Kategorie Neuigkeiten

Kostenloses Webinar – Don’t Fall for It! Scams Targeting Language Professionals

Die Aufzeichnung meines Webinars „Don’t Fall for It! Scams Targeting Language Professionals“ (auf Englisch) für Sprachmittler ist nun abrufbereit. Das Webinar kann hier kostenlos angesehen werden. Das zugehörige Informationsmaterial kann hier heruntergeladen werden.

Aufzeichnungsdatum: 9. Juli 2020
Länge: 60 Minuten
Sprache: Englisch
ATA CE-Punkt(e): 1

Prüfung der Sicherheit, Quellen und Cookies einer Website — Teil II der Vorbereitung auf die DSGVO

Vor einer Woche habe ich die Installation eines SSL-Zertifikats im Rahmen der Vorbereitung auf die DSGVO, die neue Datenschutz-Grundverordnung der EU, besprochen, die ab Mai 2018 zwingend zu befolgen ist. Heute werde ich den Vorgang zur Prüfung der Sicherheit und Quellen einer Website sowie zur Prüfung, ob die Website Cookies setzt, besprechen. Dies ist bei der Verfassung einer DGSVO-konformen Datenschutzerklärung wichtig, die auf jeder Website aufscheinen muss, die Daten von Bürgern der Europäischen Union verarbeitet, egal, ob diese Website in der EU gehostet wird oder nicht.

Am einfachsten ist diese Prüfung auf Sicherheit, Quellen und Cookies mithilfe von Google Chrome. Aktivieren Sie nach dem Herunterladen die Entwicklertools, wie im Screenshot unten gezeigt (auf Englisch).

Entwicklertools von Google Chrome

Entwicklertools von Google Chrome

Nach der Aktivierung wird das Fenster in zwei Teile aufgeteilt, der erste Teil zeigt weiterhin das übliche Browserfenster an, der andere Teil zeigt eine Reihe von Optionen an. Besuchen Sie Ihre Website, die nach der Installation des SSL-Zertifikats über https:// erreichbar sein sollte, und prüfen Sie insbesondere die Registerkarte „Sicherheit“, die eventuell ungesicherte Elemente anzeigt, die Ihre Website lädt, die Sie beim ersten Schritt der Anpassung auf das SSL-Zertifikat möglicherweise übersehen haben. Prüfen Sie außerdem die Registerkarte „Quellen“, die alle Datenquellen anzeigt, die Ihre Website lädt, und die Registerkarte „Cookies“, die die von Ihrer Website gesetzten direkten Cookies und die Cookies Dritter anzeigt. Wie Sie aus den Screenshots unten entnehmen können, lädt meine Website abgesehen von den Standard-Fonts keine Objekte Dritter und setzt auch keine Cookies. Zumindest tut dies die Startseite nicht.

Prüfung der Website-Quellen

Prüfung der Website-Quellen

Prüfung der Website-Cookies

Prüfung der Website-Cookies

Besuchen Sie nun jede einzelne Seite Ihrer Website und prüfen Sie diese drei Registerkarten. In meinem Fall fand ich ein unsicher geladenes Element auf einer Seite, das ich bei der SSL-Anpassung übersehen hatte, aber keine meiner Seiten setzt irgendwelche Cookies. Was bedeutet, dass meine DGSVO-konforme Cookie-Erklärung ziemlich einfach ausfallen wird, da es keine Cookies gibt.

SSL-Installation auf WordPress in Vorbereitung auf die DSGVO

In letzter Zeit wird die unmittelbar bevorstehende Geltendmachung der EU-Datenschutz-Grundverordnung (DSGVO) im Internet heiß diskutiert. Die DSGVO trat bereits vor zwei Jahren in Kraft, ab dem 25. Mai 2018 ist sie jedoch zwingend zu befolgen. Das bedeutet, dass alle Unternehmen, die Daten von EU-Bürgern verarbeiten (im weitesten Sinne des Wortes), ab diesem Zeitpunkt die DSGVO einhalten müssen, egal ob die Unternehmen einen Sitz in der EU haben oder nicht. Das bedeutet auch, dass jede(r) von der DSGVO betroffen ist, die bzw. der eine Website betreibt, die von EU-Bürgern besucht wird und Cookies speichert und/oder über ein Kontaktformular verfügt und/oder Mittel verfügt, über die Besucher Kommentare oder „Likes“ abgeben kann (d.h. im Grunde jedes Blog). Laut DSGVO müssen „… geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden …“ getroffen werden.

In der Praxis bedeutet das meiner Ansicht nach (ich bin keine Rechtsanwältin!) unter anderem für die meisten Websites:

  • Die Website sollte über ein SSL-Zertifikat verfügen, um sicherzustellen, dass der Internetverkehr verschlüsselt erfolgt.
  • Die Website sollte eine Cookie- und Datenschutzerklärung beinhalten.

