Heutzutage wird der Großteil des Online-Datenverkehrs über eine HTTPS-Verbindung übertragen, was gemeinhin als „sicher“ betrachtet wird. Google warnt sogar ausdrücklich vor unverschlüsselten HTTP-Seiten und stuft diese als „nicht sicher“ ein. Trotz dieser Sicherheitsmaßnahmen bleibt die Frage, warum Malware, Phishing und andere gefährliche Aktivitäten im Internet weiterhin so weit verbreitet sind.
„Sichere“ Seiten bieten lediglich eine verschlüsselte Verbindung
Früher hat Chrome beim Besuch einer Website mit HTTPS ein grünes Vorhängeschloss-Symbol und das Wort „Sicher“ in der Adressleiste angezeigt. Neuere Versionen von Chrome zeigen stattdessen lediglich ein kleines graues Schlosssymbol, ohne den Zusatz „Sicher“.
Dies liegt zum einen daran, dass HTTPS mittlerweile als neuer Standard etabliert ist. Es wird davon ausgegangen, dass Verbindungen grundsätzlich sicher sein sollten, daher warnt Chrome nur noch bei Zugriffen über HTTP-Verbindungen vor „unsicheren“ Seiten.
Die Entfernung des Wortes „Sicher“ resultiert auch daraus, dass es etwas irreführend war. Es erweckte den Eindruck, als würde Chrome für die Inhalte der Website bürgen und garantieren, dass alles auf dieser Seite „sicher“ ist. Dies ist aber nicht der Fall. Auch eine „sichere“ HTTPS-Website kann mit Malware verseucht oder eine gefälschte Phishing-Seite sein.
HTTPS verhindert Ausspähen und Manipulation
HTTPS ist ein wichtiger Sicherheitsmechanismus, der jedoch nicht alle Probleme löst. HTTPS steht für Hypertext Transfer Protocol Secure und stellt eine Erweiterung des Standard-HTTP-Protokolls dar, welches eine zusätzliche Verschlüsselungsebene beinhaltet.
Diese Verschlüsselung verhindert, dass Dritte die übertragenen Daten mitlesen oder manipulieren. Sie schützt vor sogenannten Man-in-the-Middle-Angriffen, bei denen die Website während der Übertragung verändert werden könnte. Beispielsweise können Zahlungsdetails, die an die Website gesendet werden, nicht von Dritten abgefangen und eingesehen werden.
Kurz gesagt, HTTPS garantiert, dass die Verbindung zwischen Ihnen und der jeweiligen Website sicher ist und weder belauscht noch manipuliert werden kann. Dies ist aber auch schon alles.
Es bedeutet nicht, dass die Seite „sicher“ ist
HTTPS ist ein entscheidender Sicherheitsfaktor, und es ist sehr zu empfehlen, dass jede Website es verwendet. Es stellt jedoch lediglich sicher, dass Sie eine verschlüsselte Verbindung zu der jeweiligen Website haben. Das Wort „Sicher“ gibt keine Auskunft über die Inhalte der Seite. Es bedeutet lediglich, dass der Websitebetreiber ein Zertifikat erworben und die Verbindung verschlüsselt hat.
Eine potenziell gefährliche Website mit schädlichen Downloads kann beispielsweise auch über HTTPS bereitgestellt werden. Die Website und die heruntergeladenen Dateien werden dann zwar über eine sichere Verbindung übertragen, die Inhalte sind aber dennoch nicht unbedingt sicher.
Ebenso könnte ein Krimineller eine Domain wie „bankoamerica.com“ registrieren, ein SSL-Zertifikat dafür erhalten und die echte Website der Bank of America imitieren. Diese Phishing-Seite würde dann das „sichere“ Vorhängeschloss-Symbol anzeigen, aber das bedeutet nur, dass Sie eine sichere Verbindung zu dieser Phishing-Seite haben.
HTTPS ist trotzdem von großem Wert
Trotz der etwas irreführenden Formulierung, die Browser jahrelang verwendet haben, sind HTTPS-Seiten nicht wirklich „sicher“. Die Umstellung auf HTTPS hilft bei der Lösung einiger Probleme, beendet aber nicht die Bedrohung durch Malware, Phishing, Spam, Angriffe auf anfällige Webseiten oder andere Arten von Online-Betrug.
Dennoch ist die Umstellung auf HTTPS eine sehr positive Entwicklung für das Internet. Laut Statistiken von Google werden 80 % der in Chrome unter Windows geladenen Webseiten über HTTPS geladen, und Chrome-Nutzer unter Windows verbringen 88 % ihrer Browserzeit auf HTTPS-Seiten.
Diese Umstellung erschwert es Kriminellen erheblich, persönliche Daten auszuspähen, insbesondere in öffentlichen WLANs oder anderen öffentlichen Netzwerken. Zudem wird die Wahrscheinlichkeit eines Man-in-the-Middle-Angriffs auf öffentliche WLANs oder andere Netzwerke deutlich reduziert.
Angenommen, Sie laden eine .exe-Datei von einer Website herunter, während Sie mit einem öffentlichen WLAN verbunden sind. Bei einer Verbindung über HTTP könnte der WLAN-Betreiber den Download manipulieren und Ihnen eine schädliche .exe-Datei unterjubeln. Bei einer Verbindung über HTTPS ist die Verbindung gesichert, und niemand kann den Download manipulieren.
Dies ist ein großer Fortschritt, aber es ist kein Allheilmittel. Sie sollten weiterhin grundlegende Sicherheitspraktiken im Internet anwenden, um sich vor Malware zu schützen, Phishing-Seiten zu erkennen und andere Online-Probleme zu vermeiden.
Bildnachweis: Eny Setiyowati/Shutterstock.com.