Allgemein

Chrome macht HTTPS zur Pflicht

Mit dem kürzlich veröffentlichten Chrome-Release 68 kennzeichnet Googles Browser Chrome Webseiten ohne verschlüsselte Verbindung (HTTPS) als unsicher. Bisher konnten einfache Webseiten, die keine persönliche Daten erfassen bzw. keine Eingabefelder enthalten, bis dato noch auf ein SSL-Zertifikat verzichten.

Das scheint sich nun zu ändern, da die Meldung in der Adressleiste viele Webseiten-Besucher verunsichern wird. Kunden, die ihre Webseiten bisher noch nicht mit einem SSL-Zertifikat versehen haben, sollten daher handeln. Denn auch unabhängig von Google ist eine verschlüsselte Verbindung empfehlenswert, um die Vertrauenswürdigkeit der Webseite zu erhöhen und vor allem den gesetzlichen Richtlinien der EU-DSGVO gerecht zu werden.

Welches SSL-Zertifikat soll genutzt werden?

Um Webseiten mit einem „sicher“ zu versehen, genügt ein SSL-Zertifikat von einem vertrauenswürdigem Anbieter. Kunden bei Campusspeicher haben die Wahl zwischen verschiedenen SSL-Zertifikaten von Comodo, die in wenigen Schritten für eine Domain beantragt werden können. Für die meisten Webseiten ist ein sog. domainvalidiertes SSL-Zertifikat völlig ausreichend. Firmen und Organisationen können die Webseite mit einem organisationsvalidierten SSL-Zertifikat absichern. Die Unterschiede haben wir im Detail erläutert. Ebenso bieten wir unseren Kunden auch die kostenlosen SSL-Zertifikate von Let’s Encrypt an. Diese Zertifikate können direkt im Control Panel erstellt werden.

Umstellung auf HTTPS

Bei der Umstellung der Webseite von HTTP auf HTTPS muss darauf geachtet werden, dass Links und andere Verweise nach der Umstellung auch korrekt funktionieren. Dies erreichen Sie beispielsweise, wenn Sie die URL in Ihrem Shop- oder CMS-System ändern (z.B. von http://meinedomain.de auf https://meinedomain.de).

Auch ein sogenannter 301-Redirect sorgt für das Erzwingen einer Weiterleitung von HTTP auf HTTPS. Eine solche Weiterleitung können Sie direkt bei uns im Control Panel aktivieren.

Kunden, die WordPress nutzen, können in den Einstellungen die URL ebenfalls von HTTP auf HTTPS ändern. Dabei ist jedoch zu beachten, dass WordPress bereits veröffentliche Links und URLs in der Datenbank speichert und nicht automatisch anpasst. Um existierende Blog-Einträge, Seiten und Medien im Nachgang nicht manuell auf HTTPS umstellen zu müssen, ist ein entsprechendes Plugin hilfreich. Empfehlenswert ist hierfür beispielsweise das Plugin SSL Insecure Content Fixer. Mit dessen Hilfe ist die Umstellung von HTTP auf HTTPS mit wenigen Klicks möglich.

 

WordPress-Update zur DSGVO

Um die Umsetzung der Datenschutz-Grundverordnung für Webseitebetreiber (DSGVO) zu unterstützen, enthält das aktuelle WordPress-Update 4.9.6 vom 17.05.2018 neue Funktionen zur Bereitstellung eines Exports von Nutzerdaten und zur vereinfachten Erstellung einer Datenschutzerklärung.

Neue Funktionen

Die Funktionen für die Verwaltung personenbezogener Daten sind dann interessant, wenn sich Nutzer an Ihrer WordPress-Seite registrieren können, beispielsweise weil Sie eine Shop-Erweiterung betreiben oder den Zugriff auf digitale Inhalte (E-Books, etc.) nach erfolgtem Login ermöglichen. Dank des neuen WordPress-Updates können Sie nun für Ihre Nutzer einfach einen Export aller Daten bereitstellen, die WordPress erfasst.

