Ohne wirksamen Datenschutz geht für Website-Betreiber heute nichts mehr. Und Datenschutz ist schon aus Gründen der Haftung, aber auch der Reputation zuliebe geboten. Aufgrund des breiten öffentlichen Diskurses, der über die Sicherheit persönlicher Daten im Internet geführt wird, sind Internet-Nutzer heute stärker für das Thema sensibilisiert als noch vor einigen Jahren. Dies bedingt wiederum gestiegene Anforderungen an Website-Betreiber. Denn die Nutzer setzen voraus, dass ihre persönlichen Daten effizient vor den Zugriffen unbefugter Dritter geschützt sind und werden.

Das fängt bereits beim Kontaktformular auf der eigenen Website an, zieht sich über Registrierungs- sowie Login-Formulare und – bei Vorhandensein eines Online-Shops – gar durch das gesamte Bestellverfahren. Eben überall dort, wo persönliche Daten zwischen dem Nutzer und dem Server ausgetauscht werden, sollten Website-Betreiber konsequent auf Verschlüsselung setzen. Ansonsten sind Daten schnell abgefangen, etwa über Man-in-the-middle-Angriffe (MitM).

Bei MitM-Attacken schaltet sich der Angreifer als „Mittelsmann“ unbemerkt in die Kommunikation zwischen Nutzer und Server ein. Er erlangt dadurch vollen Zugriff auf den Datenverkehr, der im Rahmen der Kommunikation ausgetauscht wird. Selbst wenn die Daten verschlüsselt übertragen werden, ist der Angreifer dazu in der Lage, sie sowohl auf dem Weg zum Server abzufangen, als auch umgekehrt eine Verbindung mit dem Nutzer aufzubauen und manipulierte Daten an diesen zu übermitteln.

Mit dem SSL-Zertifikat steht Website-Betreibern ein wirksames und leicht zu integrierendes Werkzeug zur Verfügung, um durch Verschlüsselung ein Höchstmaß an zertifizierter Datensicherheit und damit Datenschutz zu gewährleisten und derartige Angriffe abzuwehren. Anders als ihr Name suggeriert, basieren SSL-Zertifikate heute aber nicht mehr auf dem Secure-Socket-Layer-Protokoll (SSL) sondern auf dem sogenannten Transport-Layer-Security-Protokoll (TLS), einem etwas fortgeschritteneren Verschlüsselungsprotokoll.

SSL-Zertifikate garantieren für die Kommunikation zwischen Nutzer (Client) und Server sowohl die Vertraulichkeit als auch die Integrität von Daten sowie die Authentizität der Kommunikationspartner. Der Webserver weist sich dafür beim Aufbau einer HTTPS-Verbindung gegenüber dem zugreifenden Browser des Nutzers mit einem SSL-Zertifikat aus. Dieses Zertifikat kann der Browser dann anhand einer Public Key Infrastructure (PKI) auf Gültigkeit überprüfen. Dazu verfügen Browser von Haus aus über Stammzertifikate bekannter Zertifizierungsstellen, so genannter Certificate Authorities (CA). Hierzu zählen unter anderen Comodo, GeoTrust, thawte, VeriSign/Symantec und GlobalSign.

Umgekehrt identifiziert sich übrigens auch der Browser des Nutzers mit seinem – quasi von Haus aus integrierten – Client-Zertifikat gegenüber dem Server. Dieser SSL-Handshake genannte Vorgang findet vor der Datenübertragung statt, diese erfolgt nach erfolgreichem Handshake in verschlüsselter Form.

Grundsätzlich erfolgt die Einbindung eines SSL-Zertifikats in die eigene Website direkt über den Webserver, und damit unabhängig von eventuell eingesetzten Content-Management-Systemen. Bei Provider-gehosteten Websites nimmt in der Regel der Provider nach erfolgreicher Bestellung und Erteilung des Zertifikats die Einrichtung auf dem Server vor. Wird die Website auf einem eigenen Webserver betrieben, ist es Aufgabe des Betreibers, das SSL-Zertifikat einzurichten.

