Sichere Online Shops mit HTTPS

SSL: Unnötiger Hype oder echter Nutzen für Online-Shops?

Fast jedem Online-Shop Betreiber sind die drei Buchstaben SSL schon mal begegnet. Doch kaum einer weiss was sich dahinter verbirgt. Es hat mit «Sicherheit» zu tun. Doch was genau wird damit sicher(er) und welcher (kaufmännische) Nutzen ergibt sich daraus? Wir klären auf!

Was haben SSL und TLS gemeinsam?

SSL steht für «Secure Sockets Layer» und ist ein Netzwerkprotokoll zur sicheren Übertragung von Daten. Es wird dazu eingesetzt den Datenstrom der Internetseite, dem Server, und dem Endpunkt, dem Browser des Benutzers, zu verschlüsseln. Ziel ist es, dass nur der Server – auf dem der Shop läuft – und der Endanwender die ausgetauschten Daten «sehen».

Doch im Grunde ist es ein veraltetes Protokoll dessen letzte Version 3.0 war. Die Weiterentwicklung erfolgt unter dem neuen Begriff TLS (Transport Layer Security) und knüpft an das Prinzip von SSL an. Da SSL bei Anwendern bekannter ist, sie mehr damit anfangen können als mit TLS, bleiben wir auch bei dieser Bezeichnung.

Vergleichbar mit einer Postkarte

Um es technisch zu verstehen veranschauliche ich kurz, was ohne SSL passiert:
Ruft ein Anwender einen Internet-Shop auf überträgt der Server seine Daten zum Computer des Besuchers. Diese Daten wandern im Klartext durch viele Leitungen und unzählige Knotenpunkten, bis sie ihr Ziel erreichen. Umgekehrt ist es ebenso der Fall: Füllt der potenzielle Kunde ein Formular aus, sei es ein Kontaktformular oder eine Bezahlseite mit Kreditkartendaten, geschiegt das erst mal auf dem lokalen Computer. Drückt der Anwender dann senden oder sogar kaufen wandern die die Bestelldaten zum Shop-Server, ebenfalls im Klartext. Doch warum ist das schlimm?

Im Grunde ist erst Mal nichts dagegen einzuwenden – ausser, andere interessiert es welche Daten der Shop und der Kunde austauschen. An jedem der vielen Knotenpunkte ist es möglich den Datenstrom «mitzulesen». Ein Knotenpunkt ist ein Switch, ein Router oder ein anderes Gerät, das für den Weitertransport der Daten zuständig ist.
Die Enthüllung von Edward Snowden hat es ans Licht gebracht, dass nicht nur kriminelle, zum Beispiel Kreditkarten- und Bankdaten abgreifen wollen. Auch staatliche Stellen sind neugierig zu erfahren, wer welche (Surf-)Interessen hat.
Im Grunde lässt sich die ungesicherte Internet-Verbindung mit einer Postkarte vergleichen: Jeder kann mitlesen, was auf ihr steht.

Übermitteln Sie Kennwörter, persönliche und Kreditkarten- oder Bankdaten auf einer Postkarte an einen Händler und geben auf dem Weg eine Einzugsermächtigung für Ihr Konto?

Das Schloss, als Symbol der Sicherheit

Seit dem diese Ausspäh-Möglichkeiten in das Bewusstsein der Internet-Nutzer gelangte wollen sich viele Anwender, und täglich werden es mehr, vor diesem digitalen ausspionieren schützen. Werbe- und Aufklärungskampagnen haben Anwender sensibilisiert, gerade bei Shops, darauf zu achten, dass der Übertragungsweg verschlüsselt ist. Doch wie lässt sich das erkennen?

Jeder aktuelle Browser zeigt mittlerweile ein geschlossenes Schloss als Symbol in der Taskleiste an. Einige stellen es sogar grün dar um dem Nutzer zu assoziieren, dass alles in Ordnung ist.

SSL im Browser erkennen

Und darauf achten Internetbesucher verstärkt. Das Surfverhalten hat sich dahin geändert, dass Nutzer Shops verlassen oder den Bestellprozess nicht abschliessen, wenn die Grundsicherheit fehlt.
Möchten Sie zum Beispiel zu Marketing- oder Verkaufszwecken auch ein Siegel wie von Trusted Shops für Ihren Shop beantragen, so erhalten Sie dieses auch nur mit SSL-Verschlüsselung. Ansonsten ist der Shop nicht vertrauenswürdig!

Wer also seinen Online-Shop ohne SSL-Verschlüsselung betreibt geht nicht nur grob fahrlässig mit den ihm oder ihr anvertrauten (Kunden-)Daten um, sondern verliert auch potenzielle (Neu-)Kunden.

Googles Traum vom sicheren Internet

Doch nicht nur für Kunden ist der Schutz wichtig, auch Suchmaschinen – allen voran Google – haben sich zur Aufgabe gemacht «das Internet etwas sicherer» zu machen. Auch, wenn der Algorithmus zur Anzeige in Suchergebnissen das grosse Geheimnis ist, so ist klar: Google belohnt jede Webseite, ob Shop oder nicht, mit einem höheren Ranking sollte diese eine SSL-Verschlüsselung haben. Damit will der Suchmaschinen-Betreiber Unternehmen animieren deren Seite mittels SSL zu schützen.

SSL Openstream

Dieses Vorgehen haben mittlerweile fast alle Ranking-Tools aufgegriffen die Webseiten bewerten. Darunter zum Beispiel auch Antiviren Programme wie Kaspersky Internet Security, das die Sicherheit von Webseiten aufgrund eines Reputationswertes anzeigt und im Bedarfsfall darauf hinweist, dass der Besuch eines Shops vermeintlich unsicher ist.
In der Konsequenz zeigt Google den eigenen Shop, ohne SSL-Schutz, nicht nur in der Sucherergebnisliste später an. Es kann auch passieren, dass Sicherheitsprogramme den Nutzer vor dem Besuch der «vermeintlich unsicheren» Seite warnen. Und alles nur, weil SSL fehlt. Und damit besuchen potenzielle Online-Kunden gar nicht erst den Shop.

Hoher Nutzen für geringe Kosten

Somit ist es nicht nur aus technischer sondern vor allem kaufmännischer Sicht ein «muss» für Online-Shops den Datenweg zu schützen und damit den eigenen Kunden zu signalisieren, wie wichtig der Shopbetreiber die Sicherheit nimmt. Und das schöne ist, entgegen einer weitläufigen Meinung, dass die Umsetzung weder teuer noch aufwändig ist.
Sie benötigen dazu lediglich ein sogenanntes SSL-Zertifikat einer beliebigen Autorisierungsstelle. Sie ist dafür verantwortlich die Gültigkeit des Zertifikates zu bestätigen und aufrecht zu erhalten. Im Regelfall stellen diese Unternehmen ein solches Zertifikat gegen eine Jahresgebühr aus. Diese ist abhängig vom Grad der Verschlüsselung und von der Akzeptanz bei den Browsern.
Kommerziell einsetzbare Zertifikate gibt es schon ab 60 CHF im Jahr – also für fünf Franken im Monat.

Sprechen Sie uns gerne an! Wir beraten Sie unverbindlich bei der Umstellung Ihres Online-Shops auf das nächste Sicherheits-Niveau.

(Beitragsbild von hakandogu)

2 Kommentare zu «SSL: Unnötiger Hype oder echter Nutzen für Online-Shops?»

  1. Pingback: SWITCH Security Report – Openstream

  2. Pingback: 100 Millionen Let’s Encrypt Zertifikate – Openstream

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert