DSGVO-konformer Betrieb einer Website ist eine komplexe Angelegenheit

[datensicherheit.de, 22.05.2023] „Eine Website DSGVO-konform zu betreiben ist eine komplexe Angelegenheit: Im Hintergrund werden zahlreiche Plugins, externe Ressourcen und andere Quellen geladen“, betont die PSW GROUP in ihrer aktuellen Stellungnahme. Website-Betreiber setzten sogenannte Cookies ein, um Tracking, Analysen und verschiedene Funktionen zu ermöglichen. Gleichzeitig gebe es aber auch immer mehr Verordnungen, Gesetze und Anforderungen an den Datenschutz, die erfüllt werden müssten. Immer wieder verschickten findige Rechtsanwälte Abmahnungen wegen nicht korrekter Einstellungen. „Ob berechtigt oder nicht: Für Website-Betreiber ist es allemal unnötig und nervig, sich damit auseinanderzusetzen – und häufig auch teuer.“

Foto: PSW GROUP

Patrycja Schrenk: DSGVO-Konformität einer Website einfach so nebenbei zu prüfen, ist kaum möglich!

Tools helfen Betreibern selbst zu testen, ob die eigene Website auch wirklich datenschutzkonform ist

Patrycja Schrenk, Geschäftsführerin der PSW GROUP, gibt zu bedenken: „Die DSGVO-Konformität einer Website einfach so nebenbei zu prüfen, ist kaum möglich. Der größte Aufwand liegt in der Identifizierung von Webseiten-Erweiterungen und Cookies.“ Auch die Information der Betroffenen sei ein weiterer Punkt, „der Hürden bereithält“. Denn zum Einen müsse der Grundsatz der Transparenz gewährleistet sein und eine einfache Sprache verwendet werden, zum Anderen müssten die rechtlichen Vorgaben erfüllt werden. Gerade letzteres führe dazu, dass Datenschutzerklärungen zu langen Rechtstexten mutierten und es für Laien schwierig werde, zu verstehen, worum es eigentlich geht.

Immerhin: Dank einiger Tools könne jeder Website-Betreiber selbst testen, ob die eigene Website auch wirklich datenschutzkonform ist: „Tatsächlich gibt es eine Unmenge an brauchbaren Tools zur Analyse. Mit ,Qualys’, den Entwicklertools im Browser und ,Cookiedatabase’ können wir jedoch drei Tools wirklich jedem ans Herz legen, da diese sich in unserem Alltag als Datenschützer bewährt haben.“

Qualys SSL-Labs misst Sicherheit einer SSL-verschlüsselten Website

„Qualys SSL-Labs“ misst demnach die Sicherheit einer SSL-verschlüsselten Website: Verschiedene Parameter – beispielsweise der Einsatz von „Perfect Forward Secrecy“ (PFS) – werden zur Bewertung herangezogen. „Konkret untersucht der kostenlose Online-Test die SSL-Zertifikatskette von Webseiten. Das Sicherheitsprotokoll SSL dient der Verschlüsselung sensibler Daten während einer Online-Übermittlung. Des Weiteren werden auch die Übertagungsprotokolle geprüft – je aktueller, je besser“, erläutert Schrenk. Für den Test werde einfach die Domain eingegeben, den Rest erledige das Tool. Ratings zwischen „A“ bis „F“ bewerteten die Website dann von „ausgezeichnet“ bis „extrem unsicher“.

Mit den sogenannten „Entwicklertools“ stehe gleich eine ganze Kollektion hilfreicher Werkzeuge bereit, die jeder Webbrowser kostenlos mitgeliefert bekomme. Sie erlaubten es, die gerade angezeigte Webseite zu analysieren und hinter die Kulissen zu schauen. „Hier erfahren Website-Betreibende zum Beispiel welche Cookies eingebunden und welche Dienste, zum Beispiel ,Google Fonts’ oder ,Google Analytics’, geladen werden, wie groß diese sind, welche Web Services im Hintergrund laufen und wo potenzielle Problemstellen und Risiken verborgen liegen.“

Entwicklertools zeigen an, welche Cookies auf der jeweiligen Website gesetzt sind

„Zu den Entwicklertools gelangt man über einen Rechtsklick an jeder beliebigen Stelle einer Website und anschließend mit einem Klick auf durchsuchen oder F12 auf der Tastatur. Die Entwicklertools zeigen nun unter anderem an, welche Cookies auf der jeweiligen Website gesetzt sind und ob sie aus einer externen Quelle stammen oder direkt von der Website eingebunden werden.“ Cookies aus externer Quelle seien in den meisten Fällen ein Problem und sollten nach Möglichkeit unterbunden werden, rät Schrenk. Dem gegenüber seien technisch notwendige Cookies all jene, „die keine Analyse- oder Marketing-Zwecke verfolgen, sondern notwendig für eine Funktion der Website sind“. Ein Cookie zum Speichern des Warenkorbes sei beispielsweise „technisch notwendig“, genauso wie auch das Cookie zum Speichern der Cookie-Banner-Einstellungen.

