Ist die SSL-Verschlüsselung der eigenen Website wirklich nötig?

Ist die SSL-Verschlüsselung der eigenen Website wirklich nötig?Es ging viele Jahre auch ohne Verschlüsselung, aber nun scheint die SSL-Verschlüsselung der eigenen Website unumgänglich zu sein.

Zumindest liest man überall im Netz davon, aber ist das wirklich so und wenn ja, welche Gründe gibt es dafür?

Diesen Fragen gehe ich im Folgenden nach, wobei ich auf einzelne Gründe eingehe und Beispiele schildere.

Gibt es ohne SSL-Verschlüsselung teure Abmahnungen?

Mit der Einführung der DS-GVO kamen mal wieder Ängste über Abmahnungen auf, die sich als berechtigt herausgestellt haben. Leider haben auch diese Gelegenheit wieder zweifelhafte Charaktere genutzt, um schnelles Geld zu verdienen.

So berichten diverse Online-Medien über Abmahnungen in Höhe von 8.500 Euro und sogar 12.500 Euro.

Hintergrund der Abmahnungen ist die fehlende Verschlüsselung auf Firmenwebsites. Jemand hat dort eine Mailanfrage gestellt und auch Antwort bekommt. Dann, oh Wunder, fiel der Person auf, dass die Kontaktformulare unverschlüsselt waren und deshalb ein großer persönlicher Schaden entstanden ist, weil die Kontaktdaten unverschlüsselt zum Server übertragen wurden.

Mal ganz abgesehen davon, dass das natürlich ganz offensichtlich gemacht wurde, um diese Abmahnungen versenden zu können, sehe ich mehrere Gründe, warum die Abmahnungen vor Gericht wohl kein Bestand haben werden. Ich bin kein Jurist, aber zum einen kann man als Nutzer sehen, dass eine Website nicht verschlüsselt ist. Das sieht man, bevor man ein Kontaktformular abschickt. Noch aberwitziger finde ich aber, dass die geforderten Beträge Schadensersatz sein sollen. Da stellt sich doch die Frage, welcher konkrete Schaden da entstanden sein soll.

Dass hier keine normale Abmahnung versendet wurde, sondern Schadenersatz gefordert wird, liegt übrigens daran, dass es unter Experten die Meinung gibt, dass datenschutzrechtliche Verstöße wohl gar nicht abmahnbar sind. Zumindest nicht wie die meisten bisherigen Abmahnungen wegen eines Verstoßes gegen das Gesetz gegen den unlauteren Wettbewerb (UWG).

Ich hoffe nicht, dass es Gerichte geben wird, die dieser Argumentation der Abmahnenden folgen wird, aber leider weiß man das nie. Realitätsfremde Entscheidungen deutscher Gerichte sind ja nun auch nicht gerade selten.

Dennoch zeigen die Beispiele, dass teure Abmahnungen keineswegs ausgeschlossen sind, zumal ich denke, dass nach den ersten Gerichtsentscheidungen (die Abmahnungen wegen Datenschutzverletzungen bestätigt haben) erst die richtigen Abmahnwellen losgehen könnten. Schließlich wollen die meisten Abmahner sich nicht vor Gericht streiten, sondern einfach Geld verdienen.

Allein aus diesem Grund halte ich es für nötig heutzutage die eigene Website zu verschlüsseln.

Aber Moment mal wird der eine oder andere sagen, ich habe doch gar kein Kontaktformular auf meiner Website und auch sonst keine Möglichkeit für Nutzer, irgendwas einzugeben.

DS-GVO verlangt Schutz aller personenbezogenen Daten

Nach einem EuGH Urteil wird mittlerweile auch die IP-Adresse zu den personenbezogenen Daten gezählt und die hat jeder Internet-Nutzer. Die IP-Adresse ist zwingend notwendig, um das Internet nutzen zu können und bei jedem Seitenaufruf wird diese übertragen.

Allerdings wird bei SSL die IP-Adresse nicht verschlüsselt, da diese ja zur Übertragung überhaupt erstmal notwendig ist. Da bringt die Verschlüsselung also nichts.

Aber von der IP-Adresse abgesehen, werden auf vielen Websites personenbezogene Daten übertragen. So z.B. in der Regel eMail-Adresse und Namen, wenn es Kommentar-Möglichkeiten gibt.

Deshalb sollte man die eigene Website sehr gut dahingehend analysieren und anschließend beurteilen, was alles geschützt werden muss. Das geht weit über die SSL-Verschlüsselung hinaus, aber diese sollte als Basis immer vorhanden sein.

