Sichere Datenübertragung verpflichtend
Mit der Richtlinie über die “Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation)” werden Betreiber von Onlinediensten verpflichtet Sicherheitsmaßnahmen zu ergreifen die “unter Berücksichtigung des Standes der
Technik und der Kosten ihrer Durchführung ein Sicherheitsniveau gewährleisten, das angesichts des bestehenden Risikos angemessen ist.”
Im Zusammenhang mit Datenübertragung im Internet hat sich die 128Bit-SSL Verschlüsselung als “Stand der Technik” herauskristallisiert und bewährt. Internet-Benutzer erkennen diese SSL-Verschlüsselung durch das “https” vor einer URL bzw. durch ein geschlossenes Schlosssymol bei manchen Webbrowsern. Auch die Datenschutzverordnung des Bundeskanzlers schreibt bei Internetanwendungen SSL-Verschlüsselung vor.
Schwache Verbreitung in Österreich
In einer Studie der ARGE DATEN wurden 2004 die Webauftritte von 422 Unternehmen analysiert. Als Referenzstichprobe wurden auch 210 ausländische Websites (meist aus Deutschland) überprüft, die für Österreicher von Bedeutung sind.
Nur 18,7 % (79 Anbieter) verwenden die sichere SSL-Verschlüsselung, 343 (oder mehr als 80 %) ignorieren den gesetzlichen Auftrag zur sicheren Onlinekommunikation. Damit sind die Daten eklatant schlechter als die Vergleichsstichprobe der ausländischen Anbieter. Hier verwenden immerhin 43,9 % sichere Datenübertragung, der Anteil ist mehr als doppelt so hoch wie in Österreich.
Damit dürfte Österreich, was Onlinesicherheit betrifft mittlerweile im letzten Drittel der EU-Staaten liegen.
Keine Verbesserungen gegenüber Vergangenheit
Die aktuellen Daten wurden auch mit vergleichbaren Analysen aus den Jahren 2002 und 2003 verglichen. Auffällig und geradezu ernüchternd ist die Tatsache, dass es trotz Geltung der EG-Richtlinie keine Verbesserungen gab. Auch in den vergangenen Jahren lag die Rate der sicheren Online-Angebote bei rund 20 % und damit sogar eher über den aktuellen Werten.
Offenbar liegt hier ein mehrfaches Versagen vor. Neben fehlender Information über die Verschlüsselungs- und Zertifizierungstechnik, dürften auch geeignete Anreize zur Installation von sicherer Datenübertragung und eine wirksame Kontrolle der Einhaltung der EU-Bestimmungen fehlen.
Relativ große branchenspezifische Unterschiede
Analysiert wurden die Webangebote quer über alle Branchen hinweg, wobei sich zum Teil erhebliche Unterschiede zeigten.
So wiesen die Angebote der Verlage und Buchhändler mit einem Anteil von 32,1 % an sicherer Datenübertragung das beste Ergebnis auf.
Überraschend war die relativ geringe Verbreitung sicherer Kommunikation im Bereich der IT-Anbieter (also Computerhändler, Internet- und Telekomanbieter, IT-Dienstleister). Mit gerade 24,6 % ist der Wert kaum besser als beim sonstigen Einzelhandel (23,3 %). Gerade aus dem IT-Sektor hätte man sich Impulse und eine gewisse Vorbildwirkung erwartet.
Geradezu bestürzend sind die Werte bei den Gesundheitsdiensteanbietern im Internet (darunter auch die Apotheken). Mit bloß 6,9 % Anteil der sicheren Kommunikation ein äußerst schwaches Ergebnis.
Hans G. Zeger: “Auch wenn Österreichs Apotheken noch keine Medikamente online verkaufen dürfen, werden über viele Gesundheitsportale durch Anfragen, Onlineberatung und Verkauf von Nahrungsergänzungsmitteln gesundheitsbezogene oder zumindest gesundheitsnahe Informationen ausgetauscht. Hier mangelt es eklatant an Sensibilität der Betreiber und am Schutz der Benutzer.”
128Bit-SSL Verschlüsselung defacto-Sicherheitsstandard
Die weite Verbreitung der SSL-Technik, die leichte Implementierbarkeit und die äußerst geringen Kosten lassen nur schwer erklären, warum nicht alle Websites, die persönliche Kommunikation oder Loginmöglichkeiten anbieten, mit entsprechenden Zertifikaten ausgestattet sind.
A-CERT hat daher mit A-CERT GLOBALTRUST eine Initiative zur besseren Verbreitung sicherer Datenkommunikation gestartet. Das Zertifikat, das allen EU-Anforderungen entspricht, kostet weniger als 80 EUR/Jahr, es muss nur alle 5 Jahre aktualisiert werden und kann innerhalb von 24 Stunden ausgestellt werden. Bezüglich Installation und Beratung stehen geschulte Fachkräfte zur Verfügung. Die Installation dauert in der Regel nur wenige Minuten.
Hans G. Zeger: “Im Gegensatz zu US-Angeboten oder auch einem südafrikanischen Anbieter hat der Benutzer von A-CERT GLOBALTRUST die Sicherheit immer alle EU-Anforderungen zu erfüllen, auch fallen durch unterschiedliche Zeitzonen bedingte Zeitverzögerungen in Ausstellung, Betreuung und Widerruf weg.”
Empfehlung an Online-Betreiber
Mittelfristig – insbesondere in Hinblick auf den internationalen Markt – werden in Zukunft nur mehr SSL-verschlüsselte Webseiten Akzeptanz finden. Website-Betreiber sollten daher frühzeitig gemeinsam mit ihrem Webdesigner den Online-Auftritt auf SSL-Verschlüsselung umstellen.
Auch auf gesetzlicher Ebene gehen die Bestrebungen eindeutig in diese Richtung. Sowohl bei e-government-Lösungen, als auch im Rahmen des e-Health-Gesetzes werden nur mehr zertifizierte Webangebote möglich sein.