Natürlich sei es nicht allein damit getan, zu wissen, welche Cookies geladen werden. Doch es könne durchaus schwierig sein, die Art oder den Zweck eines Cookies zu ermitteln – „vor allem, wenn dessen Bezeichnung keinen Anhaltspunkt bietet und die angezeigte Domain mit der eigenen Website identisch ist“. Schrenk führt aus: „Aber auch dafür gibt es eine Lösung. Denn mit ,cookiedatabase.org’ gibt es eine sehr praktische Cookie-Datenbank, mit der sich die gängigsten Cookies identifizieren lassen.“ Die Suchfunktion des Dienstes liefere reichlich Informationen über Cookies, „unter anderem von welchem Dienst das Cookie stammt, zu welchem Zweck das Cookie verwendet wird, wie lange das Cookie gespeichert wird und welche Funktion das Cookie hat“.

Datenschutzerklärung für die Website zwingend erforderlich!

„Ein wichtiger Baustein einer jeden datenschutzkonformen Website ist die Datenschutzerklärung selbst.“ Diese müsse Besucher einer Website über jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten aufklären – etwa über die Verarbeitung der IP-Adresse, von Browser-Daten, Cookies, Webanalyse-Tools wie „Google Analytics“ sowie Social-Media-Plugins. „Die Datenschutzerklärung muss nicht nur darüber informieren, welche Daten erhoben werden, sondern auch was mit ihnen passiert, warum diese Daten erhoben werden und ob Daten an Dritte weitergegeben werden“, informiert Schrenk und betont: „Die Datenschutzerklärung muss eindeutig als solche gekennzeichnet sein. Daher ist es nicht ausreichend, sie innerhalb des Impressums unterzubringen. Datenschutzerklärung und Impressum sind klar voneinander zu trennen.“

Diese Angaben sind laut Schrenk zwingend erforderlich:

• Name und Kontaktdaten des/der Verantwortlichen
• Zweck und Rechtsgrundlage der Datenverarbeitungen: „Was wird auf der Website gemacht, welche Tools werden dazu eingesetzt und welche Legitimation hab der Betreibende dafür? Falls die Rechtsgrundlage Artikel 6, Absatz 1 der DSGVO ist, muss das berechtigte Interessen des oder der Verantwortlichen oder Dritter beschrieben werden.“
• Aufklärung über Rechte der Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragung)
• Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde
• Speicherdauer der Daten
• Sofern vorhanden: Kontaktdaten des Datenschutzbeauftragten

Weitere Informationen zum Thema:

PSW GROUP CONSULTING – BLOG, 30.04.2023
How to… check your website? Kostenlose Tools zum Website-Check / Worauf sollte man achten?

Laut Prof. Ulrich Kelber, dem BfDI, soll das Informationsangebot zugänglich für alle sein

[datensicherheit.de, 09.06.2021] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat nach eigenen Angaben seine Homepage vollständig überarbeitet: „Die Artikel wurden so umgeschrieben, dass ganz verschiedene Zielgruppen angesprochen werden.“ Durch das neue Design sollen demnach Bürger einen besseren Zugriff auf die verfügbaren Informationen bekommen. Zusätzlich sei ein neues Datenschutzforum aktiviert worden. Prof. Ulrich Kelber, der BfDI, erläutert: „Unser Informationsangebot soll insbesondere eines sein: Zugänglich für alle. Dafür haben wir Hunderte Artikel überarbeitet, neu geordnet und ausgemistet. Es ist mir persönlich wichtig, dass alle, die auf unserer Homepage nach Informationen suchen, sie leicht finden können. Auch das gehört zur Transparenz.“

Abbildung: Screenshot BfDI-Homepage

BfDI-Homepage mit neuem Design

Im BfDI-Datenschutzforum Hinweise und Tipps für die Praxis miteinander austauschen

Neben den Informationen sollten Bürger sowie Journalisten schneller den richtigen Kontaktweg oder einen Ansprechpartner finden können. Für behördliche und betriebliche Datenschutzbeauftragte sowie weitere Experten werde außerdem das Datenschutzforum wieder aktiviert:
„Es ist mir eine besondere Freude, dass wir endlich wieder einen Raum haben, in dem diejenigen diskutieren können, die das Thema Datenschutz jeden Tag mit Leben füllen“, so Kelber. Noch viel wichtiger sei es, dass im Datenschutzforum die Nutzer Hinweise und Tipps für die Praxis miteinander austauschen könnten.

