Screenshot Schriftzug Security

Corporate Blogs gehören für Unternehmen und Selbstständige heutzutage ganz selbstverständlich zur Öffentlichkeitsarbeit. Externe Links zu weiterführenden Informationen werten die eigenen Blogpostings in der Regel auf.

Dass derzeit immer mehr Websites auf SSL setzen (erkennbar am „https://“ statt „http://“ in der Adresszeile) kann in diesem Zusammenhang zu neuen Risiken führen. Stellen Sie sich folgendes Szenario vor:

  1. Ein wichtiger Link in einem Blogposting führt zu einer externen Website mit hoher Seriosität und Reputation, beispielsweise zu einer staatlichen Stelle.
  2. Dabei handelt es sich ohne Frage um ein Linkziel höchster Qualität.
  3. Dennoch entpuppt sich genau dieser Link als Qualitätsproblem, das Leser massiv verunsichern kann – allerdings nur solche mit dem Browser Internet Explorer.

Warum können selbst Links zu seriösen Websites ein Risiko darstellen?

In unserem Beispielfall schlägt ein durch Nachlässigkeit verursachtes Technik-Problem zu: Die Ziel-Website verwendet ein mangelhaft implementiertes SSL-Zertifikat. Die Folge: „Es besteht ein Problem mit dem Sicherheitszertifikat der Website“, meldet der Browser Ihrer Leser. Die sind natürlich total verunsichert und fragen sich, warum Sie von Ihrem Blog oder Ihrer Website aus auf unsichere Inhalte verlinken.

Das besonders Unerfreuliche dabei: Sie kriegen davon erst einmal gar nichts mit. Denn der Effekt trifft nur auf, sofern der Nutzer nicht (wie eventuell Sie) einen Firefox, Chrome oder Safari verwendet, sondern einen Internet Explorer, im vorliegenden Fall (der sich so zugetragen hat) in der Version 11.

IE-Fehler-SSL-Zertifikat
Warnung des Internet Explorer 11: Es gibt Probleme mit dem SSL-Zertifikat der verlinkten Seite

 

Auch wenn der Marktanteil des Microsoft Browsers in den vergangenen Jahren gesunken ist: Es gibt viele Firmen, gerade große, in denen die Mitarbeiter nicht die Wahl haben, welchen Browser sie nun verwenden möchten – es ist der Internet Explorer installiert und verbindlich vorgeschrieben.

Problematisch ist nicht nur, dass sich unterschiedliche Browser bei mangelhaft implementierten SSL-Zertifikaten unterschiedlich verhalten. Dazu kommt, dass es manche „SSL-Checker“, die im Web ihre Dienste anbieten, mit der Prüfung von SSL-Zertifikaten nicht ganz so genau nehmen. Diese Tools dienen eigentlich dazu, zu prüfen, ob das SSL-Zertifikat einer beliebigen Website gültig ist. Doch nicht alle dieser Checker sind gleich streng.

In dem diesem Beitrag zugrunde liegenden Fall lieferten mehrere dieser Werkzeuge, u.a. solche, die führende Webhoster aus Deutschland anbieten, die Information zurück, das Zertifikat sei „richtig installiert“. Sie zeigten ein grünes Häkchen und lediglich zwei zusätzliche „Warnungen“. Diese wirken minder schwerwiegend. Sie lassen nicht erwarten, dass Browser den Besuch der fraglichen Website mit einer Sicherheitswarnung verhindern.

Erst der umfassende SSL-Check der Qualys SSL Labs deckte eine ganze Reihe massiver Mängel auf – womit die Ursache für die Fehlermeldung durch den Internet Explorer 11 auf dem Tisch lag.

Daraus ergeben sich folgende Handlungsempfehlungen:

  1. Gehen Sie nicht davon aus, dass eine Website, die sich mit Ihrem eigenen Browser klaglos öffnen lässt, auch von Ihren Kunden und Geschäftspartnern ohne keine SSL-Warnung aufrufen lässt.
  2. Prüfen Sie die Zertifikate von Websites, auf die Sie verlinken, mit einem wirklich tiefgreifenden SSL-Checker wie dem von Qualys SSL Labs. Wenn das Testergebnis auf Mängel bei der SSL-Implementierung hinweist, sollten Sie prüfen, ob sich die Zielseite mit gängigen Browsern ohne Warnmeldung aufrufen lässt. Behalten Sie dabei auch im Hinterkopf, dass die Bewertung von SSL-Zertifikaten durch Browser mit der Zeit immer strikter wird.
  3. Selbiges gilt natürlich auch für Ihr eigenes SSL-Zertifikat.

 

Bernhard JodeleitAutor dieses Beitrags:

Bernhard Jodeleit berät Unternehmen in Sachen Digitalstrategie, Online Marketing und Krisenkommunikation. Zudem beschäftigt er sich seit Jahren mit dem sicheren Betrieb von Unternehmenswebsites und der Abwehr von Cyber-Angriffen. Den ausführlichen Beitrag „Vorsicht bei SSL: Zertifikat ist nicht gleich Zertifikat“ finden Sie auf seiner Website.

Hinweis: IT- und Security-Probleme können sehr schnell existenzbedrohende Ausmaße annehmen – vor allem für klein- und mittelständische Unternehmen, die weder über die finanziellen Mittel, noch über das adäquate Krisenmanagement zur Bewältigung verfügen. Die Hiscox Cyber-Versicherung bietet genau diese Sicherheit und deckt finanzielle Risiken ab, die durch Cyberattacken und Datenrechtsverletzungen auf Sie zukommen können. Zur Cyber-Versicherung