Die Funktion zur Erstellung einer Datenschutzerklärung hilft, schnell und einfach eine Datenschutzerklärung zu erzeugen. Der von WordPress vorgefertigte Text kann übernommen oder durch eine eigene Datenschutzerklärung ersetzt werden.

Datenschutz-Grundverordnung (DSGVO) für Websitebetreiber

Einleitung

Personenbezogene Daten spielen nicht nur für Unternehmen eine zunehmend wichtige Rolle. Sie sind längst ein Wirtschaftsgut geworden und werden alltäglich von internen wie externen Geschäftsprozessen erhoben und verarbeitet. Der jüngst bekanntgewordene Datenskandal von Facebook zeigt, das Privatsphäre zum Schutz der Rechte und Freiheiten der betroffenen Personen im Internet eine immer wichtigere Rolle spielt. Das Europäische Parlament hat deshalb eine EU-weit einheitliche Datenschutz-Grundverordnung (DSGVO) zum Schutz personenbezogener Daten innerhalb der Europäischen Union verabschiedet, die mit allen Konsequenzen ab dem 25.05.2018 in Kraft treten wird. In diesem Artikel möchten wir auf die wesentlichen Änderungen für Webseitenbetreiber eingehen.

Was sind personenbezogene Daten?

In der DSGVO handelt es sich bei personenbezogene Daten um alle Arten von Daten, die eine Person identifizierbar machen. Darunter fallen offensichtliche Angaben, wie Vorname, Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtstage, Kontoverbindungen etc. Nicht ganz so offensichtlich, trotzdem als personenbezogene Daten gemäß DSGVO sind auch Daten, mit denen direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, eine personenbezogene Identifikation möglich ist. Dies sind z.B. Standortdaten, IP-Adressen oder Cookies.

Welche Webseiten betrifft die DSGVO?

Nahezu alle Unternehmen, die personenbezogene Daten auf Webseiten verarbeiten, sind zur Umsetzung der DSGVO verpflichtet. In der Praxis sind das fast alle Webseiten, denn schon die Nutzung eines Kontaktformulars oder eine Kommentar-Funktion auf der Webseite gehört genauso dazu, wie die Newsletter-Anmeldung oder die Nutzung von Social Media Plugins. Webseitenbetreiber sollten daher Besuchern klar und übersichtlich darstellen, welche Daten von ihm wo und wozu erfasst werden.

Checkliste – Die wichtigsten datenschutzrechtlichen Pfichten

Die Änderungen, die sich durch die DSGVO ergeben, sind umfangreich. Verträge, AGBs und Websites müssen angepasst und neue Prozesse in die Unternehmenskultur implementiert werden. Viele Unternehmen haben bereits entsprechende Maßnahmen, die das neue Gesetz fordert, umgesetzt. Die nachfolgende „Checkliste“ fasst die wichtigsten Pflichten nicht nur für datenverarbeitende Unternehmen zusammen.

Verzeichnis von Verarbeitungstätigkeiten

Unternehmen müssen Verzeichnisse über ihre Verarbeitungstätigkeiten führen. Diese Verzeichnisse müssen ordnungsgemäß umgesetzt und laufend aktualisiert werden, sodass eine korrekte Umsetzung bei Aufsichtsbehörden nachgewiesen werden kann. Die Verzeichnisse müssen unter anderem Informationen zum Verarbeitungszweck, den Kategorien der verarbeiteten personenbezogenen Daten sowie eine Beschreibung der eingesetzten technischen und organisatorischen Schutzmaßnahmen enthalten. In einem solchen Verzeichnis muss z.B. stehen, wie die Daten auf der Webseite erhoben werden, zu welchem Zweck die Daten verwendet werden, ob es Fristen für die Löschung von Daten gibt und welche technischen/organisatorischen Maßnahmen zum Schutz der Daten getroffen werden.