Website stellt Nutzern wie gewohnt Dokumente des BfDI, der DSK, des EDSA u.a. zu Verfügung

Alle Informationen seien nunmehr mit wenigen Klicks erreichbar. Die BfDI-Website stelle den Nutzern dabei wie gewohnt Dokumente des BfDI, der DSK, des EDSA und weiterer Gremien zu Verfügung. Darüber hinaus werde mit diesem Relaunch ein „Kontaktfinder“ eingeführt.
Mit diesem „Tool“ werde auf Grundlage einiger Fragen an den Nutzer die zuständige Stelle für ein datenschutzrechtliches Problem ermittelt. Die Homepage des BfDI bleibe weiterhin über die bisherige URL erreichbar.

Weitere Informationen zum Thema:

datensicherheit.de, 25.05.2021
Bundesfernstraßenmautgesetz: BfDI kritisiert Änderungen

BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Homepage

BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
BfDI-Datenschutzforum

[datensicherheit.de, 08.02.2021] In seiner aktuellen Meldung geht der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) auf die „auch über die Landesgrenzen von Rheinland-Pfalz hinaus beispielgebende Kooperation des Landesdatenschutzbeauftragen mit der rheinland-pfälzischen Kassenärztlichen Vereinigung, der Landespsychotherapeutenkammer und der Landesärztekammer“ ein. Laut LfDI RLP werden sie im Jahr 2021 ihre Unterstützungsangebote ausbauen. Auf der Website dieser Initiative seien weitere Inhalte aufgenommen und vorhandene Beiträge aktualisiert worden.

Praxisinhaber auf datenschutzrechtliche Bezüge des Digitalisierungsprozesses aufmerksam machen

Insbesondere der neu eingerichtete Themenblock zur Digitalisierung des Gesundheitswesens solle dazu beitragen, Praxisinhaber auf die datenschutzrechtlichen Bezüge des Digitalisierungsprozesses aufmerksam zu machen und neben allgemeinen Informationsmöglichkeiten auch die daraus resultierenden praxisbezogenen Auswirkungen darzustellen.
Der LfDI RLP, Prof. Dieter Kugelmann, führt aus: „Die langjährige Zusammenarbeit zwischen staatlicher Datenschutzaufsicht, einzelnen Heilberufskammern und der Kassenärztlichen Vereinigung ist ohne Übertreibung eine rheinland-pfälzische Erfolgsgeschichte. Mit der Initiative ist es uns gelungen, die Umsetzung des Datenschutzes im Bereich der niedergelassenen Ärzte und Psychotherapeuten auf die praktischen Anforderungen anzupassen.“
Damit sei im sensiblen Gesundheitsbereich die „Akzeptanz für den Datenschutz bei den Praxisinhaberinnen und Praxisinhabern deutlich erhöht werden“.

Interdisziplinäres Zusammenwirken der Einhaltung des Datenschutzes in Praxen

Professor Kugelmann zeigt sich „sehr dankbar für die nun auf der Website der Initiative veröffentlichten neuen Inhalte. Denn gerade im gegenwärtigen Digitalen Transformationsprozess ist ein aktives, interdisziplinäres Zusammenwirken aller übergeordnet tätigen Akteure zugunsten der für die Einhaltung des Datenschutzes verantwortlichen Praxen mehr denn je erforderlich“.
Peter Andreas Staub, Vorstandsmitglied der KV RLP, betont: Auch der KV RLP sei es „sehr wichtig, mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, der Landespsychotherapeutenkammer und der Landesärztekammer diese langjährige, sehr gute und konstruktive Zusammenarbeit weiter auszubauen“. Insbesondere aufgrund des fortschreitenden Digitalisierungsprozesses und der aktuellen IT-Sicherheitsrichtlinie nach § 75b SGB V ergäben sich für Ärzte- und Psychotherapeuten immer mehr Fragen, für deren Beantwortung die gemeinsame Website eine immense Hilfestellung biete.
Neben der neu eingerichteten Rubrik „Digitalisierung im Gesundheitswesen“ seien, unter anderem Beiträge zu den digitalen Gesundheitsanwendungen, der Elektronischen Patientenakte und Videokonferenzsystemen enthalten. Zudem würden Informationen zum Datenaustausch mit Polizeibehörden, Staatsanwaltschaften, Gerichten und dem MDK sowie bei vermuteter Kindeswohlgefährdung bereitgestellt.

