SSL-Zertifikate: Bedeutung und deren Unterschiede

Björn Holeschak, Leiter Datenschutz EIKONA Systems GmbH
Grünes SSL-Zertifikat einer geöffneten Website

Weltweit nutzen über 3 Milliarden Menschen das Internet und täglich werden 2 Millionen Nutzer Opfer von Internet-angriffen durch fehlende Verschlüsselung. Da viele unserer täglichen Aktivitäten und Kommunikationen online ausgeführt werden, gibt es kaum einen Grund kein SSL-Zertifikat zu verwenden. SSL (Secure Socket Layer), was sich übersetzen lässt als „Sichere Verbindungsebene“, bietet einen sicheren Kanal zwischen zwei Maschinen oder Geräten, die über das Internet oder einem internen Netzwerk interagieren.


Sicherheit durch SSL-Verschlüsselung

In der heutigen internetfokussierten Welt wird das SSL-Protokoll typischerweise für die verschlüsselte Kommunikation zwischen Browser und Webserver eingesetzt. Hierbei stellt der Browser eine Verbindung zum Webserver her, prüft das hinterlegte SSL-Zertifikat und baut eine verschlüsselte Verbindung auf. Diese Verbindung erfolgt sofort und automatisch – als Nutzer der Website muss also nichts unternommen werden.

SSL erfüllt die folgenden Grundsätze der Informationssicherheit:

  • Verschlüsselung: Schutz von Datenübertragung
  • Authentifizierung: Versicherung, dass der verbundene Server der Richtige ist.
  • Datenintegrität: Versicherung, dass die angeforderten oder eingereichten Daten, die sind, die geliefert wurden

Verschiedene Sicherheitsindikatoren, wie das Schloss-Symbol im Browser oder das zusätzliche „s“ für „Secure“ in „https://“ weisen auf eine verschlüsselte Verbindung hin. So können, durch den Einsatz von SSL-Zertifikaten, Hacker die übermittelten Daten und Informationen nicht abfangen. Man sollte daher nie bedenkliche Informationen, wie Kreditkartendetails und Kontoanmeldungen auf einer unsicheren Website übermitteln. Im schlimmsten Fall können so Angreifer an diese sensiblen Daten gelangen.


Ist die SSL-Verschlüsselung Pflicht?

Die SSL-Verschlüsselung ist nicht für alle Website-Betreiber Pflicht. Seit der Einführung der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 ist sie jedoch für solche Websites verpflichtend, die mit Formularen oder über Onlineshops personenbezogene Daten abfragen.

In der DSGVO ist die Forderung zum sicheren, technischen Betrieb von Websites und den damit verbundenen Datenübertragungen in dem Artikel 5 Abs. 1 lit. f DSGVO begründet. Hier heißt es: „[…] in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust […]“. Dies bedeutet aber auch, dass das eingesetzte Zertifikat eine bestimmte Qualität aufweisen muss. Die Mindestforderungen hierzu hat das Bundesamt in der Informationstechnik (BSI) in seiner technischen Richtlinie BSI TR-03116 (Stand 10.01.2020) festgehalten.

Auch mit der noch kommenden E-Privacy-Verordnung wird hier eine weitere Rechtsnorm Richtungsgebend sein. Die E-Privacy-Verordnung wird sich um den Datenschutz in der Privatsphäre und explizit in der elektronischen Kommunikation befassen und ergänzend zur DSGVO weitere Forderungen an die verschlüsselte Kommunikation stellen.


Welche Unterschiede gibt es bei SSL-Zertifikaten?

Generell gibt es drei Varianten von Validierungstypen, welche unterschiedliche Standards erfüllen.

  • Domainvalidierte SSL-Zertifikate (DV) Bei SSL-Zertifikaten mit Domainvalidierung kommt Verschlüsselung mit ausschließlicher Authentifizierung der Domain zum Einsatz. Es wird überprüft, ob der Auftraggeber Nutzungsrechte für die Domain hat. Hierzu sendet ein E-Mail-Robot an eine WHOIS oder alternative administrative Adresse eine Nachricht, um die Bestellung des Zertifikates zu bestätigen.
  • Organisationsvalidierte SSL-Zertifikate (OV) Bei einer Identitätszertifizierung bzw. Organisationsvalidierung kommt eine vollständige Authentifizierung des Unternehmens zum Einsatz. Dabei wird die Identität des Unternehmens und die Domaininhaberschaft geprüft. Das SSL-Zertifikat bestätigt, dass sich der Domaininhaber gegenüber der Zertifizierungsstelle verifiziert hat. Der Identitätsnachweis erfolgt bei Unternehmen durch einen Handelsregisterauszug oder Gewerbeschein, während bei Privatpersonen der Personalausweis angefordert wird. Ein weiterer Sicherheitscheck erfolgt durch den Abgleich der Telefonnummer des Unternehmens sowie die telefonische Verifizierung.
  • Erweitert validierte SSL-Zertifikate (EV) Bei Extended Validation Zertifikaten kommt eine striktere Authentifizierung mit dem höchsten und aktuellsten, in der Branche verfügbaren, Sicherheitsstandard zum Einsatz. Diese unterscheiden sich primär durch eine grüne Adresszeile mit dem Namen des SSL-zertifizierten Unternehmens und der Zertifizierungsstelle. Bei diesen Zertifikaten wird eine höchstmögliche Browser Akzeptanz erzielt.

Welche SSL-Zertifikate gibt es?

Es wird zwischen Einzel-, Multidomain- und Wildcard-Zertifikaten unterschieden. Jedoch gibt es in punkto Sicherheit keine Unterschiede, da die Technologie der Verschlüsselung identisch ist.

  • Einzelzertifikate  werden verwendet, um eine einzelne Domain abzusichern. Dies kann der allgemeine Domainname, etwa www.beispieldomain.de, sein.
  • Multidomain-Zertifikate werden verwendet um verschiedene Domains, wie z. B. www.beispieldomain.de, beispiel.de und www.beispiel.de, mit nur einem Zertifikat absichern zu können. Diese bieten eine günstigere Alternative zum Kauf gegenüber mehreren Einzelzertifikaten.
  • Wildcard-Zertifikate schützen beliebig viele Subdomains einer bestimmten Domain, beispielsweise smtp.beispiel.de, mail.beispiel.de und sogar die Hauptdomain beispiel.de. Für Organisationen und Unternehmen zeigt sich das Wildcard SSL-Zertifikat als eine kostengünstige Möglichkeit, um einzelne Subdomains abzusichern. Bei Wildcard-Zertifikaten wird der allgemeine Name (CN) wie folgt angegeben: *.beispiel.de.

Björn Holeschak
Björn Holeschak
Teamlead Datenschutz

Mit seiner tiefgehenden Datenschutzexpertise stellt er sich jeden Tag aufs Neue den Herausforderungen des Datenschutzes. Er kennt die Gefahren und Stolpersteine ganz genau und berät seine Kunden praxisnah.


Einen Kommentar schreiben

Was ist die Summe aus 9 und 9?