Archiv der Kategorie: Blog

Wir haben etwas zu sagen

SSL-Verschlüsselungspflicht für Webseiten

Mit dem seit Juli 2015 gültigen Gesetz zur Erhöhung der Sicherheit  informationstechnischer Systeme (IT-Sicherheitsgesetz) leistet die Bundesregierung einen Beitrag dazu, die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen. Das Regelwerk zielt darauf ab, Bürgerinnen und Bürger im Internet besser zu schützen. 

In dem durch das IT-Sicherheitsgesetz modifizierten §13 TMG heißt es in einem neu eingefügten Abs. 7 ab sofort:

Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
  2. diese
    a) gegen Verletzungen des Schutzes personenbezogener Daten und
    b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
    gesichert sind.

Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“

Aus dieser gesetzlichen Anforderung ergibt sich, dass nicht nur Webseiten mit Kontaktformularen das Verschlüsselungsprotokoll verwenden müssen, sondern sämtliche geschäftsmäßig erbrachten Onlinedienste, über die Nutzer elektronisch personenbezogene Daten an den Dienstebetreiber übertragen. Dies kann neben Shops ebenso z.B. Blogs oder Jobportale etc. betreffen.

Ein Verstoß gegen § 13 Abs. 7 Satz 1 und Satz 2 Buchstabe a) TMG stellt gem. § 16 Abs. 2 Nr. 3 TMG eine Ordnungswidrigkeit dar, welche nach § 16 Abs. 3 TMG mit einer Geldbuße von bis zu 50.000,- EUR je Verstoß geahndet werden kann.

Eine Verschlüsselung mittels SSL-Zertifikat empfiehlt sich auch aus einem anderen Grund: Wie nun bekannt wurde, deklarieren Firefox und Google Chrome seit Januar 2017 Webseiten als unsicher, sofern auf der Seite Passwörter, Kreditkartendaten oder andere sensible Daten unverschlüsselt ohne SSL-Zertifikat übertragen werden.