Nutzer springen ab, wenn kein SSL vorhanden ist

Neben den rechtlichen Risiken gibt es aber noch weitere gute Gründe für eine SSL-Verschlüsselung. Zum einen gibt es immer wieder Hinweise darauf, dass Google verschlüsselte Websites bevorzugt. In Zukunft warnt z.B. der Chrome Browser die Nutzer vor unverschlüsselten Websites. Schon jetzt wird deutlich gezeigt, wenn eine Website sicher verschlüsselt ist.

Ist die SSL-Verschlüsselung der eigenen Website wirklich nötig?

Aber auch hinsichtlich der Nutzererfahrung deutet sich an, dass eine unverschlüsselte Website dem eigenen Traffic schadet. Eine Studie, die auch von Google unterstützt wurde, hat herausgefunden, dass ein Teil der Nutzer eine Website nicht besucht, bzw. wieder verlässt, wenn diese unverschlüsselt ist.

Das sind mit 37,6 % der Nutzer in Chrome zwar ‘nur’ rund ein Drittel, aber dennoch ist das sehr viel. Wenn man bedenkt, dass mehr als ein Drittel der potentiellen Besucher/Käufer nicht auf die eigene Website kommt, weil man diese nicht verschlüsselt hat, dann ist das schon sehr viel. Im Firefox sind es laut dieser Studie sogar 52,3 % der Nutzer, die sich von der SSL-Warnung des Browser abschrecken lassen.

Wer also nicht auf ein Drittel bis die Hälfte seines Traffic verzichten will, sollte umgehend eine SSL-Verschlüsselung in die eigene Website integrieren.

SSL Umstellung ist einfach

Das ist auch normalerweise gar nicht so schwer. Die eigenen Seiten zu verschlüsseln ist an sich sogar sehr einfach. In meiner Checkliste zeige ich, wie das Schritt für Schritt geht.

Die eigenen Seiten, bzw. die Inhalte, die auf dem eigenen Server liegen, sind meist auch nicht das Problem. In der Regel sind extern eingebundene Inhalte das Problem. So sorgt z.B. der Standard-VG-Wort-Zählpixel für Probleme, die man aber beheben kann.

Auch andere extern eingebundene Inhalte, wie z.B. Werbebanner von Ad-Servern, können für Probleme sorgen. Alles, was man von anderen Servern auf der eigenen Website einbindet, muss ebenfalls verschlüsselt sein, also über https:// eingebunden werden. Ansonsten ist die eigene Website nicht komplett verschlüsselt und das gründe Schloss taucht in der URL-Leiste des Browsers nicht auf.

Ich habe alle meine Blogs und Websites auf SSL-Verschlüsselung umgestellt und über meine Erfahrungen berichtet. So z.B. über die Umstellung und die Auswirkungen bei einer Nischenwebsite und bei meinem neuesten Blog.

Meine Erfahrungen sind dahingehend sehr gut und durch das kostenlose Let’s Encrypt Zertifikat, welches viele deutsche Hoster mittlerweile anbieten, ist es auch eine sehr günstige Sache.

Ist die SSL-Verschlüsselung der eigenen Website wirklich nötig?

Ich würde aber jedem empfehlen, in Zukunft immer auf die SSL-Verschlüsselung zu setzen. Gerade für kleine Websites (wie Nischenwebsites) oder Blogs ist es sehr einfach diese zu aktivieren und man hat bei der Nutzung der Website keinerlei Nachteile.

Dafür ist man aber auf jeden Fall vor Abmahnungen sicher, die auf fehlende Verschlüsselung abzielen. Zudem ist die SSL-Verschlüsselung einfach die Zukunft und wird nicht nur von Google als der zukünftige Standard gesehen.

Wer also heute noch sinnvoll und nachhaltig ein Online-Business aufbauen will, der sollte auf jeden Fall auf die SSL-Verschlüsselung setzen.

Habt ihr eure Websites schon auf SSL-Verschlüsselung (https) umgestellt?

Ergebnis anschauen

Peer Wandiger

8 Gedanken zu „Ist die SSL-Verschlüsselung der eigenen Website wirklich nötig?“

  1. SSL verschlüsselt keine IP-Adresse, nur so als kleine Anmerkung … Die Kommunikation zwischen Client und Server findet immer zwischen zwei IP-Adressen statt. Die SSL-Verschlüssung setzt erst oberhalb dieser Kommunikation auf. D.h. die Quell-IP, mit der der Client auf den Server zugreift, ist immer im Klartext zu sehen.

