Dem einen oder anderen dürfte es längst aufgefallen sein, dass immer mehr Seiten im Netz und allen voran die bekanntesten Webportale mit „https://www.“ im Browser angezeigt werden. Hinter diesem zusätzlichen „s“ verbirgt sich die SSL-Verschlüsselung ( SSL, kurz für: „Secure Sockets Layer“ ), die nunmehr als das neuere TLS-Protokoll (TLS steht für „Transport Layer Security“ ) umgesetzt wird. Dieses Übertragungsprotokoll soll für eine vermeintlich sichere Übertragung zwischen dem Server und Nutzer am heimischen PC garantieren. Und könnte sogar auch ein positiver SEO-Erfolgsfaktor sein!
Immer mehr Menschen und Unternehmen kommunizieren über das Internet, obgleich es nach wie vor nicht sicher ist angesichts der längst bewiesenen Ausspähung von Daten durch die Geheimdienste, unzähligen Hacker-Angriffen aus allen Teilen der Welt oder technischer Pannen. Dabei wird die technische Übermittlung, insbesondere zwischen Servern und Nutzern ständig kontrolliert und an neue Schutzstandards durch verbesserte technische Verfahren angepasst.
Spätestens im Zuge des Bekanntwerdens von Abhör-Maßnahmen und sonstigen Überwachungsmethoden der Geheimdienste im Internet hat sich dieser Trend zur SSL-Verschlüsselung bei Webseiten durchgesetzt und wird zurzeit gleich in mehrfacher Hinsicht in der deutschen IT-Szene diskutiert.
Denn zum einen wäre da die rechtliche Sichtweise, insbesondere in Punkto Datenschutz und Datensicherheit, zum anderen wäre da die SEO-Community, die hierin einen klaren SEO-Vorteil gegenüber der Konkurrenz im Internet sehen will.
Was ist überhaupt die SSL Verschlüsselung?
Eine erste Antwort liefert z.B. die BFDI ( Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ):
„Das Protokoll Secure Socket Layer (SSL) ist ein Verfahren zur sicheren Kommunikation zwischen Web-Server und Browser mit dem gleichzeitig die Authentizität des Web-Servers sichergestellt werden kann.“ (Quelle: BFDI)
Vereinfacht ausgedrückt: Wenn sich der Client ( Computer des Anwenders ) mit dem Web-Server des Anbieters verbindet, auf welchem sich z.B. die besuchte Website befindet und sich öffnet, wird nach Übereinstimmung des Zertifikats eine Verschlüsselung der Datenübertragung bestimmt, auf die grundsätzlich – so der Grundgedanke – kein Dritter mehr zugreifen kann. Die Art des Verschlüsselungsverfahren, dessen Schlüsselstärke in Gestalt der jeweiligen Datenblöcke ( 1024bit oder 2048bit ) und weitere Berechnungsmethoden fließen hierbei ein.
Datenschutz: Aufsicht und drohendes Bußgeld
Die Datenschutzbehörden erteilen den Anbietern im Internet, ausgehend von der derzeitigen Rechtslage ( nach § 9 BDSG sowie den Vorschriften aus dem TMG ), mehr oder weniger die Vorgabe, sich bei technischen Vorgängen im Zusammenhang mit der Erhebung, Speicherung oder Übermittlung von personenbezogenen Daten an „technische und organisatorische Vorkehrungen“ zur Achtung des Datenschutzes zu halten.
So heißt es nach Inkrafttretens des IT-Sicherheitsgesetzes zum 25.07.2015 nunmehr in § 13 Abs. 7 TMG:
(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
Daraus ergibt sich die Pflicht für die danach verantwortlichen Diensteanbieter solche technischen Möglichkeiten umzusetzen, worunter längst die SSL-Verschlüsselung fällt.
Spätestens nach Inkrafttreten des IT-Sicherheitsgesetzes gilt die „SSL-Verschlüsselung“ für viele als ein Must-Have. Denn das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat klargestellt, dass es die „SSL-Verschlüsselung“ unter gewissen Voraussetzungen ( Mindeststandard ) als ausreichend sicher einstuft. Und die BFDI gibt auch gleich den Angesprochenen ein paar Informationen zur sicheren SSL-Verschlüsselung mit auf dem Weg.
