HTTPS ist keine Garantie für Sicherheit

18 Jan 2018

Seien wir ehrlich! Die meisten Leute, die ein kleines grünes Schloss mit dem Wort „Sicher“ links neben einer URL-Adresse entdecken, denken automatisch, die Seite sei sicher. Das Gleiche passiert, wenn sie den Satz „diese Seite verwendet eine sichere Verbindung“ lesen oder auf eine URL stoßen, die mit den Buchstaben „https“ beginnt. Immer mehr Websites wechseln heutzutage zu HTTPS. Die meisten haben tatsächlich keine andere Wahl. Also, wo liegt das Problem? Je sicherer Websites sind, desto besser – oder etwa nicht?

Wir wollen Sie in eines unserer vielen kleinen Geheimnisse einweihen: Weder das Wort „Sicher“ noch das Schloss garantieren, dass eine Website vor allen Bedrohungen geschützt ist. Eine Phishing-Seite kann beispielsweise das ach so beruhigende grüne Schloss neben ihrer https-Adresse legitim anzeigen. Was geht da vor sich? Lassen Sie es uns herausfinden!

„Sichere Verbindung“ bedeutet nicht gleichzeitig „sichere Website“

Das kleine grüne Schloss bedeutet, dass für die jeweilige Website ein Zertifikat ausgestellt und gleichzeitig ein kryptografischer Schlüssel für sie generiert wurde. Solche Websites verschlüsseln Informationen, die zwischen Ihnen und der Seite übertragen werden. In diesem Fall beginnen die Seiten-URLs mit HTTPS, wobei das „S“ am Ende für „Sicher“ steht.

Natürlich ist es eine tolle Sache, Daten bei der Übertragung zu verschlüsseln. Das bedeutet nämlich, dass Informationen, die zwischen Ihrem Browser und der Website ausgetauscht werden, nicht für Dritte zugänglich sind – ISPs, Netzwerkadministratoren, Eindringlinge, usw. So können Sie beispielsweise Passwörter oder Kreditkarteninformationen eingeben, ohne sich um neugierige Blicke sorgen zu müssen.

Das Problem besteht allerdings darin, dass weder das grüne Schloss noch das ausgestellte Zertifikat etwas über die Website an sich aussagen. Eine Phishing-Seite kann, genauso wie jede andere Website, ein Zertifikat erhalten und den Datenverkehr zwischen Ihnen und der Seite verschlüsseln.

Mit anderen Worten: Das grüne Schloss stellt sicher, dass kein anderer Ihre eingegebenen Daten ausspionieren kann. Sollte es sich bei der Seite allerdings um einen Fake handeln, kann diese sich trotzdem an Ihrem Passwort zu schaffen machen.

Und Phisher nutzen genau das aktiv aus: Phishlabs zufolge wird heutzutage ein Viertel aller Phishing-Attacken auf HTTPS-Seiten durchgeführt (vor zwei Jahren waren es noch weniger als 1 Prozent). Darüber hinaus glauben mehr als 80 Prozent der Benutzer, dass die bloße Anwesenheit eines kleinen grünen Schlosses und das Wort „Sicher“ neben der URL-Adresse bedeuten, dass die Website legitim und sicher ist und folglicherweise auch nicht wirklich nachdenken, bevor sie ihre Daten eingeben.

Was, wenn das Schloss nicht grün ist?

Wenn Sie kein Schloss in der Adressleiste finden können, bedeuetet das, dass die Website keine Verschlüsselung verwendet und Informationen mit Ihrem Browser unter der Verwendung von Standard-HTTP ausgetauscht werden. Google Chrome hat damit begonnen, derartige Websites als unsicher zu markieren. Sie könnten zwar vollkommen legitim sein, verschlüsseln aber den Datenverkehr zwischen Ihnen und dem Server nicht. Die meisten Besitzer einer Website möchten natürlich nicht, dass Google ihre Website als unsicher markiert, sodass zunehmend mehr Personen auf HTTPS umsteigen. Ihre Daten auf einer HTTP-Seite einzugeben, ist also eine keine besonders gute Idee.

Die zweite Variante, die Sie vielleicht schon des Öfteren gesehen hab, ist ein rot durchkreuztes Schloss-Symbol mit den Buchstaben HTTPS, ebenfalls in roter Schrift. Mag heißen, dass die Website zwar über ein Zertifikat verfügt, dieses aber nicht bestätigt wurde oder veraltet ist. Das heißt, die Verbindung zwischen Ihnen und dem Server ist verschlüsselt, aber niemand kann garantieren, dass die Domain auch wirklich zu dem auf der Seite angegebenen Unternehmen gehört. Hier sollten bei Ihnen die Alarmglocken klingeln. Normalerweise werden solche Zertifikate allerdings nur zu Testzwecken verwendet.

Wenn das Zertifikat abgelaufen ist und der Inhaber der Website es bislang noch nicht erneuert hat, wird die Seite alternativ von den Browsern mit einer deutlich sichtbaren, roten Warnung als unsicher markiert. Diese Seiten sollten Sie vermeiden!

So tappen Sie nicht in die Falle 

Zusammenfassend bedeuten das Zertifikat und das grüne Schloss nur, dass die zwischen Ihnen und der Seite übertragenen Daten verschlüsselt werden und das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Es bedeutet allerdings nicht, dass eine HTTPS-Seite absolut sicher ist. Diese Tatsache wird oft und gerne von Phishing-Betrügern ausgenutzt.

Halten Sie demnach immer die Augen offen, egal wie sicher eine Seite auf den ersten Blick scheint.

  • Geben Sie niemals Logins, Passwörter, Bankdaten oder andere persönliche Informationen auf einer Website ein. Es sei denn, Sie sind sich absolut sicher, dass sie legitim und authentisch ist. Überprüfen Sie dazu immer und sorgfältig den Namen der Domain; der Name einer gefälschten Website kann sich manchmal um nur einen Buchstaben oder ein Zeichen von einer legitimen Seite unterscheiden. Vergewissern Sie sich, dass Links vertrauenswürdig sind, bevor Sie diese öffnen.
  • Denken Sie immer genau darüber nach, was eine bestimmte Website anbietet, ob sie verdächtig aussieht und ob Sie sich wirklich auf der Seite registrieren müssen.
  • Ihre Geräte sollten gut geschützt sein: Kaspersky Internet Security vergleicht URLs mit einer umfangreichen Datenbank voller Phishing-Seiten und entdeckt Betrüger, egal wie „sicher“ die Seite scheint.