Umsetzungshinweise

Verschlüsselungsverfahren entsprechend dem Stand der Technik

Personenbezogene Daten müssen bei ihrer Verarbeitung geschützt werden. Hierzu sind Verantwortliche und Auftragsverarbeiter bei der Gestaltung von Webseiten verpflichtet und sie müssen entsprechende Maßnahmen ergreifen, um den Schutz der personenbezogenen Daten zu gewährleisten (Art. 32 Abs. 1 DS-GVO). Internetseiten müssen insbesondere durch Verschlüsselungen abgesichert werden. Die Absicherung kann durch Verschlüsselung der übermittelten Daten mittels HTTPS erreicht werden. Hinter dem Begriff „HTTPS“ steckt jedoch eine Sammlung verschiedener Verschlüsselungsverfahren und -technologien, von denen nicht alle ein angemessenes Schutzniveau sicherstellen können.

Zu einer HTTPS-Verschlüsselung gehört immer auch eine Cipher Suite als festgelegte Kombination kryptografischer Algorithmen für den Schlüsseltausch, die Verschlüsselung an sich und die Sicherstellung der Integrität der übermittelten Daten. Dabei ist es wichtig, dass der Betreiber einer Internetseite ausschließlich geeignete Verschlüsselungsverfahren verwendet, die dem Stand der Technik entsprechend nur auf geeigneten Cipher Suites aufbauen.

Im Folgenden werden Tipps zur Einrichtung eines Verschlüsselungsverfahrens entsprechend dem Stand der Technik dargestellt. Wir haben dafür das Vorgehen bei einer Auswahl von einigen üblichen Webhostern beschrieben. Die Auswahl wird hier in alphabetischer Reihenfolge wiedergegeben und stellt keine Empfehlung für oder gegen einen bestimmten Webhoster dar. Sollten Sie weitere Webhoster kennen, zu denen wir hier Hilfestellungen notieren könnten, wären wir Ihnen für einen Hinweis dankbar.

Zur Festlegung der unterstützten Verschlüsselungsverfahren müssen Sie diese in der Hauptkonfigurationsdatei Ihres Apache-Webservers definieren. Die Hauptkonfigurationsdatei heißt üblicherweise „httpd.conf“. Der Apache Webserver unterstützt alle Cipher Suites, die unter dem Konfigurationseintrag „SSLCipherSuite“ angegeben werden.

Mit folgenden Konfigurationseinträgen stellen Sie sicher, dass ausschließlich moderne und sichere Cipher Suites zum Einsatz kommen:

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256

SSLHonorCipherOrder on

SSLCompression off

SSLSessionTickets off

Der Webhoster All-Inkl unterstützt laut eigenen Angaben keine veralteten Cipher Suites. Sollte in Ihrem Fall trotzdem eine veraltete Cipher Suite zum Einsatz kommen, so kontaktieren Sie bitte den Support von All-Inkl, um den Grund für den Einsatz der veralteten Cipher Suite zu identifizieren und das Problem zu beheben.

Bitte kontaktieren Sie den Support des Webhosters dogado und klären Sie die notwendigen Schritte, um die Nutzung veralteter Cipher Suites auszuschließen.

Wenn Sie den Webhoster Hetzner verwenden, führt eine Umstellung auf mindestens TLS 1.2 dazu, dass nur noch Verschlüsselungsverfahren nach dem Stand der Technik genutzt werden.

Die Beschreibung zur Aktivierung von mindestens TLS 1.2 finden Sie unter der Adresse:

https://docs.hetzner.com/de/konsoleh/server-management/settings/ssl-options/Öffnet sich in einem neuen Fenster

Sollte in Ihrem Fall trotzdem noch eine veraltete Cipher Suite zum Einsatz kommen, kontaktieren Sie bitte den Support des Webhosters Hetzner um den Grund hierfür zu identifizieren und das Problem zu beheben.

Bitte kontaktieren Sie den Support des Webhosters Host Europe und klären mit diesem die notwendigen Schritte, um die Nutzung veralteter Cipher Suites auszuschließen.

Bitte kontaktieren Sie den Support des Webhosters IONOS und klären Sie die notwendigen Schritte, um die Nutzung veralteter Cipher Suites auszuschließen.

Wie Sie Cipher Suites konfigurieren und veraltete Verschlüsselungsverfahren deaktivieren, erfahren Sie auf der folgenden Hilfeseite:

https://learn.microsoft.com/de-de/windows-server/security/tls/manage-tls#configure-tls-cipher-suite-orderÖffnet sich in einem neuen Fenster

Wählen Sie die Einstellung Sicherheit: TLS 1.2 und höher, nur neueste Cipher aus, wie auf der folgenden Hilfeseite beschrieben:

https://www.mittwald.de/faq/domains-ssl/ssl/tls-verschluesselungsprotokolle-anpassenÖffnet sich in einem neuen Fenster

Bitte kontaktieren Sie den Support des Webhosters Strato und klären Sie die notwendigen Schritte, um veraltete Versionen von TLS zu deaktivieren.

Bitte beachten Sie, dass die Umsetzungshinweise nur den aktuellen Stand der Technik widerspiegeln. Es ist denkbar, dass zukünftig aktuelle Verschlüsselungsverfahren als unsicher eingestuft werden und der Einsatz neuerer Verschlüsselungsverfahren notwendig wird. Betreiber sind daher angehalten, den aktuellen Stand der Technik selbst nachzuverfolgen und bei entsprechenden Änderungen entsprechende Maßnahmen zu erlassen.

Umsetzungshinweise zu weiteren Themen: 

Stand: 23.09.2025

ZUM SEITENANFANG