Seitdem Google im Zuge der Spionage-Berichterstattung verkündet hat, dass möglichst jede Website die Kommunikation mit dem Benutzer verschlüsseln sollte, drehen sich die meisten Suchmaschinenoptimierer im Kreis als wenn sie sich als Karussell fürs nächste Volksfest bewerben würden. Denn schließlich muss man jede Verlautbarung seitens des Suchmaschinengiganten auf die Goldwaage legen und hinter jedem Ratschlag einen Rankingfaktor vermuten.
Damit beschäftigt sich auch der #webmasterfriday diese Woche: Ist es notwendig wirklich jede Website mit SSL zu verschlüsseln? Werde ich als Blogbetreiber das auch machen? Was halte ich davon? Und vor allem: Wovon schreibt der da eigentlich? SSL – ist das wieder so ein neues Google-Ding?
Was ist SSL?
Um hier erst einmal alle Leser auf einen Wissensstand zu bringen, der den weiteren Text verstehen lässt, möchte ich zunächst kurz umreißen was mit SSL-Verschlüsselung gemeint ist.
SSL ist die Abkürzung für Secure Socket Layer. Den Transport von Daten teilt man in der Informatik zur anschaulichen Darstellung in verschiedene Schichten (Layer). Jede dieser Schichten hat eigene Aufgaben bzw. werden ihr entsprechend Protokolle und vieles mehr zugeordnet. Aber damit sind wir auch schon bei dem Stichwort, was für den Laien an dieser Stelle ausreichen soll: Protokoll. Denn hier kommen wir zur Kommunikation zwischen eurem Rechner, Smartphone etc. und einer Website respektive dem Server, auf dem sie gespeichert ist. Jeder Seitenaufruf und alle Informationen, die ihr eingebt, sind letzten Endes Daten, die zwischen diesen beiden Punkten hin und her geschickt werden. Im herkömmlichsten Fall passiert das mit Hilfe des HTTP-Protokolls. Auf dem Weg, den die Daten zurücklegen gibt es allerdings viele Stellen, an der Unbefugte diese Daten mitlesen, abfangen oder gar verändern können. Um das zu verhindern bzw. zu erschweren, können die Daten verschlüsselt übertragen werden. Dazu muss man aber auf ein anderes Protokoll ausweichen: HTTPS. So wird sichergestellt, dass die Daten vor dem Versenden an die Website oder zu euch verschlüsselt und dann erst verschickt werden. Das macht es einem potenziellen Angreifer erheblich schwerer.
Ich hoffe, dass diese bewusst oberflächliche Zusammenfassung anschaulich genug ist.
Woran erkenne ich, ob eine Website verschlüsselt mit mir kommuniziert?
Ob eine Website mit euch verschlüsselt kommuniziert bzw. HTTPS einsetzt, könnt ihr im Normalfall der Adresszeile eures Browsers entnehmen. Je nachdem welchen Browser ihr benutzt, wird das anders dargestellt. Hier mal eine kleine Übersicht. Google wird beispielsweise verschlüsselt, mein Blog hingegen nicht. Ich habe das mal per Screenshot für Chrome, Internet Explorer, Firefox und Safari als Gegenüberstellung der Anzeigen festgehalten. (Nur der Vollständigkeit halber: Das sind natürlich nicht alle Browser, die es gibt. Aber alle, die ich installiert habe.)
In all diesen Browsern wird das Protokoll im verschlüsselten Fall der Adresse voran angezeigt. Ein Vorhängeschloss als Symbol weist zusätzlich darauf hin. Bei nicht verschlüsselter Kommunikation lässt Chrome beispielsweise das Protokoll optisch einfach weg.
Warum sollte man verschlüsseln?
Natürlich ist Googles Ratschlag nicht das ausschlaggebende Argument. Dazu muss man schon den eigenen Verstand benutzen. Wie schon erwähnt, gibt es Menschen und Organisationen, die den Datentransfer im Internet gerne mitlesen um auf diese Weise an Informationen zu gelangen, die sie sonst nicht erhalten würden. Werden also zwischen einer Website und dem Benutzer persönliche bzw. Personendaten ausgetauscht, ist eine verschlüsselte Kommunikation zumindest für denjenigen sinnvoll, der seine Daten herausgibt.
Wer sollte verschlüsseln bzw. verschlüssele ich demnächst auch?
