Lediglich 19 % der Behörden-Websites in Baden-Württemberg sind über das gesicherte HTTPS-Protokoll abrufbar, wie eine großflächig durchgeführte Online-Prüfung des LfDI BW ergeben hat. Zumindest an einigen Stellen sind aber auch positive Entwicklungen zu verzeichnen.
Im letzten Tätigkeitsbericht (2016/2017) haben wir über unsere Online-Prüfung von baden-württembergischen Unternehmens-Websites berichtet: lediglich 15 % der Unternehmens-Websites waren 2017 per HTTPS gesichert, wie wir festgestellt hatten (2016 waren es lediglich 5 %). Bis Anfang 2018 ist dieser Wert nun immerhin auf 22 % gestiegen. In der Zwischenzeit haben wir auch die baden-württembergischen Behörden-Websites in unsere Online-Prüfung aufgenommen – hierauf wollen wir in diesem Beitrag näher eingehen.
Zur Wahrung der Sicherheit der Datenverarbeitung fordert Artikel 32 DS-GVO:
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
Das HTTP Secure (HTTPS)-Protokoll stellt die Standard-Maßnahme dar, um Sicherheit (insbesondere Vertraulichkeit, Authentizität und Integrität) der Kommunikation im Web zu gewährleisten und ist damit eine geeignete technische Maßnahme im Sinne von Artikel 32 DS-GVO.
In unserer aktuellen Online-Prüfung haben wir untersucht, inwieweit die Websites von Behörden in Baden-Württemberg über HTTPS gesichert sind. Da gerade die Websites von Städten und Gemeinden für viele Bürger die erste Anlaufstelle für (zurzeit immer noch recht einfache) E-Government-Anwendungen darstellen, haben wir den Fokus auf diese Websites gelegt.
Zum Ergebnis
Von den untersuchten 1.754 Behörden-Websites wurden Anfang 2017 13 % über eine HTTPS-Verbindung angeboten. Bis Anfang 2018 hat sich dieser Wert auf 19 % erhöht. Die folgende Tabelle zeigt die Werte heruntergebrochen auf die unterschiedlichen Behörden.
Behörde | Anzahl Websites | HTTPS (2017) | HTTPS (2018) |
Hochbauamt | 25 | 4 % | 8 % |
Notariat | 317 | 0 % | 0 % |
Landratsamt | 35 | 31 % | 43 % |
Ministerium | 11 | 64 % | 64 % |
Stadt/Gemeinde | 1.054 | 11 % | 28 % |
Amtsgericht | 108 | 0 % | 0 % |
Arbeitsgericht | 17 | 0 % | 0 % |
Finanzamt | 82 | 0 % | 0 % |
In der Tabelle können wir einen deutlichen Anstieg an per HTTPS angebotenen Websites von Städten und Gemeinden erkennen. Wenn wir die Ergebnisse bei den Websites von Städten und Gemeinden jedoch im Detail betrachten, so lässt sich feststellen, dass der Einsatz von HTTPS sehr stark mit der Einwohnerzahl einer Gemeinde/Stadt korreliert. Von den 743 Websites von Gemeinden sind lediglich 20 % per HTTPS gesichert; von den 311 Websites von Städten sind es hingegen 43 %. Die folgende Tabelle schlüsselt die Ergebnisse weiter auf.
