Sie befinden sich hier:

BayLDA prüft Verschlüsselung von Webseiten

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bietet als neuen Online-Service einen Baustein an, über den die HTTPS-Verschlüsselung einer Webseite zur Überprüfung gemeldet werden kann.

Das BayLDA will künftig insbesondere durch flächendeckende automatisierte Prüfungen Schwachstellen und Sicherheitslücken aufzeigen, um dadurch Unternehmen in Bayern zu sensibilisieren und, sollte es notwendig sein, auch dazu zu bewegen, sicherheitsrelevante Themen mit entsprechender Ernsthaftigkeit zu begegnen. Letztendlich drohen ab Mai 2018 durch die Datenschutz-Grundverordnung (DS-GVO) bei Verstößen Bußgelder in empfindlicher Größenordnung: Bis zu 10 Millionen Euro oder bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des Unternehmens (je nachdem, welcher Betrag höher ist) können verhängt werden.

Als ersten Schritt dieser Cybersicherheitsinitiative prüft das BayLDA die Verschlüsselung von Webseiten bayerischer Anbieter. Die Erfahrung des BayLDA zeigt bislang, dass Webserver von Unternehmen nicht immer entsprechend dem Stand der Technik betrieben werden. Das Hauptproblem liegt dabei im Fehlen eines Zertifikats oder einer nicht ausreichenden HTTPS-Konfiguration – was dazu führt, dass Kundendaten unverschlüsselt oder schwach verschlüsselt durch das Internet zum Zielserver übertragen und letztendlich abgegriffen werden können. Zwar können auch Daten, die entsprechend dem Stand der Technik verschlüsselt sind, abgefangen werden – jedoch ist bei diesen ein „Knacken“ massenhafter Daten ohne unverhältnismäßigen Aufwand kaum möglich.

Neben der Prüfung einiger vom BayLDA ausgewählter Webseiten bietet der neue Online-Service erstmals die Möglichkeit an, dass konkrete Webseiten zur Überprüfung mitgeteilt werden. Sowohl Unternehmen, die Ihre eigene Webseite prüfen lassen wollen, als auch Bürger, die bestimmte Internet-Dienste prüfen lassen möchten, können die jeweilige URL auf der Homepage des BayLDA in ein dafür vorgesehenes Formularfeld eingeben oder per E-Mail melden. Unternehmen, die ihre eigene Webseite eingegeben haben, erhalten ein schriftliches Feedback mit dem Ergebnis der Prüfung. Bürger, die eine Webseite von Dritten nennen, bekommen keine persönliche Rückmeldung, können allerdings sicher sein, dass das BayLDA die Einhaltung der Mindestanforderungen an die HTTPS-Verschlüsselung bei den gemeldeten Webseiten sicherstellen wird. Falls die HTTPS-Verschlüsselung der Webseite den gesetzlichen Anforderungen nicht entspricht, werden die betroffenen Unternehmen zur Nachbesserung aufgefordert und als letztes Mittel auch per Anordnung dazu gezwungen.

Der HTTPS-Check kann über folgenden Link auf der Webseite des BayLDA angestoßen werden: www.lda.bayern.de/de/httpscheck.html

Quelle: Pressemitteilung des BayLDA vom 10.10.2017 – abrufbar unter https://www.lda.bayern.de/media/pm2017_08.pdf

nach oben