TLS-Verschlüsselung: Sicherheit für Dein digitales Geschäftskonto

Yasmin
Yasmin Mai 2021 6 Min

Inhaltsverzeichnis

Sicherheit für Dein digitales Geschäftskonto wird bei Penta großgeschrieben. Wir schützen Dein Konto mit der 2-Faktor-Authentifizierung bei der Anmeldung und Deine Log-in-Daten mittels TLS-Verschlüsselung. Wie genau schützt Dich die TLS-Verschlüsselung eigentlich beim Onlinebanking? Und in welchen anderen Bereichen kannst Du das Sicherheitsprotokoll einsetzen, um Dein eigenes Unternehmen zu schützen? 

Was ist die TLS-Verschlüsselung?

TLS ist ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet, das auf Websites, aber auch für die E-Mail-Verschlüsselung eingesetzt wird. Die Abkürzung steht für Transport Layer Security und wird häufig synonym für die Verschlüsselung von Onlinedatenströmen verwendet. Bis zur Einführung von TLS galt SSL, Secure Sockets Layer, als der Verschlüsselungsstandard. Einfach ausgedrückt befindet sich die SSL- bzw. TLS-Verschlüsselung auf einer Ebene zwischen dem Hypertext Transfer Protocol (HTTP) für das Internet und dem Transport Control Protocol (TCP) und sorgt dort für den sicheren Austausch von Daten, die zwischen dem Client- und dem Server-Programm in einem Netzwerk oder zwischen den Programmebenen eines einzelnen Computers hin- und herbewegt werden. Dabei werden die Informationen vor dem Versand beim Absender verschlüsselt und erst beim Empfänger wieder entschlüsselt. Dazu wird ein entsprechender öffentlicher oder privater Schlüssel benötigt, der über TLS-Handshake, eine der Hauptkomponenten des TLS, in Verbindung mit einer Authentifizierung sicher ausgetauscht werden kann. Mittlerweile hat TLS, das auf SSL basiert, diesen Standard abgelöst.

Woran erkennst Du eine sichere Seite? 

TLS- und SSL-Verschlüsselung sind zentrale Bestandteile der meisten Web-Browser und Web-Server. Als Nutzer erkennst Du eine verschlüsselte Verbindung in Deinem Browser an dem kleinen Schloss-Symbol oder an dem zusätzlichen „S“ beim HTTP (HTTPS). Liegen Websites auf einem Server, der TLS unterstützt, kann das Verschlüsselungsprotokoll über ein digitales Zertifikat aktiviert werden. Das Zertifikat wird von speziellen Zertifizierungsstellen ausgestellt, beispielsweise von der Bundesnetzagentur. Nicht vertrauenswürdigen Zertifizierungsstellen werden vom Browser abgelehnt bzw. der Nutzer wird durch einen entsprechenden Hinweis vor einem Sicherheitsrisiko gewarnt. Vergleichbar mit einem Ausweis enthält das Zertifikat Informationen, die zur Prüfung der Authentizität notwendig sind.

Neue EV-TLS-Zertifikate

Immer mehr Unternehmen – unter anderem auch Banken und Finanzdienstleister – setzen sogenannte EV-TLS-Zertifikate ein, um ihre Seiten sowie die E-Mail-Kommunikation mit ihren Kunden. Zu verschlüsseln. Ob Deine Bank so ein Zertifikat verwendet, erkennst Du daran, dass sich die Browser-Leiste nach erfolgter Überprüfung grün färbt ein.

Eine Verbindung kann trotz https, Schloss und grüner Schrift nicht sicher sein, wenn das Zertifikat abgelaufen ist. Um die Gültigkeit zu überprüfen, kannst Du im Browser auf das Schloss-Symbol klicken. Chrome, Firefox und Safari zeigen Dir dann an, ob ein Zertifikat noch gültig ist. 

Ist die SSL- oder TLS-Verschlüsselung Pflicht?

Laut der aktuellen Datenschutz-Grundverordnung (DSGVO) ist die TLS- und SSL-Verschlüsselung nur dann Pflicht, wenn auf einer Website über Formulare personenbezogene Daten abgefragt werden – beispielsweise bei einem Onlineshop aber auch beim Onlinebanking

Wie schützt die SSL- bzw. TLS-Verschlüsselung Dein Geschäftskonto?

Ohne SSL- oder TLS-Verschlüsselung sind Daten, die über eine Website übertragen werden, im Internet als Klartext lesbar. Das heißt, verwendet der Anbieter Deines privaten Girokontos oder Deines Geschäftskontos keine TLS-Verschlüsselung, können Hacker sensible Nutzerdaten wie Personen-, Bank- oder Kreditkartendaten abgreifen und sich so Zugang zu Deinem Konto verschaffen.

Unternehmen können unterschiedliche TLS-Zertifikate kaufen, um damit ihre Website je nach Bedarf mit verschiedenen Vertrauensgraden zu schützen. 

