Herrmann - Computer und Internet Service
Computer und Internet Service

Die Sicherheit von https richtig deuten

In der neuesten Version kennzeichnet der Browser Chrome Internetseiten als "nicht sicher", wenn sie nur über http erreichbar sind. Dagegen gelten fast alle https-Seiten für Chrome als "sicher". Das Problem: Ob die Inhalte einer Seite unschädlich sind und ob die Seitenbetreiber redlich sind, lässt sich an der Verwendung von https nichts erkennen. Unbedarfte Internetnutzer verstehen die Einstufung als "sicher" aber als Gütesiegel einer Internetseite. Das Missverständnis nutzen Kriminelle vermehrt aus.

Transportverschlüsselung gegen Abhörangriffe

Das Protokoll https ermöglicht einen verschlüsselten Datentransport zwischen dem Browser eines Nutzers und dem Server eines Webseitenbetreibers. Das ist wichtig, wenn man etwas in einem Onlineshop kaufen oder Bankgeschäfte am Notebook abwickeln will. Https gewährleistet, dass die eingetragenen Konto- oder Kreditkartendaten verschlüsselt übertragen werden. Prinzipiell eine gute Sache: Verschlüsselte Daten sind sicher vor Abhörangriffen. Das bedeutet, dass ein Angreifer, der nicht über den Schlüssel verfügt, keine Möglichkeit hat, übertragene Daten zu missbrauchen.

Bei reinen http-Datenübertragungen ohne Transportverschlüsselung ist genau diese Gefahr gegeben. Auf dem langen Weg zwischen dem PC und dem Server können Kriminelle solche Daten abgreifen, ohne dass Nutzer es merken würden. Sensible persönliche Daten sollten also niemals auf Seiten eingetragen werden, die nur http verwenden. Internetadressen mit Transportverschlüsselung beginnen mit https, links neben der URL kennzeichnen alle Browser durch ein symbolisches Vorhängeschloss oder einen Texthinweis Seiten mit und ohne Verschlüsselung.

Seiten mit http sind nicht immer schlecht und mit https nicht immer gut

Man könnte nun meinen, dass man mit der Verwendung von https grundsätzlich auf der sicheren Seite ist. Leider ist so ein Schluss zwar naheliegend, aber falsch. Denn über die Legalität und Legitimität des Datenempfängers sagt das Verschlüsselungsverfahren nicht das Geringste aus. Gefälschte Internetseiten ahmen die offiziellen Seiten von Händlern und Banken täuschend echt nach und verwenden ebenfalls https. Seit Ende 2017 ist der Anteil solcher https-Seiten unter den betrügerischen Phishing-Seiten rapide gestiegen. [1] Mit https ist also nicht sichergestellt, dass man sich auf einer insgesamt vertrauenswürdigen Seite bewegt. Wenn Chrome https-Seiten als "sicher" bezeichnet, ist dieser Hinweis daher zumindest in der Kürze irreführend. Klickt man auf den Hinweis, erhält man weitere Informationen: "Ihre Daten wie Passwörter und Kreditkartennummern sind privat, wenn Sie sie an diese Website senden." Mit "privat" meint Chrome, dass die Daten nur vom Seitenbetreiber, dem beabsichtigten Datenempfänger, gelesen werden können. Mehr bedeutet der Hinweis "sicher" nicht, insbesondere nicht, dass der Seitenbetreiber kein Betrüger ist.

Andererseits sind längst nicht alle Seiten ohne Transportverschlüsselung schädlich. Überall da, wo Nutzer keinerlei Daten eintragen, ist es unerheblich, ob http oder https verwendet wird. Viele kleine Vereine, private Blogs, die zum Teil schon lange bestehen, und auch einige große Seiten laufen ausschließlich über http. [2] Laut Chrome sind sie "nicht sicher" – und Nutzer könnten glauben, dass die Seitenbetreiber ihre Daten stehlen oder Schadcode verteilen. Darüber sagt die Bewertung aber nichts aus. Ein Klick auf den Hinweis klärt auch hier auf: "Sie sollten keine vertraulichen Informationen […] auf dieser Website eingeben, da sie von Angreifern gestohlen werden könnten." Über alle anderen Sicherheitsaspekte einer Internetseite sagt die Chrome-Bewertung nichts aus.

Fazit

Nach wie vor ist es unerlässlich, dass Nutzer beim Surfen die üblichen Sicherheitsregeln beachten: Ein aktuelles Antivirenprogramm ist neben der Firewall die absolute Grundlage für Onlinesicherheit. Regelmäßige Datensicherungen schützen nicht nur vor Kriminellen, sondern sind die letzte Rettung, wenn sich Festplatten nicht mehr reparieren lassen. Das Wichtigste aber: Nutzer müssen beim Surfen mitdenken. Leider erschwert Chrome dies durch die rigorose Kategorisierung von Seiten als "sicher" und "nicht sicher". Hier darf man sich nicht verwirren lassen: Wo man selbst Daten eingibt, ist https Pflicht, sonst nicht. Https ist aber kein allgemeines Gütesiegel.

Herrmann CIS berät Sie gerne zu allen Fragen einer maßgeschneiderten Lösung für Ihre persönliche Internetsicherheit – schnell und kompetent!


Weitere Informationen

[1] https://www.heise.de/security/meldung/Ganz-und-gar-nicht-sicher-Immer-mehr-Phishing-Webseiten-setzen-auf-HTTPS-3911127.html
[2] https://www.drwindows.de/news/google-chrome-68-was-ist-sicher-und-was-nicht