Noch bevor das Zertifikat jedoch aktiv eingesetzt wird, sollten sich Website-Betreiber gut überlegen, welche Daten überhaupt verschlüsselte Übertragung benötigen. Schließlich brauchen verschlüsselte Daten länger in der Übertragung, da jede einzelne Aktion den erwähnten SSL-Handshake auslöst. Längere Ladezeiten trüben wiederum das Nutzungserlebnis, insbesondere in Zeiten mobilen Internets. Und auch auf die Suchmaschinen-Platzierung kann die „Komplett-Verschlüsselung“ Einfluss haben, zumal die
Ladegeschwindigkeit einer Website ein wichtiger
Ranking-Faktor ist.

Gesetzliche Bestimmungen zum Datenschutz sind bei der Wahl, welche Daten verschlüsselt übertragen werden sollten, eine gute Orientierungshilfe: Sie geben an, dass grundsätzlich alle personenbezogenen Daten besonders schutzbedürftig sind. Das ist zumindest bei Authentifizierungsprozessen, Zahlungs- sowie Registrierungsvorgängen und generell den Abfragen, bei denen Nutzer persönliche Informationen über sich preisgeben, der Fall.

Doch mit der Verschlüsselung von Datenübertragungen ist dem Datenschutz noch längst nicht Genüge getan. Denn was bringt es, die Daten zwar bei der Kommunikation zwischen Nutzer und Server zu sichern, wenn sie bei letzterem nur unzureichend gegen Zugriffe durch unbefugte Dritte geschützt werden? Viele Website-Betreiber speichern die Daten und Passwörter ihrer Nutzer nämlich noch immer im Klartext in den Datenbanken. Das ist leichtfertig, da sich Angreifer lediglich Zugang zur Datenbank verschaffen müssen und so ohne Weiteres in den Besitz der erfassten persönlichen Informationen, der Account-Daten oder der Zahlungsinformationen gelangen.

Website-Betreiber sollten daher Nutzerdaten generell so speichern, dass sie für unbefugte Dritte möglichst unbrauchbar sind. Hierzu gilt es, auf kryptografische Hash-Funktionen zurückzugreifen, die etwa Passwörter mittels Message-Digest-5-Algorithmus (MD5) in einen 128-Bit-Hash-Wert umwandeln. Dabei handelt es sich um eine Zeichenkette, die keine Rückschlüsse mehr auf das ursprüngliche Passwort zulässt. Will sich der Nutzer nun mit seinem Passwort auf der Website einloggen, wird das von ihm eingegebene Passwort ebenfalls in einen Hash-Wert umgewandelt und dieser mit dem in der Datenbank hinterlegten Hash-Wert des gültigen Passwortes verglichen.

Doch damit nicht genug. Mittels im Internet verfügbarer Hash-Tabellen lassen sich den eigentlich verschlüsselten Hash-Werten wieder ihre ursprünglichen Passwörter zuordnen. Um dies zu verhindern, empfiehlt sich das sogenannte „Salzen“ („Salt“) der Hash-Werte. Das bedeutet, dass eine zufällig generierte Zeichenfolge an das Passworts vor der Hash-Umwandlung angehängt und dessen Länge somit verändert wird. Selbst wenn der Angreifer dann den Hash-Wert des Passworts kennt, kann er dieses ohne Kenntnis der Salt-Zeichenfolge nur schwer wiederherstellen.

Für noch mehr Sicherheit wird der Hash-Vorgang bei einem gesalzenen Passwort mehrfach ausgeführt, wobei der Website-Betreiber die Anzahl der Runden bestimmt. Dann benötigen selbst technologisch gut ausgestattete Angreifer im Zeitalter von Mehrkernrechnern und Cloud Computing Jahre, um eine Datenbank mit derart chiffrierten Passwörtern zu knacken.

Für viele beliebte Content-Management-Systeme stehen im Übrigen Zusatzfeatures und -module zur Verfügung, die diese Hashing- und Salt-Funktionen unterstützen. TYPO3 setzt bereits auf MD5-Hash-Werte, salzt aber nicht. Diese Aufgabe übernehmen Erweiterungen, die auf Frameworks wie „Bcrypt“ [1] und „phpass“ [2] zurückgreifen. Darauf setzen auch WordPress
und phpBB von Haus aus, Joomla unterstützt MD5-Hashing sowie Salting selbstständig, Drupal wird den Anforderungen ab Version 7 gerecht. Für ältere Versionen empfiehlt es sich,
auf das Drupal-Modul „Secure Password Hashes“ zurückzugreifen.

