Zum Inhalt springen
NeoGuard

SSL/TLS

Kryptografische Protokolle, die die Kommunikation zwischen Ihrem Browser und einer Website verschlüsseln (das Schloss-Symbol) und sicherstellen, dass Daten unterwegs nicht abgefangen oder manipuliert werden können.

SSL (Secure Sockets Layer) und sein Nachfolger TLS (Transport Layer Security) sind die Protokolle, die Daten bei der Übertragung zwischen Ihrem Browser und einer Website verschlüsseln. Wenn Sie das Schloss-Symbol in der Adressleiste Ihres Browsers sehen, ist TLS aktiv. Obwohl SSL technisch veraltet ist (ersetzt durch TLS 1.2 und 1.3), hält sich der Begriff «SSL» im allgemeinen Sprachgebrauch.

Was TLS schützt

  • Vertraulichkeit: Ein Angreifer, der das Netzwerk überwacht (z.B. in einem öffentlichen WLAN), kann die ausgetauschten Daten nicht lesen.
  • Integrität: Daten können während der Übertragung nicht unbemerkt verändert werden.
  • Authentifizierung: Das Zertifikat bestätigt, dass Sie mit dem echten Server kommunizieren, nicht mit einem Imitator.

Was TLS nicht schützt

TLS sichert die Verbindung, nicht die Endpunkte:

  • Es schützt keine auf dem Server gespeicherten Daten (dafür ist Verschlüsselung im Ruhezustand nötig)
  • Es verifiziert nicht, dass eine Website legitim ist, nur dass die Verbindung verschlüsselt ist. Eine Phishing-Seite kann ein gültiges TLS-Zertifikat haben.
  • Es schützt nicht vor Malware auf Ihrem Gerät, die Daten vor der Verschlüsselung abfängt
  • Für vollständige Netzwerkprivatsphäre (verbergen, welche Seiten Sie besuchen) brauchen Sie ein VPN

TLS-Versionen

  • TLS 1.3 (aktuell): Schnellerer Handshake, stärkere Standardeinstellungen, entfernt Unterstützung für schwache Algorithmen. Der Standard, den Sie verwenden sollten.
  • TLS 1.2: Noch akzeptabel, bietet aber mehr Konfigurationsoptionen, die falsch konfiguriert werden können.
  • TLS 1.0/1.1 und alle SSL-Versionen: Veraltet. Wenn Ihre Systeme diese noch verwenden, sind sie verwundbar.

TLS für Schweizer Unternehmen

  • Websites: Jede Unternehmenswebsite sollte TLS (HTTPS) verwenden. Kostenlose Zertifikate gibt es von Let’s Encrypt. Es gibt keinen validen Grund, 2026 eine unverschlüsselte Website zu betreiben.
  • E-Mail: Konfigurieren Sie Ihren Mailserver für TLS-Transportverschlüsselung (STARTTLS oder implizites TLS). Für sensible Kommunikation mit Ende-zu-Ende-Verschlüsselung kombinieren.
  • APIs und interne Dienste: TLS sollte alle Daten bei der Übertragung schützen, einschliesslich interner Service-zu-Service-Kommunikation.
  • Compliance: Das nDSG verlangt angemessene technische Massnahmen zum Datenschutz. TLS auf allen externen Diensten ist eine regulatorische Mindesterwartung.

Zertifikatsmanagement

TLS-Zertifikate laufen ab (typischerweise alle 90 Tage bei Let’s Encrypt, bis zu 1 Jahr bei kostenpflichtigen Zertifikaten). Abgelaufene Zertifikate verursachen Browserwarnungen, die das Vertrauen der Nutzer zerstören. Automatisieren Sie die Erneuerung, wo immer möglich.

Verwandte Begriffe

VerschlüsselungVPN (Virtual Private Network)Phishing