Der Rechts-Kanon zu 'Kein SSL': Art. 32 DSGVO, Art. 5(1)(f) Integrität, BSI-Grundschutz. Historisch prägend: BayLDA Tätigkeitsbericht 2024 (Bußgelder bei Kontaktformularen ohne TLS). Zudem relevant: OLG Köln 8 U 48/18 (fehlendes HTTPS als TOM-Verstoß). Für KMU heißt das: Jede Website-Prüfung 2025/26 umfasst diesen Punkt.
60 Sekunden Check: Ist Ihre Website verschluesselt ausgeliefert?
DSGVO-Check starten →Technisch dahinter: TLS 1.3 empfohlen, HTTPS-Umleitung 301, HSTS-Header, keine Mixed Content. Das Problem entsteht meist durch Default-Einstellungen in CMS-Templates, die vor 2020 geschrieben wurden. Ein Update des Templates oder eines Plugins löst in 95% der Fälle das Problem.
Lösungsweg: Let's Encrypt bei Hoster aktivieren (Strato, IONOS, Hetzner: 1 Klick) oder Cloudflare Full-SSL. Schritt für Schritt in 3 Etappen: (1) Ist-Stand dokumentieren, (2) Fix ausrollen, (3) mit automatisiertem Scanner nachverifizieren.
Kostenrelation: Behebung <200 €, Abmahnung 1.000–10.000 € Bußgeld + Abmahnungen. Bei einem typischen KMU-Budget ist die Investition in die Behebung ein Bruchteil der potenziellen Strafe. Trotzdem bleibt die Quote an offenen Fällen hoch — 8 % aller Domains noch ohne gültiges SSL, weitere 12 % mit abgelaufenem Zertifikat.
Was Aufsichtsbehörden 2025/26 prüfen: die Kombination aus 'Kein SSL' mit weiteren technischen Defiziten (Datenschutzerklärung fehlt, Google Fonts extern). Die Bewertung erfolgt ganzheitlich — eine einzelne Schwachstelle wird selten isoliert sanktioniert; aber ein Scan zeigt meist mehrere gleichzeitig.
Realität 2025: Massen-Abmahnungen wegen 'Kein SSL' sind ein Geschäftsmodell. Täglich werden tausende E-Mails versandt. Die einzige wirksame Abwehr: sauberer Stand der eigenen Website + regelmäßige automatisierte Kontrollen.
To-do-Liste: Ist-Stand, Maßnahme, Rollout, Nachweis (Screenshot + Datum), DSE-Update, VVT-Eintrag. Dauer Ende-zu-Ende: ca. 2 Stunden. Nutzen: Abmahn-Schutz.
Der Scanner deckt in einem Durchlauf zehn Pflicht-Themen ab — inkl. 'Kein SSL'. Eine gute Start-Diagnose vor jedem größeren Website-Update.
Beide Versionen funktionieren parallel. Besucher landen zufaellig auf der unsicheren Version. 301-Redirect einrichten.
HTTPS-Seite laedt HTTP-Ressourcen (Bilder, Skripte, Fonts). Browser blockieren teilweise, zeigen Warnungen.
Nach erfolgreicher SSL-Einrichtung sollte HSTS aktiviert werden. Verhindert Downgrade-Angriffe.
TLS 1.0 und 1.1 sind unsicher und sollten deaktiviert sein. Mindestens TLS 1.2, idealerweise TLS 1.3.
Zertifikat korrekt, aber Intermediate-Zertifikat fehlt oder falsch konfiguriert. Browser zeigen "Unsicher".
Zertifikat für www.example.com, aber aufgerufen wird example.com (ohne www). Subject Alternative Names (SAN) prüfen.
Alte Verschluesselungs-Algorithmen wie RC4 oder DES sollten deaktiviert sein.
Moderne Zertifikate müssen im Certificate-Transparency-Log stehen. Bei Let's Encrypt automatisch, bei manchen Billig-Anbietern fehlerhaft.
Schritt 1 — Hoster-Dashboard: Die meisten modernen Hoster (IONOS, Strato, All-Inkl, Hetzner) bieten Let's Encrypt mit ein Klick. In der Admin-Oberflaeche nach "SSL" oder "HTTPS" suchen.
Schritt 2 — SSL aktivieren: Je nach Hoster Checkbox aktivieren oder "Zertifikat ausstellen" klicken. Das System erstellt automatisch ein Let's-Encrypt-Zertifikat für Ihre Domain.
Schritt 3 — Warten: Die Ausstellung dauert typisch 5-10 Minuten. Bei Hostern mit manueller Verarbeitung manchmal bis zu 1 Stunde. Der Status zeigt "aktiv" an, sobald fertig.
Schritt 4 — HTTP-zu-HTTPS-Redirect: In der .htaccess-Datei (Apache) oder der Webserver-Konfiguration eine 301-Weiterleitung einrichten. Beispiel für .htaccess:
Schritt 5 — Interne Links umstellen: Bei WordPress über Einstellungen -> Allgemein die URL auf https aendern. Ausserdem ein Plugin wie "Better Search Replace" nutzen, um alle http://-Referenzen in der Datenbank auf https:// zu aendern.