System	Hashing	Salting
Drupal	ab Version 7	ab Version 7
Joomla	MD5	selbstständig
phpBB	MD5	Bcrypt/phpass
TYPO3	MD5	–
WordPress	MD5	Bcrypt/phpass

Eine weitere Stolperfalle für Website-Betreiber in Sachen Datenschutz sind Analyse- und Tracking-Tools. Häufig greifen Betreiber hierfür auf Dienste Dritter zurück, etwa Google Analytics. Solche Dienste legen meist Cookies auf dem Rechner des Nutzers ab, um dessen genaues Surf-Verhalten auf der eigenen Website erfassen und dann im Rahmen von Analysen und Reports abbilden zu können.

Neben Cookies werden häufig weitere Daten des Nutzers durch die Webanalyse-Dienste erfasst – darunter meist die IP-Adresse, das eingesetzte Betriebssystem oder die Bildschirmauflösung. Diese Daten speichern die Dienste für gewöhnlich (auch) auf ihren eigenen Servern, die nicht immer im eigenen Land, sondern im Falle von Google Analytics beispielsweise in den Vereinigten Staaten stehen und somit einer anderen Rechtsordnung unterliegen.

Da IP-Adressen mittlerweile zu den persönlichen, durch das Bundesdatenschutzgesetz geschützten Daten zählen, müssen Nutzer prinzipiell vor der Erhebung, Speicherung und Verarbeitung ihrer IP-Adresse um ihre Zustimmung gebeten werden. Doch das stellt sich in der Praxis als schwierig dar – die Zustimmung müsste vor Aufruf der Website mit dem Tracking-Code gegeben werden. Deshalb ist zumindest ein entsprechender Hinweis auf die genutzten Analysedienste und deren Ausgestaltung sowie Umgang mit nutzerbezogenen Daten im Rahmen einer Datenschutzerklärung zu veröffentlichen.

Google bietet Nutzern außerdem ein Browser-Add-on, mit dem sie die Erfassung durch Analytics unterbinden können. Darauf sollten Website-Betreiber, die sich für diesen Dienst entscheiden, aufmerksam machen. Google stellt Website-Betreibern außerdem spezielle Tracking-Codes zur Verfügung, deren Einsatz IP-Adressen durch Kürzung der letzten acht Bit anonymisiert übergibt. Die Cookie-Problematik löst letzteres allerdings nicht.

Es bietet sich daher an, von vornherein auf datenschutzkonforme Webanalyse-Lösungen zu setzen. Sie machen sich zur Identifizierung von Nutzern unter anderem die so genannte Pixel-Technologie zunutze. In den Quellcode der Website wird dabei ein einfacher HTML-Code eingebunden, der bei jedem Besuch nicht sichtbare, einen Pixel große Grafiken aufruft. Wie beim Abruf anderer Dateien erfasst der Server auch bei derart kleinen Grafiken technische Besucherinformationen – Betriebssystem, Browser-Version, Systemsprache, Anzahl und Art der installierten Browser-Add-ons und so fort. Beim Analyse-Anbieter angekommen werden diese Daten datenschutzkonform verarbeitet. Das Ergebnis ist ein Fingerabdruck, der sich aus den genannten, rein technischen Parametern zusammensetzt und den entsprechenden Nutzer damit identifizierbar macht. Der Einsatz von Cookies ist bei dieser Technologie nicht notwendig und entfällt komplett.

Die Anforderungen, denen Website-Betreiber Rechnung tragen müssen, sind vielseitig und umfassend. Potenzielle Datenschutzrisiken tun sich in fast allen Bereichen des Online-Betriebs auf. Doch schon der Einsatz der richtigen Lösungen und der sorgfältige Umgang mit personenbezogenen Daten durch den Website-Betreiber selbst helfen, diesen Anforderungen zu entsprechen und damit das Vertrauen der Nutzer zu stärken.

Mit dem konsequenten Rückgriff auf SSL-Zertifikate zur Absicherung der Übertragungen von besonders sensiblen Daten, der unknackbaren Speicherung von wichtigen Zugangsdaten wie Passwörtern von Kunden in den Datenbanken und dem datenschutzkonformen Besucher-Tracking sind bereits wichtige erste Schritte zur Gewährleistung von Datensicherheit im Rahmen des eigenen Web-Auftritts getan. Die Nutzer werden es danken – vor allem dann, wenn Website-Betreiber die von ihnen ergriffenen Datenschutzmaßnahmen offen und ehrlich nach außen kommunizieren.