Weitere Informationen zum Thema:

datensicherheit.de, 17.12.2020
Rheinland-Pfalz: LfDI nutzt Medienmix zur Bürgerinformation

Mit Sicherheit gut behandelt.
Startseite

PSW GROUP geht von höherem Aufwand für alle Website-Betreiber aus

[datensicherheit.de, 04.04.2020] Die Diskussionen um die optimale Gültigkeitsdauer von SSL-Zertifikaten gehen in die nächste Runde. „Kürzlich hat Apple seine Position zu den 1-Jahres-Zertifikaten deutlich gemacht. Am 19. Februar kündigte das Unternehmen an, ab dem 01. September 2020 ausschließlich SSL-Zertifikate mit einer Gültigkeitsdauer von maximal 398 Tagen zu akzeptieren“, informiert Patrycja Tulinska, Geschäftsführerin der PSW GROUP. Als Hauptgrund gab Apple den verbesserten Schutz der Internet-User an. „Apple erhofft sich, Webseiteninhaber zu einer häufigeren Validierung zu zwingen und damit die Anzahl von Fake-Seiten zu vermindern“, bringt es Tulinska auf den Punkt.

Es ist zu erwarten, dass es einige Browser Apple gleichtun werden

Für Website-Betreiber heißt es nun konkret: Der Apple-eigene Browser Safari akzeptiert bei ab dem 01. September 2020 ausgestellten Zertifikaten nur noch eine Maximal-Laufzeit von 398 Tagen. „Wer noch vor diesem Stichtag ein Zertifikat mit längerer Gültigkeitsdauer erworben hat, muss sich keine Gedanken machen. Dieses wird bis zum Laufzeit-Ende korrekt in Safari angezeigt. Ab 1. September sollten dann aber nur 1-Jahres Zertifikate erworben und verwendet werden, damit die eigene Webseite in allen Browsern optimal dargestellt wird“, so Tulinska über die Folgen. Weiterhin ist zu erwarten, dass es einige Browser Apple gleichtun werden. Vor allem Google hatte die Initiative der 1-Jahres-Zertifikate bereits selbst unterstützt und wird vermutlich ähnliche Änderungen vornehmen.

Patrycja Tulinska, Geschäftsführerin der PSW GROUP

„In Zeiten der immer kürzer werdenden Laufzeiten wird ein optimaler Kundenservice und die Vereinfachung der Zertifikatsverwaltung immer bedeutender werden. Wir bieten beispielsweise bereits heute unseren Kunden ein System für die eigene Zertifikatsverwaltung – die PSW Konsole – an, um Bestellungen so einfach wie möglich zu machen“, so Patrycja Tulinska. Die PSW GROUP sieht diese neuerliche Branchen-Änderung zudem als Anlass, den Bestellprozess weiterhin maximal zu optimieren und arbeitet bereits an Möglichkeiten, ihren Kunden die zusätzlichen Aufwände, die aus den Änderungen der Zertifikatsverwaltung und Gültigkeitsdauer resultieren, abzunehmen.

Erlaubte Gültigkeit von SSL-Zertifikaten hat sich in den letzen Jahren immer wieder geändert

Bereits in den vergangenen Jahren hat sich die erlaubte Gültigkeit von SSL-Zertifikaten immer wieder geändert. So dürfen auf Beschluss des CA/Browser Forums, seit März 2018 SSL-Zertifikate nur noch eine maximale Gültigkeit von 2 Jahren besitzen. Im August letzten Jahres hatte Google den Vorschlag einer weiteren Verkürzung der Gültigkeitsdauer auf nur 1 Jahr eingereicht. Dies lehnte die Mehrheit des CA/Browser Forums jedoch ab. Die Gründe gegen eine weitere Verkürzung liegen auf der Hand: Mit dem Erwerb von SSL-Zertifikaten mit einer längeren Gültigkeitsdauer ist natürlich verminderter Aufwand verbunden. Bei Verkürzung der Gültigkeitsdauer von SSL-Zertifikaten muss mehr Kosten und Mühen in die korrekte Einbindung eines Zertifikats gesteckt werden.

Weitere Informationen zum Thema:

PSW Group
Apple senkt Gültigkeitsdauer von SSL-Zertifikaten

datensicherheit.de, 19.02.2020
Maschinenidentitäten: Drei Tipps und Tricks zur Erneuerung, Neuausstellung und Widerrufung

datensicherheit.de, 24.07.2019
Neuer BSI Community Draft fordert EV-SSL-Zertifikate

datensicherheit.de, 13.04.2016
Integration von SSL-Zertifikaten wird künftig zur Pflicht

[datensicherheit.de, 20.07.2018] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) hat am 20. Juli 2018 gemeldet, dass die neue Website der Datenschutzkonferenz (DSK) online gestellt wurde. Die DSK besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder – ihre Aufgabe ist es, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.

