Für Webseiten-Betreiber

Sichere Webseiten erstellen

Wie…

Autor: Johannes Bächlein. Lesezeit ca. 6 Minuten

Wie wir Dich und uns schützen – ein Überblick

Schriften

Google Fonts… Ein Hilfsmittel ist der Google Webfont Helper, mit sich die benötigten Schriftarten als Archiv herunterladen lassen. Diese werden dann einfach in ein Verzeichnis auf Ihrem Webspace entpackt. Nun muss nur noch der Verweis in allen Stylesheets (den .css Dateien) auf die lokale Kopie anstelle der externen URL geändert werden.

DSGVO-konforme Seiten sind aufwändig!

Was bei den 2Klick-Lösungen bzw. den anderen Ansätzen (mit Ausnahme des «Shariff», zu den Details siehe den Link oben) noch dazu kommt: die DSGVO fordert naxh Art. 7 Abs. 1 DSGVO, dass der Webseitenbetreiber nachweisen muss, dass eine Einwilligung erteilt wurde. Das bedeutet also, mit der oft genannten Checkbox und einem «Abklicken» ist man nicht aus der Sache raus, denn dieser Klick muss im System sauber dokumentiert, mithin üblicherweise in einer eigenen Datenbank abgelegt werden. Dazu kommt, dass nach Art. 7 Abs. 3 der Widerruf der Einwilligung so einfach sein muss, «wie die Erteilung der Einwilligung». Wenn also für den Widerruf erst eine persönliche Mail an den Betreiber der Seite erforderlich ist, widerspricht dies ebenso der DSGVO.

Einige wertvolle Hinweise zur DSGVO-konformen Webseite stammen von Armin Hanisch dessen Blog-Artikel Frühjahrsputz mit DSGVO – Datenschutz - der Untergang des Abendlands? ich sehr empfehle.


Web-Cookies

Browser-CookieGrundsätzlich werden zwei Arten von Cookies unterschieden. Zum einen die sog. “Browser Cookies” (auch HTML-Cookies genannt) und die sog. „Flash Cookies“. Die datenschutzrechtlichen Regeln und die im Folgenden beschriebenen Funktionalitäten sind für beide Arten von Cookies dieselben.

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. (“Google”). Google Analytics verwendet sog. “Cookies”, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.

Schriften

Browser-Cookie Viele Websites nutzen aus dem Internet eingebettete Schriftarten, sei es Google Webfonts oder Adobe Typekit und andere. Ein Schritt dabei, das Verstreuen von Datenspuren Ihrer Nutzer zu unterbinden, ist es, diesen externen Aufruf zu eliminieren. Denn damit wird mindestens die IP-Adresse des Nutzers an die Systeme übertragen und IP-Adressen sind nach aktueller Auffassung personenbezigene Daten (bzw. sollten sicherheitshalber so behandelt werden, da es bei einigen Szenarien noch juristische Diskussionen gibt. Ich bin aber kein Jurist und wollte das Thema daher lieber komplett vermeiden).

Kein Referer

Wenn Sie einen Link im Browser anklicken, dann wird der Browser im Normalfall die Adresse der gerade aktiven Seite an das Ziel des Links übertragen (der sogenannte Referer. Ja, mit einem «r»). Diese Information im Header des HTTP-Requests gibt also die vollständige Adresse preis, von der Sie kommen. Diese Information wird auch übertragen, wenn externe Quellen (z.B. Scripts oder Schriftarten) geladen werden. Was übrigens auch erklärt, warum ich weiter oben auch alle Scripts lokal kopiert habe.

Das ist ein datenschutztechnischer Alptraum (vor allem in Verbindung mit Cookies). Damit kann Ihr Surfverhalten nachvollzogen werden, es wird deutlich, dass Sie eine Seite für einen Versicherungsvergleich von der Seite einer Suchtberatung aus aufrufen und was Sie sich sonst noch alles ausmalen können.

