Transport Layer Security (TLS) ist ein Protokoll, das eine sichere Übertragung von Daten ermöglicht. Zu diesem Zweck werden Daten, die über das Netzwerk übertragen werden, verschlüsselt, sodass Angreifer diese nicht mitlesen können. Sie können TLS Verbindungen in Ihrem Webbrowser daran erkennen, dass diese statt über eine HTTP-Verbindung über eine HTTPS-Verbindung aufgebaut werden.

TLS aus Sicherheitsgründen

Anwendungen, bei denen TLS-Verbindungen dringend erforderlich sind gibt es im Internet zur Genüge, beispielsweise das Online-Banking (siehe Abbildung 1). Dabei ist es äußerst wichtig, dass Angreifer die Daten der Bankkunden nicht mitlesen können, sonst könnten diese die mitgelesenen Daten dazu nutzen, sich auf Kosten des Kunden finanziell zu bereichern.

Abbildung 1: Eine TLS-Verbindung zu einem Online-Banking-Dienstleister mit dem Firefox Webbrowser

Abbildung 1: Eine TLS-Verbindung zu einem Online-Banking-Dienstleister mit dem Firefox Webbrowser

Doch nicht nur bei finanziellen Anwendungen sind TLS-Verbindungen wichtig. Im Grunde sollte die Netzwerkkommunikation immer dann verschlüsselt werden, wenn Benutzerdaten oder Inhalte, die nicht für die Öffentlichkeit bestimmt sind, übertragen werden. Besonders wenn besonders brisante Daten wie Benutzer- oder gar Administratorenpasswörter übertragen werden, sollte eine TLS-Verbindung genutzt werden, da Angreifer diese sonst ausspionieren und Zugang zu fremden Benutzerkonten oder anderen geschützten Bereichen erlangen könnten, aber auch in umgekehrter Richtung ist eine TLS-Verbindung erforderlich, nämlich dann wenn Dokumente, die durch Passwörter vor dem Zugriff Dritter geschützt wurden, übermittelt werden.

Das bedeutet insbesondere, dass es nicht genügt, nur den Login-Vorgang eines Benutzers über gesicherte Verbindungen abzuwickeln, wie das heute sehr häufig praktiziert wird, sondern dass im Grunde jegliche Kommunikation nach einem Login-Vorgang verschlüsselt werden muss [1].

Je nach Art einer Webseite kann es aber auch andere, verschlüsselungswürdige Inhalte geben. So sind beispielsweise Bestellformulare, die keinen Login des Benutzers erfordern mindestens ebenso brisant, wie Login-Daten, vor allem wenn dort auch Bankdaten übertragen werden. Im Unternehmensumfeld ist es zudem aus Gründen der Wirtschaftsspionage häufig erforderlich auch scheinbar harmlose Formulare wie Anforderungen von Informationsmaterialien zu verschlüsseln, da die Konkurrenz diese sonst abfangen und ebenfalls lesen könnte. Besonders bei großen Sonderaufträgen wie Regierungsaufträgen oder Aufträgen für militärische Organisationen kann dabei sehr großer Schaden entstehen, wenn die Konkurrenz diese Kunden für sich gewinnt.

Nicht zuletzt hat die Verwendung von TLS auch die Funktion, die Datenintegrität sicherzustellen. Das bedeutet, dass Angreifer Schadcode in die Kommunikation zwischen Client und Server einschleusen können, wenn keine sicheren Verbindungen verwendet werden. Durch die Verwendung von TLS können Sie also auch sicherstellen, dass Angreifer die Daten ihrer Webseite nicht während der Übertragung kompromittieren.

TLS als Rankingfaktor bei Google

TLS wird heute leider immer noch sehr selten eingesetzt. Das liegt häufig daran, dass die dafür erforderlichen Zertifikate nicht ganz billig sind und die Umstellung auf TLS zudem einigen Aufwand erforderlich macht.

Aus diesem Grund wird dieser, eigentlich notwendige, Schritt in vielen Unternehmen auf unbestimmte Zeit aufgeschoben. Stattdessen werden meist andere Aufgaben, wie beispielsweise die Suchmaschinenoptimierung in den Vordergrund gestellt. Das ist aus ökonomischer Sicht zwar verständlich, aus sicherheitstechnischer Sicht jedoch leider eine Katastrophe.

Glücklicherweise gibt es seit Anfang August dieses Jahres einen zusätzlichen Anreiz, unabhängig von der Sicherheit einer Seite, der die Umstellung auf TLS begünstigt: Google hat am 06. August 2014 in einem Blogpost [2] bekanntgegeben, dass die Verwendung von TLS in Zukunft einen Einfluss auf das Ranking einer Webseite haben werde. Zwar betrifft das laut Google momentan nur etwa 1% aller Webseiten, wobei das Gewicht dieses Faktors außerdem recht klein ist, in Zukunft soll dieser Faktor jedoch deutlich stärker gewichtet werden.

Dies ist ein guter, zusätzlicher Grund, um bereits jetzt auf TLS umzustellen.

[1] In Abschnitt 2 werden Sie weitere Beispiele kennenlernen, die Ihnen verdeutlichen werden, warum das unbedingt erforderlich ist.