Schritt 6 — Mixed Content beheben: Browser-Konsole oeffnen, Mixed-Content-Warnungen prüfen. Alle internen Ressourcen (Bilder, Skripte, Stylesheets) auf HTTPS umstellen.
Schritt 7 — HSTS aktivieren: Nach erfolgreicher Umstellung und Test der Stabilitaet einen HSTS-Header setzen:
Schritt 8 — Testen: ssllabs.com ssltest nutzen. Ziel: Grade A oder A+.
IONOS (1und1): Im Control Center unter Hosting-Paket -> Sicherheit -> SSL-Zertifikate. Kostenlos via Let's Encrypt für alle Domains. Aktivierung in 2 Klicks. Strato: Im Kunden-Login -> "SSL-Zertifikate" -> Gewuenschte Domain auswaehlen -> "Let's Encrypt aktivieren". All-Inkl: KAS -> Domain -> SSL-Schutz -> "SSL-Zertifikat kostenfrei (Let's Encrypt)". Hetzner: KonsoleH -> Domains -> SSL-Zertifikate -> Let's Encrypt aktivieren. WordPress.com-Hosting: SSL ist standardmaessig aktiviert. Eigener Server (root): certbot installieren und "certbot --apache" oder "certbot --nginx" ausfuehren. Automatische Erneuerung via cron. Shared Hoster ohne Let's Encrypt: Wechseln Sie zu einem modernen Anbieter. Alte Hoster ohne SSL-Support sind 2026 nicht mehr zeitgemaess.
Lokale Datenschutzbehoerden prüfen SSL mit unterschiedlicher Intensitaet.
Nach der Grundeinrichtung können Sie Ihr SSL-Setup weiter optimieren. TLS 1.3 aktivieren: Die neueste TLS-Version ist schneller und sicherer. In Apache und Nginx einfach konfigurierbar. OCSP Stapling: Spart Browser-Anfragen an den Zertifikat-Aussteller, verbessert Performance und Privatsphaere. Perfect Forward Secrecy: Durch moderne Cipher-Suites gewaehrleistet. Schutz gegen rueckwirkende Entschluesselung bei Schluessel-Kompromittierung. Security-Header: Ergaenzend zu HSTS sind Content-Security-Policy, X-Frame-Options, X-Content-Type-Options und Referrer-Policy sinnvoll. DNSSEC: Absicherung der DNS-Aufloesung. Viele Hoster bieten das mittlerweile standardmaessig. HSTS Preloading: Antrag bei hstspreload.org stellen, dann ist Ihre Domain in Browser-Listen eingetragen und wird ab dem ersten Besuch nur über HTTPS angesprochen. CAA-Records: DNS-Eintrag, der festlegt, welche Zertifikatsausstellende Autoritaet (CA) Zertifikate für Ihre Domain ausstellen darf. Schutz gegen Missbrauch.
Let's Encrypt Zertifikate sind nur 90 Tage gueltig und müssen automatisch erneuert werden. Eine verpasste Erneuerung fuehrt zu Browser-Warnungen und SEO-Nachteilen. Bei Hoster-verwaltetem SSL geschieht die Erneuerung automatisch. Bei selbst verwalteten Servern muss ein Cronjob eingerichtet werden. Mit Certbot: "certbot renew" als taeglicher Cronjob reicht aus. Das Tool prueft, ob eine Erneuerung faellig ist und fuehrt sie durch. Bei Problemen wird eine Log-Datei erstellt. Empfehlung: E-Mail-Benachrichtigung bei Fehlern einrichten. Zusaetzlich monatlich manuell prüfen, ob alle Zertifikate noch gueltig sind. Tools wie UptimeRobot oder Pingdom ueberwachen den Status und warnen bei Ablauf. Bei Hoster-gebundenen SSL-Loesungen ist das Monitoring weniger kritisch, aber ein gelegentliches manuelles Prüfen schadet nicht.
Art. 32 DSGVO verlangt angemessene technische Massnahmen. SSL/TLS ist seit 2018 Mindeststandard bei jeder Datenverarbeitung inklusive Kontaktformularen.
Kostenlos via Let's Encrypt. Kostenpflichtige Zertifikate ab 20 Euro/Jahr mit Zusatzfunktionen.
5-15 Minuten bei modernen Hostern. Manuell auf eigenem Server 30-60 Minuten.
HTTPS-Seite laedt HTTP-Ressourcen. Browser zeigen Warnung, blockieren teilweise.
HTTP Strict Transport Security erzwingt HTTPS-Nutzung. Schutz gegen Downgrade-Angriffe.
Abmahnungen 800-2.500 Euro, Bußgelder 1.000-15.000 Euro, SEO-Nachteile, Vertrauensverlust.
Ja, alle Seiten und Ressourcen. 301-Redirect von HTTP auf HTTPS.
Bei vielen Subdomains ja. Let's Encrypt bietet Wildcards kostenlos mit DNS-Challenge. Kostenpflichtige Anbieter sind einfacher zu handhaben.
Kostenloser DSGVO-Check inklusive SSL-Analyse in 60 Sekunden.
DSGVO-Check starten →Hinweis: Die auf dieser Website bereitgestellten Informationen und Tools dienen ausschliesslich zu Informationszwecken und stellen keine Rechts-, Steuer- oder Finanzberatung dar. Alle Angaben ohne Gewaehr.