Datenschutzerklärung (Einwilligung und Widerspruchsrecht)

Zum Zeitpunkt der ersten Kommunikation müssen Sie Ihre Besucher über alle Vorgänge aufklären, bei denen Sie dessen personenbezogene Daten verarbeiten. Jede Datenschutzerklärung muss den Namen und die Kontaktdaten (Anschrift und E-Mail-Adresse) des Website-Betreibers enthalten. Sofern Sie die Daten an Dritte übermitteln (z.B. externen Newsletter-Service), müssen diese entweder namentlich aufgelistet werden oder zumindest die Kategorien von Empfängern, zu denen diese Stellen gehören, genannt werden. Ein besonderes Thema sind Cookies und das Website-Tracking. Besucher sollten die Möglichkeit haben, die Verwendung personenbezogener Daten zu verhindert. Weisen Sie Ihre Besucher z.B. auf entsprechende Möglichkeiten hin, wie das Tracking von Google Analytics deaktiviert werden kann.

Ebenso muss die betroffenen Person ausdrücklich auf ihr Widerspruchsrecht hingewiesen werden, wobei dieser Hinweis in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen hat. Inzwischen gibt es eine Reihe von Online-Tools, mit denen Sie eine DSGVO-konforme Datenschutzerklärung kostenlos generieren können.

Verschlüsselung und Datenminimierung

Das Bayerische Landesamt für Datenschutzaufsicht (LDA Bayern) ist der Ansicht, dass Webseitenbetreiber die Übertragung sensibler Kundendaten mittels Kontaktformularen verschlüsseln müssen, um Daten auf dem Weg vom Kontaktformular des Webseitennutzers zum Webserver des Betreibers zu schützen. Das gilt für Newsletter-Anmeldungen ebenso wie für Kontaktdaten oder sensible Informationen, wie z.B. Login-Daten und Passwörter.

Unternehmen sollten daher die Webseite auf eine verschlüsselte Verbindung via „https“ umstellen. Kunden von Campusspeicher können hierzu ein kostenloses SSL-Zertifikate von Let’s Encrypt verwenden oder ein SSL-Zertifikat von Comodo beantragen, um die eigene Seite abzusichern.

Grundsätzlich gilt, dass so wenig Daten wie möglich erhoben werden sollten. Es besteht zwar keine Pflicht, die Datenverarbeitung auf ein absolutes Minimum zu limitieren, aber die Datenerhebung ist vielmehr im Verhältnis zum Verarbeitungszweck auf ein angemessenes Niveau zu beschränken. Unternehmen sollten sich dabei die Frage stellen, ob die erhobenen Daten zur Erreichung des Verarbeitungszwecks tatsächlich notwendig sind.

Auftragsverarbeiter

Grundsätzlich sind Unternehmen für die Erfüllung der Datenschutzverpflichtungen verantwortlich und haftbar. Das bedeutet aber nicht, dass Unternehmen die Datenverarbeitung selbst ausführen müssen. Er kann stattdessen ein Auftragsverarbeiter mit der Durchführung beauftragt werden. Ein solcher Auftragsverarbeiter ist auch Campusspeicher als Hosting- und Cloud-Anbieter, der im Auftrag des Kunden bestimmte Dienste erbringt (z.B. Bereitstellung von Speicherplatz). Im Vergleich zu Dritten genießt der Auftragsverarbeiter eine privilegierte Stellung, da seine Einbeziehung durch den Verantwortlichen keiner besonderen gesetzlichen Grundlage bedarf und eine vorherige Einwilligung durch die betroffenen Personen nicht erforderlich ist.

Um die Datenverarbeitung in Einklang mit den Anforderungen der DSGVO zu bringen sollten, betroffene Unternehmen sich daher für die Beauftragung eines Auftragsverarbeiters entscheiden, der ein hinreichendes Datenschutzniveau bieten kann. Um den Auftragsverarbeiter zur Einhaltung der vom Unternehmen aufgestellten Verarbeitungsvoraussetzungen zu verpflichten, schließen die Parteien einen Auftragsverarbeitungsvereinbarung (AVV). Der Vertrag ist schriftlich abzuschließen, wobei im Zuge der DSGVO auch ein elektronisches Format akzeptiert wird.