Aktuelle Entschließungen, Orientierungshilfen und Kurzpapiere der DSK

Die DSK-Website „datenschutzkonferenz-online.de“ ist seit dem 19. Juli 2018 online – somit ist die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder mit einer eigenen Präsentation im Internet vertreten.
Auf dieser zentralen Informationsplattform sollen aktuelle Entschließungen, Orientierungshilfen und Kurzpapiere der DSK abrufbar sein, des Weiteren Verweise zu den Datenschutzgesetzen des Bundes und der Länder sowie deren Internet-Angeboten. Neue Inhalte könnten über einen RSS-Feed bezogen werden.

Zentraler Zugang zu datenschutzrelevanten Informationen

„Die Umsetzung der Datenschutz-Grundverordnung führt erkennbar zu einer Vielzahl von Auslegungsfragen“, so der LfDI RLP Prof. Dr. Dieter Kugelmann.
Um der von der Grundverordnung vorgesehenen einheitlichen Anwendung Rechnung zu tragen und den Verantwortlichen Handlungssicherheit zu geben, sei es unverzichtbar, die Positionen der deutschen Aufsichtsbehörden sowie die Entscheidungen des Europäischen Datenschutzausschusses zu kommunizieren. Die DSK-Website ergänze insoweit die vorhandenen Informations-Angebote der Datenschutzaufsichtsbehörden und schaffe einen zentralen Zugang zu datenschutzrelevanten Informationen.

Weitere Informationen zum Thema:

DSK
Datenschutzkonferenz

datensicherheit.de, 26.05.2018
Datenschutz-Grundverordnung seit 25. Mai 2018 geltendes Recht

datensicherheit.de, 29.01.2018
Dieter Kugelmann: Plädoyer für Souveränität in der digitalen Welt

datensicherheit.de, 02.05.2017
Dieter Kugelmann kritisiert sicherheits- und datenschutzrechtlichen Rundumschlag mit Folgen

[datensicherheit.de, 23.04.2018] Laut einer aktuellen Meldung des Verbraucherzentrale Bundesverbands (vzbv) darf ein Reiservermittler seine Haftung für eine falsche oder irreführende Beschreibung der Reiseleistungen auf seiner Website nicht generell ausschließen. In diesem Sinne hat demnach das Oberlandesgericht (OLG) München nach einer vzbv-Klage gegen die Betreibergesellschaft eines Reiseportals entschieden.

Nicht immer nur der Reiseveranstalter verantwortlich

„Das Gericht hat klargestellt, dass sich Vermittler nicht völlig von der Haftung für falsche Angaben freizeichnen können“, erläutert Kerstin Hoppe, Rechtsreferentin beim vzbv. „Wenn der Vermittler zum Beispiel aufgrund von Kundenbeschwerden weiß, dass die Hotelbeschreibung des Reiseveranstalters nicht stimmt, muss er die Angaben korrigieren“, so Hoppe. Er könne sich nicht darauf berufen, dass immer nur der Reiseveranstalter verantwortlich sei.
Die Betreibergesellschaft habe in ihren Geschäftsbedingungen unter der Überschrift „Haftungsbeschränkungen“ darauf verwiesen, dass die Angaben zu den vermittelten Reiseleistungen ausschließlich auf Informationen der Leistungsträger beruhten und keine eigenen Zusagen des Vermittlers gegenüber dem Reiseteilnehmer darstellten.
Diese Klausel sei nach Auffassung des OLG München so auszulegen, dass Kunden gegen den Vermittler dann keinerlei Schadenersatzansprüche wegen unrichtiger Angaben zu den vermittelten Reisen geltend machen könnten. Ein solch genereller Haftungsausschluss aber sei mit wesentlichen Grundgedanken der gesetzlichen Regelung nicht vereinbar.

Reiseangaben: Vermittler ist mitverantwortlich

Die Richter hätten klargestellt, dass es sich bei der Vermittlung von Reisen rechtlich um eine Geschäftsbesorgung handele, die vom Vermittler die Einhaltung von Sorgfaltspflichten erfordere. Davon könne er sich nicht mit einer Klausel in den Geschäftsbedingungen befreien.
Hat er falsche Angaben auf seiner Website verschuldet, müsse er dem Kunden den dadurch entstandenen Schaden ersetzen. Das sei der Fall, wenn er Angaben eines Reiseveranstalters falsch darstellt oder Informationen wiedergibt, von denen er weiß, dass sie unrichtig sind.
Der vzbv begrüßt das Urteil: „Vermittlungsportale sind nur dann für die Suche und den Vergleich von Reiseangeboten nützlich, wenn sich Verbraucher auf die Angaben etwa zu Hotels, Kosten und Abflugterminen verlassen können“, betont Hoppe. „Das Gericht hat deutlich gemacht, dass Vermittler dafür eine Mitverantwortung tragen.“

Weitere Informationen zum Thema:

verbraucherzentrale Bundesverband, 13.04.2018
Reiseportal haftet für falsche Angaben

[datensicherheit.de, 20.03.2017] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach eigenen Angaben aktualisierte Versionen der Technischen Richtlinien der Serie „TR-02102“ in deutscher und englischer Sprache auf der BSI-Website veröffentlicht. Wesentliche Änderung in der neuen Version ist demnach die Ankündigung der Erhöhung des Sicherheitsniveaus auf 120 Bit ab dem Jahr 2023.

