Anzeige
Anzeige
Digitale Gesellschaft
Artikel merken

Websites absichern: Stolperfalle Datenschutz

Wie sicher sind die Daten der Kunden? Welche gesetzlichen Vorgaben existieren zum Datenschutz? Wie lassen sich Daten wirkungsvoll vor dem Zugriff Unbefugter schützen? Drei drängende Frage zum Datenschutz, die nach etablierten Lösungen verlangen. Mit SSL-Zertifikaten zur verschlüsselten Datenübertragung, datenschutzkonformem Besucher-Tracking und Werkzeugen zur unknackbaren Passwort-Speicherung liegen drei Lösungsvorschläge für Website-Betreiber vor. Was fehlt, ist die Umsetzung.

7 Min. Lesezeit
Anzeige
Anzeige

Ohne wirksamen Datenschutz geht für Website-Betreiber heute nichts mehr. Und Datenschutz ist schon aus Gründen der Haftung, aber auch der Reputation zuliebe geboten. Aufgrund des breiten öffentlichen Diskurses, der über die Sicherheit persönlicher Daten im Internet geführt wird, sind Internet-Nutzer heute stärker für das Thema sensibilisiert als noch vor einigen Jahren. Dies bedingt wiederum gestiegene Anforderungen an Website-Betreiber. Denn die Nutzer setzen voraus, dass ihre persönlichen Daten effizient vor den Zugriffen unbefugter Dritter geschützt sind und werden.

Anzeige
Anzeige

Das fängt bereits beim Kontaktformular auf der eigenen Website an, zieht sich über Registrierungs- sowie Login-Formulare und – bei Vorhandensein eines Online-Shops – gar durch das gesamte Bestellverfahren. Eben überall dort, wo persönliche Daten zwischen dem Nutzer und dem Server ausgetauscht werden, sollten Website-Betreiber konsequent auf Verschlüsselung setzen. Ansonsten sind Daten schnell abgefangen, etwa über Man-in-the-middle-Angriffe (MitM).

Bei MitM-Attacken schaltet sich der Angreifer als „Mittelsmann“ unbemerkt in die Kommunikation zwischen Nutzer und Server ein. Er erlangt dadurch vollen Zugriff auf den Datenverkehr, der im Rahmen der Kommunikation ausgetauscht wird. Selbst wenn die Daten verschlüsselt übertragen werden, ist der Angreifer dazu in der Lage, sie sowohl auf dem Weg zum Server abzufangen, als auch umgekehrt eine Verbindung mit dem Nutzer aufzubauen und manipulierte Daten an diesen zu übermitteln.

Anzeige
Anzeige

SSL-Zertifikate

Mit dem SSL-Zertifikat steht Website-Betreibern ein wirksames und leicht zu integrierendes Werkzeug zur Verfügung, um durch Verschlüsselung ein Höchstmaß an zertifizierter Datensicherheit und damit Datenschutz zu gewährleisten und derartige Angriffe abzuwehren. Anders als ihr Name suggeriert, basieren SSL-Zertifikate heute aber nicht mehr auf dem Secure-Socket-Layer-Protokoll (SSL) sondern auf dem sogenannten Transport-Layer-Security-Protokoll (TLS), einem etwas fortgeschritteneren Verschlüsselungsprotokoll.

Anzeige
Anzeige
Website-Betreiber können verschiedene Maßnahmen ergreifen, um den Datenschutz auf der eigenen Website zu erhöhen.
Website-Betreiber können verschiedene Maßnahmen ergreifen, um den Datenschutz auf der eigenen Website zu erhöhen.

SSL-Zertifikate garantieren für die Kommunikation zwischen Nutzer (Client) und Server sowohl die Vertraulichkeit als auch die Integrität von Daten sowie die Authentizität der Kommunikationspartner. Der Webserver weist sich dafür beim Aufbau einer HTTPS-Verbindung gegenüber dem zugreifenden Browser des Nutzers mit einem SSL-Zertifikat aus. Dieses Zertifikat kann der Browser dann anhand einer Public Key Infrastructure (PKI) auf Gültigkeit überprüfen. Dazu verfügen Browser von Haus aus über Stammzertifikate bekannter Zertifizierungsstellen, so genannter Certificate Authorities (CA). Hierzu zählen unter anderen Comodo, GeoTrust, thawte, VeriSign/Symantec und GlobalSign.

Umgekehrt identifiziert sich übrigens auch der Browser des Nutzers mit seinem – quasi von Haus aus integrierten – Client-Zertifikat gegenüber dem Server. Dieser SSL-Handshake genannte Vorgang findet vor der Datenübertragung statt, diese erfolgt nach erfolgreichem Handshake in verschlüsselter Form.

Anzeige
Anzeige

Grundsätzlich erfolgt die Einbindung eines SSL-Zertifikats in die eigene Website direkt über den Webserver, und damit unabhängig von eventuell eingesetzten Content-Management-Systemen. Bei Provider-gehosteten Websites nimmt in der Regel der Provider nach erfolgreicher Bestellung und Erteilung des Zertifikats die Einrichtung auf dem Server vor. Wird die Website auf einem eigenen Webserver betrieben, ist es Aufgabe des Betreibers, das SSL-Zertifikat einzurichten.

