Sicher spenden: TLS-Zertifikate für NPO Webseiten im Überblick
Erfahre alles, was du über TLS-Zertifikate für ein sicheres Erscheinungsbild deiner Webseite wissen solltest.
Stell dir vor, du surfst im Internet, willst für einen guten Zweck spenden und landest auf einer Webseite, die unsicher wirkt. Was machst du? Genau, du suchst das Weite.
Damit dir und deinen Spenderinnen und Spendern nicht das Gleiche passiert, gehören TLS-Zertifikate (Transport Layer Security) zum Basis-Repertoire deines Online Fundraisings. Sie sorgen dafür, dass die Daten zwischen deinem Browser und der Webseite verschlüsselt übertragen werden und vermitteln somit Besuchenden ein Gefühl von Sicherheit.
In diesem Artikel erklären wir dir alles was du für dein Online Fundraising rund um TLS-Zertifikate wissen musst.
Wie funktioniert TLS genau?
TLS ist ein Standard zur Verschlüsselung und Sicherung der Kommunikation über das Internet. Als Weiterentwicklung des früheren SSL-Standards (Secure Sockets Layer) wird auch TLS laufend den neusten Bedrohungen und Anforderungen angepasst – inzwischen sind wir bei Version 1.3 (Stand 2024) angelangt.
Beim Betrieb einer Webseite garantieren TLS-Protokolle eine sichere, verschlüsselte Verbindung zwischen Client und Server. Im Klartext: Wenn du ein Kontaktformular ausfüllst oder eine Online-Spende tätigst, werden die Daten zwischen deinem Browser und dem Server der Webseite so übertragen, dass nur der Zielempfänger diese lesen kann. Somit können sie kaum durch Drittparteien «abgefangen» werden.
Auch bei den Soulclick Spendenportalen und Spendenshops setzen wir deshalb auf eine TLS 1.3 Verschlüsselung, die in regelmässigen Abständen automatisch erneuert wird. Erkennen könnt ihr TLS in eurem Browser am Schlosssymbol oben links:
Welche Zertifikattypen gibt es?
TLS-Zertifikate werden in drei unterschiedlichen Validierungsstufen angeboten: Stufe 1 Zertifikate können schnell und einfach installiert werden, während Stufe 2 und 3 Zertifikate für verbesserte Sicherheit sorgen aber auch mit höheren Onboarding-Aufwänden (Ausstellungszeit, Zertifikatskosten, etc.) einhergehen.
Bei den Stufe 1 Zertifikaten kann die Validierung der Domaininhaberschaft automatisiert erfolgen. Das heisst, dass das Aufsetzen und Erneuern des Zertifikats, mit relativ geringen Aufwänden verbunden ist. Die meisten Zertifikate müssen nämlich alle 1 – 2 Jahre erneuert werden.
Bei den höheren Zertifikatsstufen erfolgt eine aufwändigere Validierung der Organisation, was das Onboarding aber auch die Erneuerung aufwändiger macht. Gerade bei Webprojekten, wo Agenturen oft unter Preisdruck stehen, kommen deshalb vielmals nur kostenlose Stufe 1 Zertifikate, z.B. von Let’s Encrypt, zum Einsatz.
Hier ein kurzer Überblick der drei Stufen:
Weshalb sollte deine Organisation ein TLS-Zertifikat einsetzen?
Non-Profit-Organisationen bieten Vertrauensgüter an und entsprechend wichtig ist die Vertrauensbildung mit den Spenderinnen und Spendern. Dies gilt insbesondere im digitalen Kontext, wo neue Risiken und Gefahren lauern.
In einer Zeit in der Datenverletzungen und Cyberangriffe alltäglich geworden sind, sind auch Spendende sensibler geworden. Dies zeigt auch die NPO-Umfrage 2022: Digitale Spenden der Zewo. Hilfsorganisationen zählen Bedenken rund um Datenschutz und -nutzung zu den Top 4 Risiken für Spendende im digitalen Umfeld.
Mindestens ebenso stark ins Gewicht fallen Datensicherheit und Datenschutz. Beim Transfer sensitiver Daten, wie z.B. Zahlungsinformationen beim Online-Spenden, ist darauf zu achten, dass keine Daten in falsche Hände geraten.
In vielen Ländern gibt es Vorschriften zur Verschlüsselung dieser Übertragungen. Bei Verletzung dieser Auflagen drohen hohe Bussgelder. Im Kontext des Datenschutzes empfehlen wir auch ein Augenmerk auf Server-Standort und Spezifikation zu legen. So setzen wir nebst einer verschlüsselten Zahlungsverbindung bei Soulclick auch auf eine Schweizer Cloud-Lösung, die höchste Sicherheitsstandards erfüllt.
Zertifikate bringen auch einige Vorteile mit sich. So verbessern sie entgegen der geläufigen Meinung die Ladegeschwindigkeit einer Webseite. Auch bei Suchmaschinen wirken sich Zertifikate positiv auf das SEO-Ranking aus und können so ein Booster fürs digitale Fundraising sein.
Fazit
Vertrauensbildung ist unerlässlich im Online Fundraising und so gilt es auch bei der Security genau hinzuschauen. Ob bei der Wahl eines Spendentools oder beim Relaunch einer Webseite – die Spezifikationen zum TLS-Zertifikat gehören unbedingt ins Pflichtenheft.
Für einfache Webauftritte reichen kostenlose Stufe 1 Zertifikate völlig aus. Integration und automatische Erneuerung sollten heute zum Standard eines jeden Auftritts gehören. Im Zweifelsfall führst du jedoch auch diese Punkte lieber genau so im Pflichtenheft auf. Eine höhere Beglaubigungsstufe kann dann Sinn machen, wenn eure Organisation grosse Online-Spendenvolumen abwickelt oder wichtige digitale Services (Kurse, Loginbereiche, etc.) anbietet. Hier habt ihr die Qual der Wahl zwischen den Weltmarktführern IdenTrust oder Comodo und dem Schweizer Tool von SwissSign.
Stufe 2 und 3 Zertifikate kosten jährlich zwischen CHF 150.- bis CHF 250.-. Hinzugerechnet werden müssen die Mehraufwände der Webagentur für Onboarding und Zertifikatserneuerung. Bei Plattformen die viele sensible Daten austauschen, lohnt sich dieser Mehraufwand rasch, berücksichtigt man allfällige Folgekosten durch Reputationsschäden und rechtliche Klagen. Bei Fragen zum Thema dürft ihr uns gerne eine E-Mail an support@soulclick.ch senden.
Praxistipp: Um das Zertifikat euer Webseite zu überprüfen kannst du ganz einfach das kostenlose Tool von SSL Labs benutzen.