Prognosezeitraum von sieben Jahren

Die vierteilige Richtlinie enthält laut BSI allgemeine Empfehlungen zur Verwendung und Auswahl von kryptographischen Verfahren, Algorithmen und Schlüssellängen sowie konkrete Empfehlungen zum sicheren Einsatz der kryptographischen Protokolle „TLS“, „IPsec“ und „SSH“.
In den aktualisierten Richtlinien werden vom BSI geeignete kryptographische Verfahren für einen Prognosezeitraum von sieben Jahren empfohlen. Die sogenannten Technischen Richtlinien richten sich insbesondere an Entwickler kryptographischer Systeme, Systemverwalter sowie an Personen, die die Einführung neuer kryptographischer Infrastrukturen planen.

Deutschland „Verschlüsselungsstandort Nr. 1“

„Die Entwicklung und Anwendung vertrauenswürdiger Kryptotechnologien sind von entscheidender Bedeutung, um die aus der kritischen Gefährdungslage resultierenden Risiken zu minimieren“, betont BSI-Präsident Arne Schönbohm. Der durchgehende Einsatz sicherer Kryptographie müsse daher in Deutschland zum Normalfall werden.
Die von der Bundesregierung beschlossene „Digitale Agenda“ gebe das Ziel aus, Deutschland zum „Verschlüsselungsstandort Nr. 1“ zu machen, zum Schutz der Bürger, der Wirtschaft und der Verwaltung. „Als nationale Cyber-Sicherheitsbehörde treiben wir daher uneingeschränkt den Einsatz von Verschlüsselungslösungen voran und rufen Anwender in Staat, Wirtschaft und Gesellschaft auf, zum Schutz der Privatsphäre und zum Schutz relevanter Informationen Verschlüsselung einzusetzen“, so Schönbohm.

Erhöhung des Sicherheitsniveaus

Wesentliche Änderung der neuen Version, die alle vier Teile der Serie „TR-02102“ betrifft, ist laut BSI die Ankündigung der Erhöhung des Sicherheitsniveaus auf 120 Bit ab dem Jahr 2023. Auf dieser Basis habe das BSI auch seine Empfehlungen für die Bitlängen aller empfohlenen Verfahren angepasst – dazu gehören unter anderem „RSA“, „Diffie-Hellman“ sowie Verfahren, die auf dem „Diskreten-Logarithmus-Problem“ und elliptischen Kurven basieren.
Zudem habe das BSI den Abschnitt der Zufallszahlenerzeugung unter „Windows“ in Teil 1 der „Technischen Richtlinie“ grundlegend überarbeitet.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Publikationen / BSI TR-02102 Kryptographische Verfahren: Empfehlungen und Schlüssellängen

datensicherheit.de, 20.09.2016
photokina 2016: BSI informiert über Sicherheitsmaßnahmen für Kameras

datensicherheit.de, 01.03.2017
Kooperation: BSI und Verbraucherzentrale NRW haben Vereinbarung unterzeichnet

[datensicherheit.de, 13.04.2016] Online-Händler, deren Webformulare Daten unverschlüsselt übertragen, sollen künftig nicht mehr nur von Datenschutzbehörden angemahnt werden – auch Google plant, bald alle Webseiten ohne SSL-Verschlüsselung mit einem roten X zu markieren, meldet die PSW GROUP.

Das Internet sicherer machen

Offenbar sei das nun Googles nächster Schritt, um das Internet sicherer zu machen, nachdem schon seit 2014 HTTPS ein Ranking-Signal sei. Bereits seit Sommer jenen Jahres listet Google demnach mit HTTPS verschlüsselte Webseiten in den Suchergebnissen besser.
Nahezu jede Website enthält heutzutage die Möglichkeit, sensible Daten einzugeben – Kontaktformulare, Bestellformulare für Webshops oder Kommentarfunktionen, zu deren Nutzung Kunden mindestens ihren Namen und ihre E-Mail-Adresse angeben müssen. Um den Austausch sensibler Daten abzusichern, gibt es SSL/TLS-Zertifikate, deren Aufgabe es ist, die Kommunikation zwischen Server und Client zu verschlüsseln. Somit sei es unbefugten Dritten nicht mehr möglich, die Daten mitzulesen, erklärt Christian Heutger, Geschäftsführer der PSW GROUP.

