Sicherheit für Ihr digitales Geschäftskonto wird bei Qonto großgeschrieben. Wir schützen Ihr Konto mit der 2-Faktor-Authentifizierung bei der Anmeldung und Ihre Log-in-Daten mittels TLS-Verschlüsselung.
Wie genau schützt Sie die TLS-Verschlüsselung eigentlich beim Online Banking? Und in welchen anderen Bereichen können Sie das Sicherheitsprotokoll einsetzen, um Ihr eigenes Unternehmen zu schützen?
TLS ist ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet, das auf Websites, aber auch für die E-Mail-Verschlüsselung eingesetzt wird. Die Abkürzung steht für Transport Layer Security und wird häufig synonym für die Verschlüsselung von Onlinedatenströmen verwendet.
Bis zur Einführung von TLS galt SSL, Secure Sockets Layer, als der Verschlüsselungsstandard. Einfach ausgedrückt befindet sich die SSL- bzw. TLS-Verschlüsselung auf einer Ebene zwischen dem Hypertext Transfer Protocol (HTTP) für das Internet und dem Transport Control Protocol (TCP) und sorgt dort für den sicheren Austausch von Daten, die zwischen dem Client- und dem Server-Programm in einem Netzwerk oder zwischen den Programmebenen eines einzelnen Computers hin- und herbewegt werden.
Dabei werden die Informationen vor dem Versand beim Absender oder der Absenderin verschlüsselt und erst beim Empfänger oder der Empfängerin wieder entschlüsselt. Dazu wird ein entsprechender öffentlicher oder privater Schlüssel benötigt, der über TLS-Handshake, eine der Hauptkomponenten des TLS, in Verbindung mit einer Authentifizierung sicher ausgetauscht werden kann. Mittlerweile hat TLS, das auf SSL basiert, diesen Standard abgelöst.
TLS- und SSL-Verschlüsselung sind zentrale Bestandteile der meisten Web-Browser und Web-Server. Als Nutzer:in erkennen Sie eine verschlüsselte Verbindung in Ihrem Browser an dem kleinen Schloss-Symbol oder an dem zusätzlichen „S“ beim HTTP (HTTPS).
Liegen Websites auf einem Server, der TLS unterstützt, kann das Verschlüsselungsprotokoll über ein digitales Zertifikat aktiviert werden. Das Zertifikat wird von speziellen Zertifizierungsstellen ausgestellt, beispielsweise von der Bundesnetzagentur.
Nicht vertrauenswürdigen Zertifizierungsstellen werden vom Browser abgelehnt bzw. der Nutzer oder die Nutzerin wird durch einen entsprechenden Hinweis vor einem Sicherheitsrisiko gewarnt. Vergleichbar mit einem Ausweis enthält das Zertifikat Informationen, die zur Prüfung der Authentizität notwendig sind.
Eine Verbindung kann trotz https, Schloss und grüner Schrift nicht sicher sein, wenn das Zertifikat abgelaufen ist. Um die Gültigkeit zu überprüfen, können Sie im Browser auf das Schloss-Symbol klicken. Chrome, Firefox und Safari zeigen Ihnen dann an, ob ein Zertifikat noch gültig ist.
Laut der aktuellen Datenschutz-Grundverordnung (DSGVO) ist die TLS- und SSL-Verschlüsselung nur dann Pflicht, wenn auf einer Website über Formulare personenbezogene Daten abgefragt werden – beispielsweise bei einem Onlineshop aber auch beim Online Banking.
Ohne SSL- oder TLS-Verschlüsselung sind Daten, die über eine Website übertragen werden, im Internet als Klartext lesbar. Das heißt, verwendet der Anbieter Ihres privaten Girokontos oder Ihres Geschäftskontos keine TLS-Verschlüsselung, können Hacker:innen sensible Nutzerdaten wie Personen-, Bank- oder Kreditkartendaten abgreifen und sich so Zugang zu Ihrem Konto verschaffen.
Unternehmen können unterschiedliche TLS-Zertifikate kaufen, um damit ihre Website je nach Bedarf mit verschiedenen Vertrauensgraden zu schützen.
Bei Banken ist die Extended Validation üblich. Um so ein Zertifikat zu bekommen, wird ein Unternehmen streng überprüft. Entsprechend sind diese Zertifikate zwar teuer, bieten dem Nutzer oder der Nutzerin jedoch die größtmögliche Sicherheit.
Sie suchen ein passendes Konto für Ihre Selbstständigkeit? Jetzt flexiblen Plan wählen und Konto in wenigen Minuten eröffnen.
Ob die TLS-Verschlüsselung für Ihre eigene Unternehmenswebsite verpflichtend ist, hängt davon ab, ob Sie personenbezogene Daten Ihre Nutzerinnen und Nutzer über Formulare abfragen. Da dies allerdings schon dann der Fall ist, wenn Sie Ihre Nutzerinnen und Nutzer beispielsweise in der Kommentarfunktion Ihres Unternehmensblogs oder zur Anmeldung eines Newsletters zur Eingabe eines Namens oder einer E-Mail-Adresse auffordern, ist es eigentlich für jeden Websitebetreiber oder jede Websitebetreiberin ratsam, die TLS-Verschlüsselung zu verwenden.
Verpflichtend ist es gemäß DSGVO auf jeden Fall, sobald es um den Austausch sensibler Nutzerdaten geht. So oder so sorgt die verschlüsselte Übertragung von Daten nicht nur für Sicherheit, sondern stärkt auch das Vertrauen Ihrer Kundinnen und Kunden in Ihrem Angebot.
Was können Sie also tun, um die TLS-Verschlüsselung für Ihre Website zu aktivieren? Je nach Anspruch an die Höhe der Authentifizierungsstufe stehen Ihnen die oben genannten Zertifikatsarten zur Verfügung. Welches Zertifikat das passende für Sie ist, hängt davon ab, welche Daten Sie auf Ihrer Website abfragen.
Idealerweise sorgen Sie gleich zum Livegang Ihrer Website für die passende Verschlüsselung. Sie können Ihre Website aber auch später ohne großen Aufwand umstellen. Die notwendigen Schritte sind bei beiden Vorgehensweisen die Gleichen:
Sie erhalten das Zertifikat bei speziellen Zertifizierungsstellen wie der Bundesnetzagentur. Viele Hosting-Anbieter übernehmen diesen beiden Schritt auch für Sie.
Neben kostenpflichtigen Zertifikaten gibt es auch kostenfreie Zertifikate. Allerdings verfügen diese über eine kürzere Laufzeit und Sie müssen sie selbstständig administrieren. Außerdem sind sie nicht Domain-übergreifend nutzbar, sondern an nur eine einzige Domain gebunden.
Haben Sie das Zertifikat erfolgreich installiert, müssen Sie noch eine Weiterleitung der HTTP-Adresse auf die HTTPS-Adresse einrichten, um zu vermeiden, dass Suchmaschinen die Seiten als unterschiedliche Seiten erkennen.
Jetzt müssen Sie eigentlich nur noch die Gültigkeit Ihres Zertifikats im Auge behalten, um von der Sicherheit der TLS-Verschlüsselung und dem Nutzervertrauen Ihrer sicheren Website zu profitieren.
Eröffnen Sie Ihr Geschäftskonto in wenigen Minuten online.