Nun, letzten Endes obliegt es dem Betreiber einer wie auch immer gearteten Website, ob er die Kommunikation mit seinen Besuchern / Kunden verschlüsseln möchte. Ich persönlich denke, dass man das nicht auf alle Websites anwenden muss. Bei jedem Angebot, wo Nutzer zu einer Eingabe von Sozialdaten aufgefordert werden bzw. dies sogar angeben müssen, weil der Dienst sonst nicht erfüllt werden kann, sollte SSL zum Einsatz kommen. Das betrifft Soziale Netzwerke, Shops und vieles mehr. Bei all diesen Diensten werden umfangreich Informationen vom Benutzer eingefordert. Sei es zur Erstellung eines Profils oder zum Versenden bestellter Ware oder was auch immer. Hier sollte der Eingebende davon ausgehen können, dass diese Daten auch nur an den von ihm bestimmten Empfänger gehen. Der Einsatz von Verschlüsselung stellt (für mich) also auch ein Entscheidungskriterium dar, einen solchen Dienst überhaupt zu nutzen oder eben nicht.
Aber im Gegensatz zu manch anderem bin ich nicht der Meinung, dass wirklich jede Website verschlüsseln muss. Prinzipiell spricht nichts dagegen. Und es ist fraglos von Vorteil für alle Beteiligten, wenn sich immer mehr Betreiber dafür entscheiden. Doch unterm Strich stellt das Verwenden von SSL auch eine Kostenfrage dar. Nicht jeder kann es sich leisten ein ordentliches Zertifikat zu finanzieren. Ich zum Beispiel kann das derzeit eigentlich nicht. Natürlich gibt es billige Anbieter. Aber ich verdiene mit meinem Blog kein Geld. Ganz im Gegenteil. Da muss ich einfach auch abwägen ob sich diese Investition für euch wie für mich lohnen würde. Aktuell sehe ich da kein überzeugendes Argument für diese Mehrkosten. Von mir wird nur ein Mindestmaß an Daten von euch erbeten. Und es muss nicht jeder Leser bei mir Daten übermitteln. Das betrifft im Endeffekt nur die lieben Kommentatoren und diejenigen, die das Kontaktformular ausfüllen. Dabei sind die meisten anzugebenden Daten frei wählbar. Einzig die E-Mail-Adresse sollte im Ernstfall funktionieren.
Fazit
Zunächst einmal halte ich es für wichtig und richtig bei allen Websites und Diensten, die Sozialdaten oder ähnliches vom Nutzer abverlangen, eine qualitativ hochwertige Verschlüsselung einzusetzen. Ich würde sogar so weit gehen und sagen: Bei diesen Seiten stellt sich die Frage nicht, der gesunde Menschenverstand schreibt das vor. In einem Onlineshop ohne SSL-Verschlüsselung würde ich persönlich zum Beispiel nichts bestellen.
Verschlüsselte Kommunikation steht derzeit voll im Trend. Na sagen wir mal eher darüber zu reden und damit zu werben. Im Sinne der Zukunft von Datenschutz und Persönlichkeitsrechten sollte die Reise auch dahin gehen, dass jeder darauf bedacht sein sollte, möglichst viel, wenn nicht alles, seines Datenverkehrs zu verschlüsseln. Doch man sollte eine Grenze ziehen zwischen „Muss“ und „Kann“. Ein einfacher Blog gehört für mich nicht in die „Muss“-Kategorie, weil einfach kaum bis gar keine Daten erhoben werden. (Das sieht natürlich anders aus, wenn sich Besucher registrieren müssen.)
In diesem Sinne: Ich lasse mich gerne eines Besseren belehren, wenn jemand sinnvolle Argumente vorbringen kann, warum auch mein Blog verschlüsselt werden müsste.
Abgesehen von mir und meinem Blog: Wie seht ihr das? Ist Verschlüsselte Kommunikation für euch ein Thema? Wie kümmert ihr euch darum? In welchen Bereichen spielt das für euch eine (entscheidende) Rolle? Über Kommentare würde ich mich freuen.
Dein Blog verschlüsseln? Rel. unnötig, da hier ja (bis auf die eMail-Adresse) “nur” Kommentare ausgetauscht werden.
So eine Investition kannst du dir sicherlich sparen.
Im Netz einkaufen? Natürlich nur SSL.
Bin da ganz bei dir