  2. Größter Nachteil ist für mich die Performance, denn für eine statische Seite ohne jegliche heikle Informationen, ist SSL in meinen Augen einfach sinnlos. Wer jetzt sagt…. hähhh ist doch viel schneller im Vergleich zu früher. Kann sein, aber dann nur deshalb, weil HTTP/2 eben nur mit SSL möglich gemacht wird, obwohl es theoretisch auch ohne ginge. Die eventuelle Verbesserung stammt also von HTTP/2 und dass dieser Standard nur mit SSL möglich ist, halte ich einfach für freche Bevormundung.

    Aber ohne SSL gehts ja eh nicht mehr, denn niemand will das “unsicher” im Browser stehen sehen. Selbst wenn es nur 1 von 1000 davon abhält deine Website zu besuchen, jeder Einzelne ist schon zu viel.

    Und… Angesichts der Tatsache, dass in der Vergangenheit große Unternehmen immer wieder Probleme mit ihren Daten und der Verschlüsselung hatten bzw. der Technik, ist der Zwang vielleicht sogar gerechtfertigt, auch wenn er kleine Seiten mal wieder unnötig trifft und Aufwand bedeutet.

    • Hallo David,
      dass HTTP/2 nur mit SSL möglich ist, halte ich nicht für eine freche Bevormundung. Im Gegenteil – ich begrüße die Entwicklung, dass die Verschlüsselung so in den Standard mit aufgenommen wurde.
      Klar profitieren kleine Seiten welche keine sensiblen Daten übertragen und auch kein Eingabeformular anbieten weniger von dieser Entwicklung. Solche Seiten machen aber mit großer Wahrscheinlichkeit auch nur den geringsten Traffic im WWW aus.
      Ich denke, dieser Standard macht das Netz insgesammt besser.
      Viel frecher finde ich es, wenn es Hostinganbieter gibt, die horrende Summen für die Zertifikate verlangen und sich weigern, die kostenlosen Let’s Encrypt-Zertifikate anzubieten. Gerade für “Nischenseiten” oder Blogs, welche nicht den Firmennamen im Zertifikat oder dem “grünen Balken im Browser” benötigen, sind diese doch absout ausreichend.
      Schönen Gruß

  3. Danke für den wertvollen Beitrag. Viele scheuen die Umstellung auf SSL-Verschlüsselung nicht selten, weil sie befürchten,danach im Google-Ranking nach hinten verbannt zu werden. Diese Furcht ist aber völlig unbegründet. Im Gegenteil: Ich bin davon überzeugt, dass die Suchmaschine über kurz oder lang Seiten ohne SSL-Verschlüsselung schlechter ranken wird.

    LG

  4. Heyo
    Frage zu deinem SSL- Verschlüsselung Beitrag:
    Ich habe 2 kleinere Nischenwebsiten auf denen es aber kein Kontaktformular oder ähnliches gibt. Sprich es werden keine persönlichen/sensiblen Informationen abgefragt.
    Ich benutze All-inkl als Webhoster mit dem Privat Tarif (der günstigste mit 5 Euro pro Monat) und somit müsste ich erst auf Privat plus (8 Euro im Monat) upgraden bevor ich meine Websiten kostenfrei SSL verschlüsseln kann.
    Nun zu meiner Frage:
    Rentieren sich die 3 Euro im Monat mehr nur um die Websiten SSL zu verschlüsseln? Fällt des beim Google Ranking so sehr ins Gewicht? Gibt es eine Alternative? Wird man irgendwie abgestraft oder ähnliches?
    Was würdet ihr empfehlen?

    Viele Grüße und schonmal vielen Dank

    Simon

    • Das ist sicher Auslegungssache. Selbst wenn man keine Daten überträgt, so wäre von außen erkennbar, was diese Person sich anschaut. Auch das ist ja schon etwas, was man nicht möchte.

      Ein noch stärkeres Argument ist aber sicher Google bzw. die aktuellen Browserversionen. Hier werden unverschlüsselte Website mittlerweile gekennzeichnet und das wird eher noch stärker werden. Zudem sollen unverschlüsselte Websites einen Nachteil in den Google-Rankings haben.

      Alles in allem würde ich heute nicht mehr auf SSL-Verschlüsselung verzichten. 3 Euro im Monat finde ich da nicht zu viel.

      Bei DomainFactory gibt es z.B. ab 5 Euro Hosting mit einem SSL-Zertifikat inklusive.

Schreibe einen Kommentar