Folgt man dem in der DSGVO vorgegebenen Grundsatz der «Datenminimierung» bzw. «Datensparsamkeit» (z.B. Art. 5, Absatz 1), dann wird klar, dass alles an personenbezogenen Daten, was für eine Funktion nicht unbedingt notwendig ist, zu vermeiden ist. Nun ist der Referrer in einem HTTP-Request nicht unbedingt personenbezogen, aber dennoch lassen sich damit mit den heute verfügbaren Mitteln Informationen für ein Profiling gewinnen. Aus Rücksicht auf meine Besucher gebe ich daher bei einem Link zu einer externen Quelle nicht weiter, woher diese Anfrage kommt. Ich bin mir im Klaren darüber, dass mein kleines Blog nun bestimmt nicht wichtig genug ist, um Quelle für ein Profiling zu sein, aber es ist ein Anfang. Wwer denkt, dass sich aus Daten, die öffenltich auf Webseiten zu finden sind, keine interessanten Datenzusammenhänge destillieren lassen, der sollte sich diesen Artikel durchlesen und das Video ansehen: http://www.dkriesel.com/blog/2016/1229_video_und_folien_meines_33c3-vortrags_spiegelmining – danach denken Sie anders!

SSL-Verschlüsselung

sind Ihre Daten während des Bestellvorgangs sicher. Überall, wo Sie sensible Daten wie z.B. Passwörter oder Bankdaten eingeben, sind Sie mittels unseres SSL-Zertifikates geschützt! Ein SSL-Zertifikat bedeutet für Sie Vertrauen und Sicherheit, da Ihre Daten ausschließlich verschlüsselt an uns übertragen werden. Durch die SSL-gesicherte Verbindung wird gewährleistet, dass Ihre persönlichen Daten vor dem Zugriff Unberechtigter geschützt sind. Sie erkennen die sichere Verbindung daran, dass die URL-Adresse in der Adresszeile Ihres Browsers mit https beginnt anstatt mit http. HSTS https://www.cyon.ch/support/a/wie-aktiviere-ich-http-strict-transport-security-hsts-fur-meine-website

unsichere Webseite

Wir verwenden ein Let’s Encrypt Zertifikat, das bis zu 256 bit Verschlüsselung (128 / 256 bit SSL und 2048 bit CSR-Verschlüsselung) auf Webbrowsern und Mobiltelefonen ermöglicht. Datenschutz im Internet - Ihre Daten sind bei uns Sicher

JavaScript

Scripts lokal hosten statt vom CDN laden

Fast jeder Webauftritt nutzt mittlerweile Javascript in irgendeiner Form. Unabhängig von der philosophischen Diskussion, ob Javascript nötig ist oder nicht, passiert hier bei einem Aufruf einer externen Bibliothek das Gleiche wie bei Schriftarten oder Social Media Plugins: es werden unter Umständen Daten Ihrer Besucher an die externe Quelle übertragen. Dazu suchen Sie in den Schablonen bzw. Themes Ihrer Seiten nach externen Scripts (also mit einer Quelle ausserhalb Ihrer Domain, erkennbar am Attribut src= und einer externen URL). Als Beispiel hier der Aufruf der sehr verbreiteten Bibliothek JQuery in einer HTML-Seite:

Ad Blocker

https://noscript.net/

Verschlüsselung

Überweisung

Unverschlüsselte Email-Bestätigungen

SSL

SSL-verschlüsselt. Wir senden bewusst keine Bestätigungs…

Impulse für Deine Sicherheit

Nutze folgende Angebote, wenn Du selbst Webseiten bzgl. ihrer Sicherheit testen möchtest:

Sichere Webseite

This tool simulates a normal browser visit with Do Not Track disabled (browser default) and with no add-ons. Even if you enter https://, http:// will be checked, to see if it redirects to https:// automatically (redirects are followed). Generally things work, but some sites (sometimes) don’t work for various reasons. The backend is currently running on a single server with limited resources, so in case of usage spikes, waiting times can be long. (But you can run your own instance!) Feedback is appreciated: send email or open an issue.

Umleitung auf SSL-verschlüsselte Seite

Mit Hilfe einer .htaccess-Datei kannst Du “HTTP Strict Transport Security”-Funktion (HSTS) aktivieren. Sie

Header set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload” env=HTTPS

Geschrieben von Johannes //