Eine solche Auftragsverarbeitungsvereinbarung können Kunden von Campusspeicher Anfang Mai kostenfrei mit uns schließen.

Fazit:

Die umfangreichen Vorschriften der neuen Datenschutz-Grundverordnung (DSGVO) bereiten gerade kleinen und mittleren Unternehmen Schwierigkeiten. Zur Umsetzung der Datenschutzvorgaben der DSGVO im Unternehmen gibt es viele verschiedene Möglichkeiten. Den Einstieg in die Planung zur Umsetzung der DSGVO erleichtern sog. Leitfäden, wie z.B. der vom Branchenverband BITKOM. Leitfäden können Unternehmen dabei unterstützen, möglichst zielgerichtet innerhalb des Unternehmens die richtigen Prozesse in Gang zu setzen. Wer auf Nummer sicher gehen möchte, wird aber um einen Jurist oder einem Datenschutzexperte nicht herum kommen.

 

Wichtiger rechtlicher Hinweis!

Der Artikel gibt Ihnen einen Überblick über wichtigste Punkte der DSGVO. Er ist allerdings kein Ersatz für eine Rechtsberatung. Für die korrekte Umsetzung aller datenschutzrechtlichen Anforderungen sollten sie sich in jedem Fall von einem Anwalt oder Datenschutzbeauftragen beraten lassen.

Prozessor-Bug: Informationen über die Sicherheitslücke

Das neue Jahr beginnt mit einer unerfreulichen Meldung über eine Sicherheitslücke in modernen Prozessoren, mit der es möglich ist auf eigentlich geschützte Daten im Betriebssystem-Kernel zuzugreifen. Der als „Spectre“ bzw. „Meltdown“ bekannte Bug, der von unterschiedlichen Forscherteams aufgedeckt wurde, betrifft hauptsächlich Intel-CPUs, wie sie auch bei Campusspeicher in den meisten Host-Systemen zum Einsatz kommen. In diesem Beitrag möchten wir Sie darüber informieren, wie wir damit umgehen.

Wie gefährlich ist diese Sicherheitslücke?

Potenziell kann durch die Sicherheitslücke (wie bei jeder anderen Sicherheitslücke auch) Schadsoftware eingeschleust werden, um Daten für Angreifer auslesbar zu machen. Diese Schwachstelle erlangte allerdings besondere Aufmerksamkeit, da fast alle Computer seit 1995 von dem Problem betroffen sind. Hintergründe zu der Sicherheitslücke und eine offizielle Stellungnahme von Intel finden Sie hier. Bislang haben wir keinerlei Kenntnis darüber, dass eine der besagten Schwachstellen ausgenutzt wird.

Was unternimmt Campusspeicher dagegen?

Das Campusspeicher Team als auch unsere Hardware-Partner nehmen diese Sicherheitslücke sehr ernst. Wir untersuchen bereits seit Bekanntwerden mit Hochdruck mögliche Effekte. Das Einspielen von Patches erfolgt unmittelbar, sobald die Hersteller entsprechende Updates zur Verfügung stellen im Rahmen von außerplanmäßigen Wartungsarbeiten.

Wann erfolgt das Einspielen von Sicherheitsupdates?

Wir halten uns eng an die Vorgaben der CPU-Hersteller und sind auf deren Informationen und Patches angewiesen. Die Installation des Patches erfolgt automatisiert auf allen Systemen und erfordert einen Reboot, der per E-Mail und unter Campusspeicher Status angekündigt wird. Dadurch kommt es zu einer Nicht-Erreichbarkeit der Dienste für wenige Minuten.

 

Jubiläum: 10 Jahre Campusspeicher

Und wieder ist ein Jahr vergangen. Aber nicht irgend ein Jahr. Es ist Zeit für ein Jubiläum. Exakt vor zehn Jahren haben wir die erste Webseite ins Netz gebracht. Angefangen als kleines Studententeam, dass damals den Austausch von (großen) Dokumenten im Uni-Alltag erleichtern wollte, sind wir inzwischen zu einem innovativen Hosting-Dienstleister herangewachsen.