Idealerweise würde man nun das SSL-Zertifikat zuerst installieren und dann die Website aufsetzen, aber ich habe diese Reihenfolge leider beim Aufsetzen meiner Website auf WordPress-Basis nicht befolgt. Deshalb musste ich einige zusätzliche Schritte durchführen, um das SSL-Zertifikat erfolgreich zu installieren.

1. Schritt: Installation des SSL-Zertifikats

Dieser Schritt war kinderleicht, da ich nur das SSL-Zertifikat von meinem Hosting-Anbieter kaufen musste, die Installation des eigentlichen Zertifikats erfolgte durch den Anbieter. Danach musste ich jedoch noch einige weitere Schritte durchführen, damit das SSL-Zertifikat auf meiner Website auch richtig eingesetzt wurde.

2. Schritt: Änderung der Einstellungen der WordPress-Installation

Dieser Schritt ist notwendig, damit alle Permalinks auf https:// anstatt auf http:// zeigen. Die Einstellungen können auf der Seite Einstellungen > Allgemeine Einstellungen geändert werden, sodass die WordPress- und Site-Adressen wie im Screenshot unten auf https zeigen.

https-Einstellungen in WordPress

https-Einstellunge in WordPress

Leider war dies jedoch nicht das Ende der Geschichte, da meine Website nicht wenige Seiten und Blogbeiträge enthält, die wiederum viele Dateien und Bilder enthalten, die intern alle noch auf http:// anstatt auf https:// verwiesen. Das wiederum führte dazu, dass diverse Browser bei einem Besuch der gesicherten Site (https://www.cfbtranslations.com anstatt https://www.cfbtranslations.com) Fehlermeldungen bzw. Warnmeldungen über teilweise ungesicherte Elemente auf der Webseite abgaben.

Sperrschloss zeigt sichere Seite an

Sperrschloss zeigt sichere Seite an

Ein aufgebrochenes Sperrschloss in der Adresszeile des Browsers wie unten im Screenshot bedeutet, dass Teile der Seite (Bilder usw.) nicht sicher geladene Elemente enthalten, d.h., Bilder sind beispielsweise über http:// anstatt https:// geladen.

Aufgebrochenes Sperrschloss weist auf unsichere Elemente in der Seite hin

Aufgebrochenes Sperrschloss weist auf unsichere Elemente in der Seite hin

3. Schritt: Änderung aller internen Links auf https

In meinem Fall war es einigermaßen umständlich, die Website so umzustellen, dass alle Elemente nur über SSL geladen werden. Es gibt zwar eine Vielzahl an guten WordPress-Plug-ins, die dies mit nur einem Mausklick bewerkstelligen, aber leider stellte sich heraus, dass mein WordPress-Theme oder eines der vielen Plug-ins mit diesen SSL-Plug-ins inkompatibel ist. Ich würde empfehlen, eines dieser Plug-ins zu verwenden, indem Sie einfach nach „SSL“ suchen und das Plug-in Ihrer Wahl installieren. Auf jeden Fall sollten Sie vorher eine Sicherungskopie Ihrer WordPress-Site machen, falls etwas schief läuft.

In meinem Fall war jedoch eine Inkompatibilität zwischen den SSL-Plug-ins und meiner bestehenden WordPress-Installation gegeben, was bedeutete, dass ich diesen Schritt auf andere Weise durchführen musste. Zu diesem Zweck installierte ich das Plug-in „Better Search Replace“ und suchte nach „https://www.cfbtranslations.com“ (ersetzen Sie die URL durch Ihre eigene) und ersetzte alle Vorkommnisse in allen SQL-Datenbanken durch „https://www.cfbtranslations.com“. Danach zeigte ein Besuch der Website via https:// ein schönes (grünes) Sperrschloss ohne Sicherheitswarnmeldungen.

4. Schritt: Umleitung von http:// auf https:// in der .htaccess-Datei

Dieser letzte Schritt ist notwendig, damit alle Besucher, die www.website.com oder website.com ohne Präfixe eingeben, automatisch auf die sichere Version der Site unter https://www.website.com umgeleitet werden. Hierbei muss die .htaccess-Datei im Startverzeichnis bearbeitet werden, wobei die Details der Bearbeitung vom jeweiligen Hosting-Anbieter abhängen. Ich empfehle, sich für die empfohlenen Syntax der neuen Einträge zur https-Umleitung an Ihren Hosting-Anbieter zu wenden.

In meinem Fall musste ich die folgenden Zeile ganz oben in die .htaccess-Datei einfügen:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Somit werden nun die Besucher meiner Website automatisch auf die sichere Site umgeleitet. Nun fehlt noch eine umfassende Prüfung meiner Website auf Cookies (direkt oder von Dritten) und eine Anpassung der entsprechenden existierenden Seite mit der Cookie- und Datenschutzerklärung, um diese Website DSGVO-konform zu machen. Das ist jedoch das Thema eines zukünftigen Blogbeitrags.