OpenSSL als kostenloses Toolkit für einfache Zertifikatserstellung

Um ein SSL/TLS-Zertifikat zu erstellen, rät Heutger zur Installation eines Toolkits, mit dem sich die SSL/TLS-Zertifikate auch verwalten lassen. „OpenSSL“ gehöre hierbei zu den am meisten verbreiteten Lösungen. Bevor das eigentliche SSL-Zertifikat erstellt werden könne, müsse jedoch zunächst ein „Certificate Signing Request“ (CSR) angelegt werden. Die CSR werde für die Bestellung des eigentlichen SSL/TLS-Zertifikats bei einer Zertifizierungsstelle benötigt. Im CSR seien Informationen über den Antragsteller und der zu verschlüsselnden Domain gespeichert, außerdem finde sich dort der öffentliche Schlüssel für die Verschlüsselung von Daten, so Heutger.

Private Key muss zwingend privat und geheim bleiben

Auf dem Server erzeuge der Anwender sodann ein aus dem privaten Schlüssel und der CSR selbst bestehendes Schlüsselpaar. Da das SSL/TLS-Zertifikat ausschließlich mit der angegebenen Domain genutzt werden kann, empfiehlt Heutger diese so exakt wie möglich, beispielsweise als „www.example.com“ und nicht verkürzt als „example.com“, im CSR anzugeben.
Der private Schlüssel dürfe unter keinen Umständen veröffentlicht oder Dritten anvertraut werden. Er sei untrennbar mit dem SSL/TLS-Zertifikat verbunden und diene der Entschlüsselung der Daten. Auf dem Server werde der Zugriff auf den „Private Key“ übrigens über Dateizugriffsrechte geschützt. Heutger rät jedoch zusätzlich zu einer Sicherheitskopie der .key-Datei, die ebenfalls vor unbefugtem Zugriff geschützt werden sollte.

Browser-Kompatibilität beachten

Aufgrund von Schwierigkeiten mit Browser-Kompatibilitäten betrachtet der Experte die Möglichkeit, ein eigenes SSL-Zertifikat zu erstellen, als kritisch. SSL/TLS-Zertifikate sollten so ausgestellt werden, dass auch ältere „Internet Explorer“-Versionen sowie sämtliche mobilen Browser und selbst Exoten wie „Opera Mobile“ einbezogen würden. Hinzu komme, dass mit selbst erstellten Zertifikaten die Identitätsprüfung der Zertifizierungsstellen wegfalle, so dass ein wertvoller Zweck des Zertifikats, nämlich die Authentifizierung, verlorengehe, erläutert Heutger.
SSL/TLS-Zertifikate seien bereits ab 15 Euro jährlich erhältlich. Hierbei handele es sich um domainvalidierte Zertifikate, bei denen eine Zertifizierungsstelle prüfe, ob der Antragsteller der Domaininhaber ist. Die für den Verbraucher Vertrauen spendenden Zeichen im Browser seien kaum sichtbar, für private Websites wie Blogs sei das aber völlig in Ordnung.
Betreibern kommerzieller Blogs und geschäftlicher Websites rät er dagegen zu organisationsvalidierten SSL/TLS-Zertifikaten, bei denen die Prüfung über die Inhaberschaft der Domain hinaus geht.
Idealerweise sollten aber EV-Zertifikate („Extended Validation“) verwendet werden. Die Prüfung durch die Zertifizierungsstelle bedinge auch Dokumente, die das Vorhandensein der Organisation belegten, etwa einen Handelsregisterauszug. Auch die Darstellung im Browser werde umfangreicher – EV-Zertifikate ließen die Adressleiste in Browsern grün werden, wodurch der Datenschutzgedanke für Benutzer sofort sichtbar und die Identität mit einem Klick auf die Adressleiste nachvollziehbar werde, betont Heutger.

Weitere Informationen zum Thema:

PSW GROUP, 22.03.2016
Verschlüsselung / SSL/TLS-Zertifikat erstellen

[datensicherheit.de, 08.04.2016] Am 6. April 2016 wurde die neue Website des „Virtuellen Datenschutzbüros“ freigeschaltet. Es handelt sich dabei um ein Informationsangebot der öffentlichen Datenschutzinstanzen, die dort als Projektpartner ihre Inhalte erschließbar machen. Allen deutschsprachigen IKT-Anwendern soll es als zentraler Einstiegspunkt für Informationen zum Thema Datenschutz dienen.