Noch bevor das Zertifikat jedoch aktiv eingesetzt wird, sollten sich Website-Betreiber gut überlegen, welche Daten überhaupt verschlüsselte Übertragung benötigen. Schließlich brauchen verschlüsselte Daten länger in der Übertragung, da jede einzelne Aktion den erwähnten SSL-Handshake auslöst. Längere Ladezeiten trüben wiederum das Nutzungserlebnis, insbesondere in Zeiten mobilen Internets. Und auch auf die Suchmaschinen-Platzierung kann die „Komplett-Verschlüsselung“ Einfluss haben, zumal die
Ladegeschwindigkeit einer Website ein wichtiger
Ranking-Faktor ist.

Gesetzliche Bestimmungen zum Datenschutz sind bei der Wahl, welche Daten verschlüsselt übertragen werden sollten, eine gute Orientierungshilfe: Sie geben an, dass grundsätzlich alle personenbezogenen Daten besonders schutzbedürftig sind. Das ist zumindest bei Authentifizierungsprozessen, Zahlungs- sowie Registrierungsvorgängen und generell den Abfragen, bei denen Nutzer persönliche Informationen über sich preisgeben, der Fall.

Anzeige
Anzeige

Daten verschlüsseln

Doch mit der Verschlüsselung von Datenübertragungen ist dem Datenschutz noch längst nicht Genüge getan. Denn was bringt es, die Daten zwar bei der Kommunikation zwischen Nutzer und Server zu sichern, wenn sie bei letzterem nur unzureichend gegen Zugriffe durch unbefugte Dritte geschützt werden? Viele Website-Betreiber speichern die Daten und Passwörter ihrer Nutzer nämlich noch immer im Klartext in den Datenbanken. Das ist leichtfertig, da sich Angreifer lediglich Zugang zur Datenbank verschaffen müssen und so ohne Weiteres in den Besitz der erfassten persönlichen Informationen, der Account-Daten oder der Zahlungsinformationen gelangen.

Website-Betreiber sollten daher Nutzerdaten generell so speichern, dass sie für unbefugte Dritte möglichst unbrauchbar sind. Hierzu gilt es, auf kryptografische Hash-Funktionen zurückzugreifen, die etwa Passwörter mittels Message-Digest-5-Algorithmus (MD5) in einen 128-Bit-Hash-Wert umwandeln. Dabei handelt es sich um eine Zeichenkette, die keine Rückschlüsse mehr auf das ursprüngliche Passwort zulässt. Will sich der Nutzer nun mit seinem Passwort auf der Website einloggen, wird das von ihm eingegebene Passwort ebenfalls in einen Hash-Wert umgewandelt und dieser mit dem in der Datenbank hinterlegten Hash-Wert des gültigen Passwortes verglichen.

Doch damit nicht genug. Mittels im Internet verfügbarer Hash-Tabellen lassen sich den eigentlich verschlüsselten Hash-Werten wieder ihre ursprünglichen Passwörter zuordnen. Um dies zu verhindern, empfiehlt sich das sogenannte „Salzen“ („Salt“) der Hash-Werte. Das bedeutet, dass eine zufällig generierte Zeichenfolge an das Passworts vor der Hash-Umwandlung angehängt und dessen Länge somit verändert wird. Selbst wenn der Angreifer dann den Hash-Wert des Passworts kennt, kann er dieses ohne Kenntnis der Salt-Zeichenfolge nur schwer wiederherstellen.

Anzeige
Anzeige

Für noch mehr Sicherheit wird der Hash-Vorgang bei einem gesalzenen Passwort mehrfach ausgeführt, wobei der Website-Betreiber die Anzahl der Runden bestimmt. Dann benötigen selbst technologisch gut ausgestattete Angreifer im Zeitalter von Mehrkernrechnern und Cloud Computing Jahre, um eine Datenbank mit derart chiffrierten Passwörtern zu knacken.

Für viele beliebte Content-Management-Systeme stehen im Übrigen Zusatzfeatures und -module zur Verfügung, die diese Hashing- und Salt-Funktionen unterstützen. TYPO3 setzt bereits auf MD5-Hash-Werte, salzt aber nicht. Diese Aufgabe übernehmen Erweiterungen, die auf Frameworks wie „Bcrypt“ [1] und „phpass“ [2] zurückgreifen. Darauf setzen auch WordPress
und phpBB von Haus aus, Joomla unterstützt MD5-Hashing sowie Salting selbstständig, Drupal wird den Anforderungen ab Version 7 gerecht. Für ältere Versionen empfiehlt es sich,
auf das Drupal-Modul „Secure Password Hashes“ zurückzugreifen.