  • Domain Validation (DV)
  • Organizational Validation (OV) 
  • Extended Validation (EV)

Bei Banken ist die Extended Validation üblich. Um so ein Zertifikat zu bekommen, wird ein Unternehmen streng überprüft. Entsprechend sind diese Zertifikate zwar teuer, bieten dem Nutzer jedoch die größtmögliche Sicherheit.

Penta desktop mobile business banking

Entdecke digitales Banking für Dein Unternehmen

Wie schützt Penta Dein digitales Geschäftskonto?

Um Deine Log-in-Daten zu schützen, verwendet Penta eine TLS-Verschlüsselung mit einer Verschlüsselungstiefe von 256 Bit. Willst Du Dich auf unserer Website einloggen, stellt Dein Browser eine TLS-Verbindung zum Webserver her, prüft unser TLS-Zertifikat und baut eine verschlüsselte Verbindung zwischen Deinem Browser und dem Server auf. Über diese sichere Verbindung loggst Du Dich bei Penta in Deinem Online Geschäftskonto ein und musst Dir keine Sorgen darüber machen, dass unbefugte Dritte auf Deine Daten zugreifen können.

Darüber hinaus schützen wir den Zugriff auf Dein Geschäftskonto mit der 2-Faktor-Authentifizierung. Das heißt, bei der Anmeldung für Dein Onlinebanking musst Du Deine Identität anhand von zwei unterschiedlichen, voneinander unabhängigen Komponenten nachweisen. Typische Beispiele für diese Art der Authentifizierung sind Bankkarte plus PIN-Eingabe am Geldautomaten oder eine Transaktionsnummer (TAN) beim Onlinebanking, die Dir per SMS zugeschickt wird. Bei Penta musst Du nach der Aktivierung nicht nur Deine E-Mail-Adresse und Dein Passwort, sondern zusätzlich einen einzigartigen Code eingeben, der über eine SMS/Google-Authentifizierungs-App erzeugt wird.

Du möchtest mehr über die Sicherheit und Zuverlässigkeit Deines Geschäftskontos bei Penta erfahren? Informiere Dich jetzt über unsere Sicherheitsmaßnahmen.

Wie kannst Du Deine eigene Unternehmenswebsite verschlüsseln?

Ob die TLS-Verschlüsselung für Deine eigene Unternehmenswebsite verpflichtend ist, hängt davon ab, ob Du personenbezogene Daten Deiner Nutzer über Formulare abfragst. Da dies allerdings schon dann der Fall ist, wenn Du Deine Nutzer beispielsweise in der Kommentarfunktion Deines Unternehmensblogs oder zur Anmeldung eines Newsletters zur Eingabe eines Namens oder einer E-Mail-Adresse aufforderst, ist es eigentlich für jeden Websitebetreiber ratsam, die TLS-Verschlüsselung zu verwenden. Verpflichtend ist es gemäß DSGVO auf jeden Fall, sobald es um den Austausch sensibler Nutzerdaten geht. So oder so sorgt die verschlüsselte Übertragung von Daten nicht nur für Sicherheit, sondern stärkt auch das Vertrauen Deiner Kunden in Dein Angebot.

Was kannst Du also tun, um die TLS-Verschlüsselung für Deine Website zu aktivieren? Je nach Anspruch an die Höhe der Authentifizierungsstufe stehen Dir die oben genannten Zertifikatsarten zur Verfügung. Welches Zertifikat das passende für Dich ist, hängt davon ab, welche Daten Du auf Deiner Website abfragst. 

Idealerweise sorgst Du gleich zum Livegang Deiner Website für die passende Verschlüsselung. Du kannst Deine Website aber auch später ohne großen Aufwand umstellen. Die notwendigen Schritte sind bei beiden Vorgehensweisen die Gleichen:

  1. TLS-Zertifikat beantragen
  2. Installation des Zertifikats auf dem Server
  3. Weiterleitung einrichten
  4. Gültigkeit überprüfen

Du erhältst das Zertifikat bei speziellen Zertifizierungsstellen wie der Bundesnetzagentur. Viele Hosting-Anbieter übernehmen diesen beiden Schritt auch für Dich. 

Neben kostenpflichtigen Zertifikaten gibt es auch kostenfreie Zertifikate. Allerdings verfügen diese über eine kürzere Laufzeit und Du musst sie selbstständig administrieren. Außerdem sind sie nicht Domain-übergreifend nutzbar, sondern an nur eine einzige Domain gebunden.  

Hast Du das Zertifikat erfolgreich installiert, musst Du noch eine Weiterleitung der HTTP-Adresse auf die HTTPS-Adresse einrichten, um zu vermeiden, dass Suchmaschinen die Seiten als unterschiedliche Seiten erkennen.

Jetzt musst Du eigentlich nur noch die Gültigkeit Deines Zertifikats im Auge behalten, um von der Sicherheit der TLS-Verschlüsselung und dem Nutzervertrauen Deiner sicheren Website zu profitieren. 

penta blog

Geschäftskonto, Unterkonten, Karten – alles dabei

Nach oben