{"id":93,"date":"2024-02-08T11:21:03","date_gmt":"2024-02-08T10:21:03","guid":{"rendered":"http:\/\/deine-datenschuetzer.de\/?p=93"},"modified":"2024-02-15T17:54:57","modified_gmt":"2024-02-15T16:54:57","slug":"zertifikate-zertifikate-zertifikate-welches-denn-nun","status":"publish","type":"post","link":"https:\/\/deine-datenschuetzer.de\/index.php\/2024\/02\/08\/zertifikate-zertifikate-zertifikate-welches-denn-nun\/","title":{"rendered":"Zertifikate, Zertifikate, Zertifikate! Welches denn nun?"},"content":{"rendered":"<p class=\"mcntmsonormal1\">Auch hier gilt: Verschl\u00fcsselung ist ein &#8222;MUSS&#8220;. Die Entscheidung liegt nun bei bezahltem oder kostenfreiem Zertifikat. Kostenlose SSL-Zertifikate nutzen die gleichen Verschl\u00fcsselungsalgorithmen wie kostenpflichtige Zertifikate, um die verschl\u00fcsselten Daten zu \u00fcbertragen. Die digitale Signatur besteht meist aus einer ebenfalls sicheren 4096-Bit-RSA-Schl\u00fcssel. Allerdings sind bei den kostenfreien Zertifikaten meist nur Domain-validierte SSL-Zertifikate kostenlos. Eine \u00dcberpr\u00fcfung des Unternehmens ist somit nicht m\u00f6glich. Bei bezahlten SSL-Zertifikaten pr\u00fcft der Herausgeber die Antragsteller detaillierter. Beispielsweise rufen Mitarbeitende das Unternehmen an oder schauen sich die Eintr\u00e4ge im Handelsregister an. Das hilft, Betr\u00fcger zu erkennen. Kostenlose SSL-Zertifikate haben dagegen gelegentlich auch Hacker erhalten. Darunter kann die Glaubw\u00fcrdigkeit leiden. Das w\u00e4re der einzige Grund, warum ich ein bezahltes Zertifikat empfehlen w\u00fcrde.<\/p>\n<p class=\"mcntmsonormal1\">Die DSGVO sagt dazu:<\/p>\n<p><strong>Art. 32 DSGVO Sicherheit der Verarbeitung<\/strong><\/p>\n<ol>\n<li>Unter Ber\u00fccksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umst\u00e4nde und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Ma\u00dfnahmen, um ein dem Risiko angemessenes Schutzniveau zu gew\u00e4hrleisten; diese Ma\u00dfnahmen schlie\u00dfen gegebenenfalls unter anderem Folgendes ein:\n<ol>\n<li>die Pseudonymisierung und Verschl\u00fcsselung personenbezogener Daten;<\/li>\n<li>die F\u00e4higkeit, die Vertraulichkeit, Integrit\u00e4t, Verf\u00fcgbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;<\/li>\n<li>die F\u00e4higkeit, die Verf\u00fcgbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;<\/li>\n<li>ein Verfahren zur regelm\u00e4\u00dfigen \u00dcberpr\u00fcfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Ma\u00dfnahmen zur Gew\u00e4hrleistung der Sicherheit der Verarbeitung.<\/li>\n<\/ol>\n<\/li>\n<li>Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu ber\u00fccksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch \u2013 ob unbeabsichtigt oder unrechtm\u00e4\u00dfig \u2013 Vernichtung, Verlust, Ver\u00e4nderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die \u00fcbermittelt, gespeichert oder auf andere Weise verarbeitet wurden.<\/li>\n<li>Die Einhaltung genehmigter Verhaltensregeln gem\u00e4\u00df <a href=\"https:\/\/dsgvo-gesetz.de\/art-40-dsgvo\/\">Artikel 40<\/a> oder eines genehmigten Zertifizierungsverfahrens gem\u00e4\u00df <a href=\"https:\/\/dsgvo-gesetz.de\/art-42-dsgvo\/\">Artikel 42<\/a> kann als Faktor herangezogen werden, um die Erf\u00fcllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.<\/li>\n<li>Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte nat\u00fcrliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.<\/li>\n<\/ol>\n<p>Da gibt es also keine konkrete Aussage \u2013 wer h\u00e4tte es gedacht.<\/p>\n<p>Der BSI konkretisiert es\u00a0 zwar aber schlie\u00dft m.E. die kostenfreien\u00a0 nicht aus:<\/p>\n<p><a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Standards-und-Zertifizierung\/Technische-Richtlinien\/TR-nach-Thema-sortiert\/tr02102\/tr02102_node.html\">https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Standards-und-Zertifizierung\/Technische-Richtlinien\/TR-nach-Thema-sortiert\/tr02102\/tr02102_node.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Auch hier gilt: Verschl\u00fcsselung ist ein &#8222;MUSS&#8220;. Die Entscheidung liegt nun bei bezahltem oder kostenfreiem Zertifikat. Kostenlose SSL-Zertifikate nutzen die gleichen Verschl\u00fcsselungsalgorithmen wie kostenpflichtige Zertifikate, um die verschl\u00fcsselten Daten zu \u00fcbertragen. Die digitale Signatur besteht meist aus einer ebenfalls sicheren 4096-Bit-RSA-Schl\u00fcssel. Allerdings sind bei den kostenfreien Zertifikaten meist nur Domain-validierte SSL-Zertifikate kostenlos. Eine \u00dcberpr\u00fcfung des &hellip; <\/p>\n<p class=\"link-more\"><a href=\"https:\/\/deine-datenschuetzer.de\/index.php\/2024\/02\/08\/zertifikate-zertifikate-zertifikate-welches-denn-nun\/\" class=\"more-link\"><span class=\"screen-reader-text\">\u201eZertifikate, Zertifikate, Zertifikate! Welches denn nun?\u201c<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11],"tags":[],"class_list":["post-93","post","type-post","status-publish","format-standard","hentry","category-datensicherheit"],"_links":{"self":[{"href":"https:\/\/deine-datenschuetzer.de\/index.php\/wp-json\/wp\/v2\/posts\/93","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/deine-datenschuetzer.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/deine-datenschuetzer.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/deine-datenschuetzer.de\/index.php\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/deine-datenschuetzer.de\/index.php\/wp-json\/wp\/v2\/comments?post=93"}],"version-history":[{"count":1,"href":"https:\/\/deine-datenschuetzer.de\/index.php\/wp-json\/wp\/v2\/posts\/93\/revisions"}],"predecessor-version":[{"id":94,"href":"https:\/\/deine-datenschuetzer.de\/index.php\/wp-json\/wp\/v2\/posts\/93\/revisions\/94"}],"wp:attachment":[{"href":"https:\/\/deine-datenschuetzer.de\/index.php\/wp-json\/wp\/v2\/media?parent=93"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/deine-datenschuetzer.de\/index.php\/wp-json\/wp\/v2\/categories?post=93"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/deine-datenschuetzer.de\/index.php\/wp-json\/wp\/v2\/tags?post=93"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}