Was schützt ein SSL-Zertifikat nicht?

Ein SSL-Zertifikat schützt ausschließlich den Transportweg der Daten zwischen Browser und Server. Es schützt nicht vor Angriffen auf den Server selbst, vor Schwachstellen in der Webanwendung, vor Phishing-Seiten oder vor kompromittierten Endgeräten.

Das Schloss-Symbol im Browser bedeutet nur zweierlei: Die Verbindung ist verschlüsselt, und das Zertifikat passt zur aufgerufenen Domain. Es ist kein Vertrauenssiegel für den Betreiber und keine Aussage über die Seriosität der Website.

Konkret deckt ein SSL-Zertifikat folgende Risiken nicht ab:

• Schadsoftware auf dem Server: Ist der Server kompromittiert, hilft auch die beste Verschlüsselung nicht. Angreifer haben Zugriff auf die Daten im Klartext.
• Schwachstellen in der Webanwendung: SQL-Injection, Cross-Site-Scripting (XSS), unsichere Sitzungsverwaltung oder fehlerhafte Zugriffskontrollen funktionieren über die verschlüsselte Verbindung genauso wie über eine unverschlüsselte.
• Phishing mit gültigem Zertifikat: Auch Betrüger können für eine täuschend ähnliche Domain (z.B. secure-login-example.com) ein gültiges DV-Zertifikat erhalten. Browser zeigen dann ebenfalls ein Schloss an.
• Kompromittierte Endgeräte: Keylogger, Trojaner oder Browser-Erweiterungen mit zu vielen Rechten greifen Daten ab, bevor sie überhaupt verschlüsselt werden.
• Datenleaks beim Betreiber: Schlecht gesicherte Datenbanken, fehlerhafte Backups oder interne Mitarbeiter mit zu weitreichenden Zugriffsrechten sind ein eigenes Thema.
• DDoS-Angriffe: Verschlüsselung verhindert keine Überlastung des Servers durch massenhafte Anfragen.
• Schwache Konfiguration: Veraltete Protokolle wie SSL 3.0 oder TLS 1.0, schwache Cipher Suites oder fehlendes HSTS reduzieren den Schutz spürbar — das Zertifikat selbst kann das nicht ausgleichen.
• Vergessene Erneuerung: Ein abgelaufenes Zertifikat schützt nicht mehr. Browser zeigen Warnungen, viele Nutzer brechen den Besuch ab.

Auch der häufig erwartete Schutz personenbezogener Daten im Sinne der DSGVO wird durch ein SSL-Zertifikat nur teilweise abgedeckt. Art. 32 DSGVO verlangt Verschlüsselung bei der Übertragung — auf dem Server selbst sind weitere Maßnahmen nötig: verschlüsselte Datenbanken, Zugriffskontrollen, Protokollierung, regelmäßige Sicherheitsupdates.

Eine sinnvolle Absicherung einer Website besteht deshalb immer aus mehreren Bausteinen: TLS-Verschlüsselung für den Transport, eine sicher entwickelte und aktuell gehaltene Anwendung, ein gehärteter Server, regelmäßige Backups und ein Monitoring, das Auffälligkeiten früh erkennt. Das SSL-Zertifikat ist davon ein wichtiger, aber eben nur ein einzelner Baustein.