Ein Jubiläum ist immer ein guter Anlass, zurück zu blicken und die Frage zu beantworten, warum ich diese Unternehmung überhaupt gestartet habe. Die Antwort ist leicht:

Campusspeicher war und ist weiterhin da, um Ihnen Arbeit abzunehmen und den Alltag zu erleichtern.

Viele Kunden begleiten uns von Beginn an und sind mit uns gewachsen. Sie sind von unserer intuitiven Benutzeroberfläche, den zuverlässigen Hosting-Produkten und unserem individuellen Support überzeugt. Mit fairen und transparenten Preisen und unserem „Made in Germany“ Konzept konnten wir uns in den letzten Jahre erfolgreich gegen große Anbieter durchsetzen, die hauptsächlich mit Übernahmen und der Maximierung des Shareholder Values beschäftigt waren.

Ein Jubiläum ist auch ein guter Zeitpunkt, um einen Blick in die Zukunft zu werfen. Neben einer ständigen Weiterentwicklung unserer Hosting-Plattform möchten wir unsere Stellung als Managed Service Provider ausbauen. Denn die fortschreitende Digitalisierung bringt jeden Tag neue Möglichkeiten und neue Herausforderungen. Dafür möchten wir Sie mit der richtigen Technologie, den passenden Tools und dem entsprechenden Know-How begleiten.

Was noch fehlt? Mich an dieser Stelle für Ihre Treue und vielen Weiterempfehlungen zu bedanken.

Neuerungen im Oktober

Die Performance von Webseiten und Online-Shops ist ein zentrales Thema geworden, das für immer mehr Kunden zum entscheidenden Kaufkriterium wird. Wir bei Campusspeicher optimieren laufend unsere Infrastruktur, investieren in neue Hardware und setzen auf Caching-Techniken, um interessierten Besuchern und auch Suchmaschinen das bestmögliche Ergebnis zu liefern.

Neue Managed Server auf SSD-Basis

Unsere neuste Errungenschaft: Managed Virtual Server mit SSD-Festplatten. Die Server werden auf hochwertiger HPE-Server-Hardware bereitgestellt, die über die neusten Speichertechnologien verfügen. Bei einem Managed Server stehen dedizierte Ressourcen zur Verfügung, wodurch die gebuchte Leistung garantiert und jederzeit den Kunden zur Verfügung steht. Neben der erhöhten Leistungsfähigkeit bleibt die Handhabung trotzdem einfach. Der Server ist genauso einfach zu verwalten wir ein normales Webhosting-Paket. Für Sicherheit sorgen automatische Backups und ein proaktives Monitoring durch Campusspeicher.

Performance-Boost PHP 7

PHP 7 ist nicht nur viel schlanker als seine Vorgänger, sondern verbraucht auch weniger Speicherplatz, erhöht die Sicherheit bei Kryptografie-Funktionen und verbessert vor allem die Geschwindigkeit von Webseiten. Als Webhosting- oder Managed Server Kunde können Sie künftig zusätzlich die neue PHP-Version für Ihre Domain auswählen und nutzen.

 

Piwik – Vorteile gegenüber Google Analytics

In unserem letzten Beitrag haben wir Ihnen die Open Source Webanalyse-Anwendung Piwik vorgestellt, mit deren Hilfe Sie detaillierte Statistiken zum Nutzerverhalten auf Ihren Domains erheben können. In diesem Beitrag möchten wir Ihnen die Vorteile dieser Anwendung gegenüber Google Analytics vorstellen.

Warum ist die Nutzung von Piwik gegenüber Google Analytics zu empfehlen?