System Hashing Salting
Drupal ab Version 7 ab Version 7
Joomla MD5 selbstständig
phpBB MD5 Bcrypt/phpass
TYPO3 MD5
WordPress MD5 Bcrypt/phpass

Analyse- und Tracking-Tools

Eine weitere Stolperfalle für Website-Betreiber in Sachen Datenschutz sind Analyse- und Tracking-Tools. Häufig greifen Betreiber hierfür auf Dienste Dritter zurück, etwa Google Analytics. Solche Dienste legen meist Cookies auf dem Rechner des Nutzers ab, um dessen genaues Surf-Verhalten auf der eigenen Website erfassen und dann im Rahmen von Analysen und Reports abbilden zu können.

Anzeige
Anzeige
Website-Betreiber sollten Nutzerdaten generell so speichern, dass sie für unbefugte Dritte möglichst unbrauchbar sind.
Website-Betreiber sollten Nutzerdaten generell so speichern, dass sie für unbefugte Dritte möglichst unbrauchbar sind.

Neben Cookies werden häufig weitere Daten des Nutzers durch die Webanalyse-Dienste erfasst – darunter meist die IP-Adresse, das eingesetzte Betriebssystem oder die Bildschirmauflösung. Diese Daten speichern die Dienste für gewöhnlich (auch) auf ihren eigenen Servern, die nicht immer im eigenen Land, sondern im Falle von Google Analytics beispielsweise in den Vereinigten Staaten stehen und somit einer anderen Rechtsordnung unterliegen.

Da IP-Adressen mittlerweile zu den persönlichen, durch das Bundesdatenschutzgesetz geschützten Daten zählen, müssen Nutzer prinzipiell vor der Erhebung, Speicherung und Verarbeitung ihrer IP-Adresse um ihre Zustimmung gebeten werden. Doch das stellt sich in der Praxis als schwierig dar – die Zustimmung müsste vor Aufruf der Website mit dem Tracking-Code gegeben werden. Deshalb ist zumindest ein entsprechender Hinweis auf die genutzten Analysedienste und deren Ausgestaltung sowie Umgang mit nutzerbezogenen Daten im Rahmen einer Datenschutzerklärung zu veröffentlichen.

Google bietet Nutzern außerdem ein Browser-Add-on, mit dem sie die Erfassung durch Analytics unterbinden können. Darauf sollten Website-Betreiber, die sich für diesen Dienst entscheiden, aufmerksam machen. Google stellt Website-Betreibern außerdem spezielle Tracking-Codes zur Verfügung, deren Einsatz IP-Adressen durch Kürzung der letzten acht Bit anonymisiert übergibt. Die Cookie-Problematik löst letzteres allerdings nicht.

Anzeige
Anzeige
Das Open-Source-Analye-Werkzeug Piwik überlässt die Entscheidung, wieviele Byte der IP-Adresse anonymisiert werden, dem Administrator.
Das Open-Source-Analye-Werkzeug Piwik überlässt die Entscheidung, wieviele Byte der IP-Adresse anonymisiert werden, dem Administrator.

Es bietet sich daher an, von vornherein auf datenschutzkonforme Webanalyse-Lösungen zu setzen. Sie machen sich zur Identifizierung von Nutzern unter anderem die so genannte Pixel-Technologie zunutze. In den Quellcode der Website wird dabei ein einfacher HTML-Code eingebunden, der bei jedem Besuch nicht sichtbare, einen Pixel große Grafiken aufruft. Wie beim Abruf anderer Dateien erfasst der Server auch bei derart kleinen Grafiken technische Besucherinformationen – Betriebssystem, Browser-Version, Systemsprache, Anzahl und Art der installierten Browser-Add-ons und so fort. Beim Analyse-Anbieter angekommen werden diese Daten datenschutzkonform verarbeitet. Das Ergebnis ist ein Fingerabdruck, der sich aus den genannten, rein technischen Parametern zusammensetzt und den entsprechenden Nutzer damit identifizierbar macht. Der Einsatz von Cookies ist bei dieser Technologie nicht notwendig und entfällt komplett.

Fazit

Die Anforderungen, denen Website-Betreiber Rechnung tragen müssen, sind vielseitig und umfassend. Potenzielle Datenschutzrisiken tun sich in fast allen Bereichen des Online-Betriebs auf. Doch schon der Einsatz der richtigen Lösungen und der sorgfältige Umgang mit personenbezogenen Daten durch den Website-Betreiber selbst helfen, diesen Anforderungen zu entsprechen und damit das Vertrauen der Nutzer zu stärken.

Mit dem konsequenten Rückgriff auf SSL-Zertifikate zur Absicherung der Übertragungen von besonders sensiblen Daten, der unknackbaren Speicherung von wichtigen Zugangsdaten wie Passwörtern von Kunden in den Datenbanken und dem datenschutzkonformen Besucher-Tracking sind bereits wichtige erste Schritte zur Gewährleistung von Datensicherheit im Rahmen des eigenen Web-Auftritts getan. Die Nutzer werden es danken – vor allem dann, wenn Website-Betreiber die von ihnen ergriffenen Datenschutzmaßnahmen offen und ehrlich nach außen kommunizieren.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Schreib den ersten Kommentar!
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige