handshake abgeschlossen ist. Da der SSL-Handshake nun beendet ist, beginnt die eigentliche Sitzung, bei der beide Parteien sich die gewünschten Daten gegenseitig verschlüsselt zusenden können. Der Handshake kann jederzeit wiederholt werden, wenn die Verbindung neu aufgebaut werden soll.

Gerade Betreiber von Online-Shops kommen ohne ein SSL Zertifikat kaum noch aus. Mittlerweile werden Webseiten mit Bestellvorgang oder Kundenlogin, die nicht über ein SSL Zertifikat verfügen, von vielen Browsern als gefährlich eingestuft. Zudem ist ohne ein Zertifikat auch kein wirkliches Vertrauensverhältnis zwischen Kunde und Verkäufer gegeben. Da wir uns der Wichtigkeit der SSL Zertifikate bewusst sind, haben wir Tarife entworfen, bei denen das SSL Zertifikat bereits inklusive ist. Ab den Tarifen Webhosting Professional und SSD Webhosting Professional gibt es für unsere Kunden direkt ein SSL Zertifikat von AlphaSSL dazu. Auf unserer Webseite finden Sie zudem viele weitere SSL Zertifikate, die auch speziellen Anforderungen gerecht werden. Wer viel Wert auf hohe Sicherheit und vollstes Vertrauen der eigenen Kunden legt, der kann auch ein umfassendes EV Zertifikat erwerben. Diese „Extended Validation“ Zertifikate gehen mehr auf die Identitätsprüfung der Webseitenbetreiber ein und hinterlegt dessen Daten auch im Zertifikat selbst. Wie ein solches Zertifikat angezeigt wird, hängt natürlich immer vom Browser ab.
SSL-, beziehungsweise TLS-Verschlüsselung ist aus dem Internet nicht mehr wegzudenken. Um das Internet noch sicherer zu machen, haben es sich renommierte Unternehmen wie Google zum Ziel gemacht, SSL-Zertifikate komplett kostenlos anzubieten. Ob diese Zertifikate sich im Langzeitbetrieb beweisen können, muss sich noch zeigen. Durch den rasanten Fortschritt des Internets wird es aber sicherlich nicht mehr lange dauern, bis ein Großteil aller Webseiten mit einer SSL Verschlüsselung versorgt ist. Sofern Sie also eine professionelle, zukunftsorientierte Internetseite aufbauen möchten, ist SSL unverzichtbar.