Einwohnerzahl | Anzahl Websites | HTTPS (2018) | Bevölk. |
< 2.000 | 187 | 9 % | 222.073 |
2.000 – 5.000 | 403 | 21 % | 1.356.508 |
5.000 – 20.000 | 412 | 34 % | 3.819.913 |
20.000 – 50.000 | 78 | 53 % | 2.406.106 |
50.000 – 100.000 | 13 | 62 % | 902.132 |
100.000 – 500.000 | 8 | 100 % | 1.459.920 |
> 500.000 | 1 | 100 % | 615.862 |
Es ist deutlich erkennbar, dass, je größer eine Gemeinde/Stadt ist, desto eher wird die Website dieser Gemeinde/Stadt per HTTPS angeboten. In einem Flächenland wie Baden-Württemberg, in dem sehr viele Menschen auch in kleineren Gemeinden und Städten leben, sind demnach auch sehr viele Bürger von nicht gesicherten Websites ihrer Gemeinden und Städte betroffen. Darüber gibt die 4. Spalte Auskunft. In Gemeinden mit unter 20.000 Einwohnern leben immerhin 5.398.494 Menschen; dabei sind unter 50 % der Websites über HTTPS gesichert. Im Gegensatz dazu sind mehr als 50 % der Websites von Städten mit mehr als 20.000 Einwohnern über HTTPS gesichert. Davon profitieren insgesamt 5.384.020 Einwohner (und damit weniger Menschen als von nicht-gesicherten Websites Betroffenen in kleineren Gemeinden und Städten).
Die in der Online-Prüfung gewonnene Erkenntnis, dass das Datenschutzniveau (zumindest in Bezug auf den Einsatz von HTTPS) auf Websites mit der Größe einer Gemeinde/Stadt (in Bezug auf die Einwohnerzahl) korreliert, bestätigt unsere Beobachtung, dass kleinere Gemeinden eher weniger Ressourcen für den Datenschutz aufwenden (können). Im Hinblick auf den Einsatz von HTTPS gilt aber zumindest der Kostenaspekt nicht als Ausrede. Die nötigen TLS-Zertifikate sind dank der Initiative „Let’s Encrypt“ inzwischen kostenfrei erhältlich. Lediglich 10 Städte und
14 Gemeinden nutzen allerdings bisher von Let’s Encrypt ausgestellte Zertifikate. Im Vergleich dazu sind von Let’s Encrypt ausgestellte Zertifikate bei Unternehmen im Ländle beliebter und weitaus häufiger im Einsatz, nämlich inzwischen bei 30 % der über HTTPS-gesicherten Websites von Unternehmen.
Nicht alle (untersuchten) Behörden-Websites erheben personenbezogene Daten von Nutzern. Streng genommen müssten diese Websites nicht über HTTPS angeboten werden. Allerdings lassen unter Umständen auch diese Websites Rückschlüsse auf deren Besucher zu, etwa für welche Sozialleistungen sich ein Bürger interessiert. Außerdem sind ungesicherte Websites anfällig für Manipulationen durch Angreifer. Aus diesem Grund ist eine möglichst flächendeckende Nutzung von HTTPS aus Datenschutz- und IT-Sicherheitssicht wünschenswert. Der LfDI BW wird weiterhin dafür eintreten, dass sich der Anteil an HTTPS-gesicherten Unternehmens- und Behörden-Websites im Ländle weiter verbessert.
Wie bereits im letzten Tätigkeitsbericht erwähnt, empfehlen wir allen Website-Betreibern in Baden-Württemberg, ihre Website über eine gesicherte HTTPS-Verbindung bereitzustellen. Der LfDI BW wird weiterhin Website-Betreiber, die über ihre Website personenbezogene Daten erheben, auf die Einhaltung der Nutzung von HTTPS (mit aktueller TLS-Version und als sicher geltender Cipher Suite) hin überprüfen und auffordern – falls nötig werden wir im Unternehmensbereich hier auch Bußgelder verhängen.
Die Ergebnisse der aktuellen Prüfung wurden erstmals unter dem Titel „HTTPS im Lichte der DSGVO“ in der Zeitschrift Datenschutz und Datensicherheit (Ausgabe 11/2018) publiziert. In dem Beitrag wird noch detaillierter auf technische Aspekte der Prüfung und der Ergebnisse eingegangen.
Diesen Beitrag finden Sie auch in unserem 34. Tätigkeitsbericht für den Datenschutz unter
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/02/LfDI-34.-Datenschutz-T%C3%A4tigkeitsbericht-Internet.pdf