Und auch die Datenschutzbehörden hierzulande sind wachsam. So sind die deutschen Datenschutzbehörden zwar angehalten, Diensteanbieter in ihrem jeweiligen Zuständigkeitsgebiet bezüglich der eventuellen Voraussetzung der „SSL-Verschlüsselung“ auf die Finger zu klopfen. Es droht sogar nach § 16 TMG ein Bußgeld von bis zu 50.000 Euro im Falle des Verstoßes gegen diese Anforderungen, jedoch ist bislang noch nicht viel in dieser Richtung passiert. Lediglich das LDA Bayern ist in diesem Thema nach vorne geprescht und hat seinen Standpunkt deutlich gemacht.
Es ist daher für Shop-Betreiber, größere Web-Portale und Firmen-Webseiten empfehlenswert, dieses Thema ernst zu nehmen und eine SSL-Verschlüsselung für die Webseite in naher Zukunft einzurichten. Die Zeit spielt gewissermaßen gegen sie.
Dies gilt zumindest für Kontaktformulare, Webshops, Kommentare und vergleichbare Funktionen, worin die personenbezogenen Daten der Kunden oder Mitglieder erhoben und übermittelt werden. Daher wird ein SSL-Zertifikat mit einer Schlüssellänge von über 1024bit, idealerweise von 2048bit empfohlen. Ebenso sollten sich Webserver und Mailserver an höhere Sicherheitsstandards halten, wie z.B. die Einleitung der Kommunikation über dem Mailserver mit dem STARTTLS-Verfahren.
Doch damit nicht genug: Es steht längst der neue HTTP/2-Standard aus, der eine noch sichere Übertragung und Verschlüsselung ermöglicht. Es bleibt abzuwarten, inwieweit die Seiten auf diesen Zug alsbald aufspringen wollen und können ( Die technische Erklärung hierzu würde den Rahmen des Artikels sprengen ).
All diese Sicherheitsstandards verlangen eine ständige Überprüfung und Anpassung, was gleichzeitig zeitintensiv und teuer ist. Die Juristen sehen hier einen kleinen Handlungsspielraum aus § 13 Abs. 7 TMG: Denn dies muss natürlich in einem technisch möglichen und wirtschaftlich angemessenen Verhältnis stehen. Schließlich stünde es außerhalb jedweden Verhältnisses, wenn die technische Umstellung oder ständige Anpassung den Geschäftsbetrieb eines Unternehmens für einen längeren Zeitraum gefährdet oder Internet-Angebote vom Netz genommen werden müssen.
SEO: besser im Ranking dank der „SSL-Verschlüsselung“?
Doch auch abgesehen von diesen Rechtsfragen dürfte vieles für die SSL-Verschlüsselung bei Webseiten sprechen.
Schon vor 1-2 Jahren kursierte in der SEO-Welt das Gerücht: diese neue Verschlüsselungstechnik sei ein positiver SEO-Faktor und würde das Ranking bei Google verbessern. So würde Google sogar Webseiten mit „SSL-Verschlüsselung“ positiv bewerten und im Ranking bevorzugen.
Inwiefern eine Webseite nun tatsächlich weiter oben positioniert dank der neuen Technologie ist, lässt sich wohl kaum beurteilen. Denn die vorderen Positionen bei Google werden ohnehin meistens von erfolgreichen Webseiten eingenommen, weswegen das Bild stets verzerrt wird. Aber allein die Tatsache, dass die führenden Anbieter längst umgestiegen sind und damit keinen Schiffbruch erlitten haben, spricht für sich.
Laut Aussagen des Google-Mitarbeiters Gary Illes wird bei zwei identischen Seiten jene mit HTTPS bevorzugt:
„If you’re in a competitive niche it can give you an edge from Google’s point of view. [HTTPS] acts more like are tie breaker. For Example: If all quality signals are equal for two results, than the one that is on HTTPS would get or may get the extra boost.“ ( Quelle: Video-Kommentar )
Viel Gutes dank SSL-Verschlüsselung?
Es bleibt also dabei, dass die Qualität der Inhalte, Backlinks und die seriösen SEO-Faktoren weiterhin den Ton angeben und die SSL-Verschlüsselung nur das I-Tüpfelchen sein kann, wie einige SEO-Experten behaupten.
Wie so oft in Leben gilt es zwischen Sicherheit und wirtschaftlichen Faktoren abzuwägen. Dennoch sollte dabei im Interesse eines jeden Unternehmens stehen, im wahren Sinne des Wortes auf der sicheren ( Server )-Seite zu stehen und sich mit dem Thema SSL/TLS -Verschlüsselung künftig zu befassen.