Bei der Nutzung von Google Analytics werden die Daten auf den Google-Servern hinterlegt und verarbeitet während Piwik die Daten auf dem Server speichert und analysiert, auf welchem es installiert wurde. Sie behalten mit Piwik also die volle Kontrolle über die gespeicherten Daten, welche Sie von den Besuchern Ihrer Webseite erheben. Der Ort der Datenspeicherung ist besonders in Deutschland relevant, denn bei den gesammelten Daten handelt es sich um personenbezogene Daten.

Können Sie trotz Tracking durch Piwik, die Privatsphäre Ihrer Nutzer zu schützen?

Bei der Verwendung von Piwik können Sie trotz Tracking die Privatsphähre Ihrer Webseiten-Besucher schützen. Sie haben zum Beispiel die Möglichkeit, die IP-Adressen Ihrer Besucher von Piwik automatisch anonymisieren zu lassen. Denn bei der Erfassung der IP-Adresse handelt es sich bereits um personenbezogene Daten, die Sie nur mit Einwilligung der Besucher erfassen dürfen. Weiterhin können Sie auswählen, ob Sie sogenannte Do-Not-Track-Anfragen der Browser Ihrer Website-Besucher akzeptieren oder ignorieren möchten. Do-Not-Track-Anfragen fordern Webseiten auf, Besucherstatistiken nicht zu erheben.

Was kostet die Nutzung von Piwik?

Piwik können Sie in vollem Umfang kostenlos nutzen. Google Analytics bietet Ihnen kostenlose Basisfunktionen, die Verwendung des vollen Funktionsumfangs ist hingegen kostenpflichtig.

Neue Virtual Server auf KVM-Basis

Die neue Virtual Server-Generation von Campusspeicher mit einer KVM-Virtualisierung punktet mit einer ganzen Reihe interessanter Vorteile, wie zum Beispiel der Möglichkeit individuelle Betriebssysteme zu verwenden oder die Nutzung einer Remote-Konsole (VNC). Hier ein Überblick über die wichtigsten Neuerungen.

KVM-Virtualisierung – die Plattform der neuen Virtual Server

Die neuen Virtual Server laufen auf KVM-Basis. Bei der modernen Virtualisierungstechnik gibt es keinerlei technische Einschränkungen hinsichtlich der Anzahl von Prozessen oder offenen Dateien. Die Verbreitung von KVM hat in den letzten Jahren stark zugenommen, da diese Technik viele Vorteile bietet. Zu nennen wären hier zum Beispiel die Einhaltung zugesicherter Ressourcen oder die Möglichkeit, eigene Kernel installieren zu können. Dies erhöht die Flexibilität und Performance gegenüber sogenannten Container-Virtualisierungen, die gerne bei großen Webhosting-Anbietern eingesetzt werden, um Kosten zu sparen.

Read More

Neuerungen im Kundencenter

Im Januar haben wir Verbesserungen an unser Kundencenter vorgenommen. Neben einer besseren Übersicht bei mehreren Paketen können Webhosting-Kunden nun die Speicherplatz-Auslastung des Paketes direkt im Kundencenter einsehen. Bei einer Überschreitung werden Sie ab sofort benachrichtigt und können umgehend reagieren. Dies erspart den Umweg über das Control Panel. Sofern Sie unterschiedliche Leistungen nutzen (z.B. Webhosting-Pakete, Virtual Server), behalten Sie nun auch bei einer größeren Anzahl von Produkten, dank farblicher Abhebung, den Überblick. 

Read More

Campusspeicher wünscht frohe Weihnachten

Die Weihnachtsfeiertage stehen kurz bevor, an denen es bekanntlich ruhig und besinnlich zugeht. Bevor es soweit ist, möchte ich mich im Namen von Campusspeicher bei Ihnen, liebe Kunden, Partner und Geschäftsfreunde, für die angenehme und vertrauensvolle Zusammenarbeit bedanken. Nach einer kurzen Verschnaufpause sind wir wieder für Sie da – mit der gleichen Freude und Energie – das Beste für Sie herauszuholen. Für das kommende Jahr haben wir uns bereits ehrgeizige Ziele gesetzt. Sie können also gespannt sein.

Ich wünsche Ihnen frohe Festtage!