Modifiziertes Angebot für die deutschsprachige Welt

Die neue Website zeichne sich nicht nur durch eine umfassend überarbeitete, frische und nutzungsfreundlichere Gestaltung aus, sondern auch durch grundlegende konzeptionelle Neuerungen, die das Angebot auf leicht verständliche Informationen zum Datenschutz konzentrierten. Weiterhin ergänzten die aktuellen Nachrichten („News“) zum Datenschutz das Angebot, welche sich immer einen großen Nachfrage erfreuten.

Eigene Suchmaschine suche.datenschutz.de als Neuerung

Nach Angaben des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD S-H) gehört zu den konzeptionellen Neuerungen vor allem die Deaktivierung des Schlagwort- und des Artikelbereiches.
Anstelle dieses Katalogs soll dem Nutzer nunmehr eine eigene Suchmaschine (suche.datenschutz.de) zur Verfügung stehen, mit der er gezielt, mittels Eingabe eines oder mehrerer Suchbegriffe, zu den Angeboten, Materialien und Ressourcen der Projektpartner weitergeleitet wird. Diese Änderung zolle dem geänderten Nutzerverhalten Tribut, mittels Suchmaschinen das Informationsangebot im Internet zu sichten.
Weiterhin seien die einzelnen Rubriken der Website neu strukturiert worden, so dass das Angebot an Texten insgesamt übersichtlicher erscheine und dabei primär auf die hilfesuchenden Bürger abziele. Diese erhielten einen schnellen und verständlichen Zugang zu den unterschiedlichen Themen und würden bei Interesse auf vertiefendes Wissen weitergeleitet, so das ULD S-H.

Weitere Informationen zum Thema:

Virtuelles Datenschutzbüro
Ein Informationsangebot der öffentlichen Datenschutzinstanzen

[datensicherheit.de, 25.10.2013] Rat und Tat für die kniffligen rechtlichen Seiten des Alltags möchte der Deutsche Anwaltverein (DAV) mit seinem neuen Rechtsportal „DeutscheAnwaltauskunft“ (Anwaltauskunft.de) bieten. Interessenten und Mandanten werden umfassende, unterhaltsam aufbereitete Informationen zu allen Fragen rund ums Recht präsentiert. Am Abend des 24. Oktober 2013 wurde es im Rahmen einer kurzweiligen Feier in Berlin online gestellt. Mit dieser Website gebe es zuverlässige Informationen zu rechtlichen Fragen aus einer verlässlichen Quelle, betont Rechtsanwalt Professor Dr. Wolfgang Ewer, Präsident des DAV. Damit werde das Portal zur ersten Anlaufstelle in allen Rechtsfragen.
Mit „Anwaltauskunft.de“ wurde ein einzigartiges Rechtsportal im deutschsprachigen Internet gestartet. Andere Online-Angebote spezialisierten sich auf einzelne Bereiche wie aktuelle Nachrichten, Ratgeber, Anwaltssuche oder Blog, die „DeutscheAnwaltauskunft“ dagegen vereine alles auf einem Portal und decke sämtliche Rechtsgebiete ab – und das alles ohne Werbung. Dafür aber mit enormer Kompetenz, denn dahinter stehe der DAV mit über 67.000 Anwältinnen bzw. Anwälten als die größte Vereinigung dieser Berufsgruppe in Deutschland.
Die ursprüngliche Website ist nach DAV-Angaben jetzt völlig neu gestaltet worden. Nutzer könnten dort journalistisch aufbereitete Texte zu aktuellen rechtlichen Themen neben Kolumnen und Tipps finden, dazu Podcasts und Videos. Die neue Fassung der „Anwaltauskunft.de“ solle deutlich machen, dass Rechtsthemen weder abstrakt noch langweilig seien. Jeder könne nun Inhalte finden, die ganz konkret mit dem eigenen Leben zu tun hätten, sowie Tipps und Ratschläge zum Weiterhelfen.
Im Magazin-Teil liefert ein Team von Redakteuren aktuelle Artikel und Videos zu Rechtsthemen. Ein Ratgeber-Bereich bietet praktische Materialien aus den verschiedenen Rechtsgebieten. In der Anwaltssuche können Ratsuchende unter mehr als 67.000 Anwälten einfach und schnell den passenden Experten finden. Sie können dabei etwa nach Rechtsgebieten, Ortsnähe und Sprachkenntnissen suchen. Alle Webseiten des Portals bieten ein neu entwickeltes Design und sind auch in einer mobilen Version abrufbar. Um näher und direkt mit den Menschen in Kontakt zu treten, zeigt „Anwaltauskunft.de“ auf Social-Media-Plattformen wie facebook, twitter oder Google+ Präsenz. Dort macht die Redaktion unter dem Namen „Anwaltauskunft Magazin“ nicht nur auf die Vielfalt der Inhalte aufmerksam, sondern stellt sich auch dem Dialog.

Weitere Informationen zum Thema:

DeutscheAnwaltauskunft
Magazin