Zwei Dinge führen dazu, dass die Zahl der über das https-Protokoll erreichbaren Webseiten in diesem Jahr sprunghaft angestiegen ist: zum einen warnen die gängigen Browser in den diesjährigen Versionen mit zunehmender Deutlichkeit bei Seiten ohne https-Verschlüsselung, zum anderen nehmen immer mehr Hoster die Möglichkeit der Erstellung kostenloser Zertifikate in ihr Programm auf. Diese kostenlosen Zertifikate leisten aus Sicht der Sicherheit genau das Gleiche wie bezahlte Zertifikate. Aber was genau ist das eigentlich? Was sichert https, und was sichert es nicht?
Das http-Protokoll
Die Abkürzung HTTP steht für „Hyper Text Transfer Protocol“ (Übertragungsprotokoll für Hypertext), es handelt sich um eine der zentralen technischen Grundlagen des Internet. Dieses Protokoll regelt die Übertragung von Webseiten zwischen Servern und Internet-PCs.
Als das http-Protokoll definiert und umgesetzt wurde, wurde die Sicherheit der Kommunikation nicht besonders betrachtet. Das Protokoll überträgt alle Inhalte in reiner Textform. Das heißt, banal ausgedrückt, alle Buchstaben der Webseite und auch alle Eingaben des Benutzers werden so, wie sie sind, durch das Netz geschickt. Das gilt vor allem auch für Benutzernamen und Passwörter. Der Browser sendet den Benutzernamen und das Passwort für einen Dienst oder eine Webseite im Internet genau so wie eingegeben durch das Netz.
An jedem Punkt der Kommunikation zwischen dem Internet-PC und dem Server, der die Webseite bereithält, könnte nun jemand diesen Informationsfluss beobachten. Dies kann auch durch Software erledigt werden. Welchen Weg die Information zwischen den beiden Endpunkten der Kommunikation nimmt, kann man nicht beeinflussen. Auf diesem Weg reichen mehrere Computer die Information weiter. Zunächst erreicht sie den Internet-Provider, dieser gibt sie im Netz wiederum weiter, bis sie schließlich das Rechenzentrum erreicht, in dem der Server steht, der die Webseite bereitstellt. Auf jedem Rechner dazwischen könnte die Botschaft mitgelesen werden und Benutzername und Passwort so in fremde Hände gelangen.
https – das abgesicherte Protokoll
Wenn eine Webseite über das https-Protokoll erreichbar ist, wird die Kommunikation nicht mehr im Klartext übermittelt. Das zusätzliche s steht für „secure“, „sicher“. Das bedeutet folgendes: Die Webseite verfügt über ein sogenanntes SSL-Zertifikat, welches mit der Domäne verbunden ist und bestätigt, dass die Domäne wirklich die ist, für die sie sich ausgibt. Wenn eine Webseite, so wie meine beispielsweise, über solch ein Zertifikat verfügt, dann schaltet sie, sofern sie vernünftig eingerichtet wurde, automatisch auf https um. Das veranlasst den Browser, das Zertifikat von der Domäne herunterzuladen und, weil es von einer vertrauenswürdigen Quelle stammt, zu akzeptieren. Aus Sicht des Browsers bedeutet das zunächst: computer-service-remscheid.de verfügt über ein Zertifikat, das glaubwürdig ist und bestätigt, dass die Webseite wirklich computer-service-remscheid.de ist.
https-Verbindung zu dieser Seite: im Firefox durch ein grünes Schloss gekennzeichnet
Auf der Basis dieses Zertifikates wird nun die Kommunikation zwischen Webseite und Browser verschlüsselt. Das bedeutet, wenn Sie einen Benutzernamen und ein Passwort eingeben könnten oder zum Beispiel unter diesen Beitrag einen Kommentar schreiben würden, dann verschlüsselt der Browser diese Eingaben und sendet sie als codiertes Paket durchs Netz. Nur der empfangende Server, der über das zugehörige Zertifikat verfügt, hat den Schlüssel, um diese Informationen wieder zu entschlüsseln und nutzbar zu machen. Das bedeutet: keine Stelle zwischen dem Browser und dem Server der Webseite kann die Informationen mitlesen und auswerten.
Was die Browserwarnungen bedeuten
Die zunehmenden Warnungen moderner Browser bei nicht gesicherten Verbindungen beziehen sich ausschließlich auf diese Verschlüsselung. Das heißt, wenn eine Seite keinerlei SSL-Zertifikat besitzt, dann warnen Browser bei Eingabefeldern, dass die Übertragung dieser Daten nicht sicher ist und mitgelesen werden kann. Es gibt eine Tendenz dahin, dass Browser in Zukunft vielleicht auch grundsätzlich warnen, wenn SSL nicht vorhanden ist, auch wenn gar keine Dateneingabemöglichkeit existiert.
Auch wenn die Einrichtung der SSL-Verschlüsselung nicht vollständig ist, wird das angezeigt: das Schloss ist dann meist nicht grün, sondern grau und durchgestrichen. Es gibt ein Zertifikat, aber es gilt nicht für alle Elemente der Seite. Es kann sein, dass lediglich ein völlig unwichtiges Bild über bloßes http mit der Seite verknüpft ist, um dieses Problem zu verursachen. Die Warnung bedeutet aber nicht, dass die Webseite wirklich gefährlich ist oder dass Daten veruntreut werden oder auch nur mitgelesen werden können: sie bedeutet lediglich, dass etwas auf der Seite vom Zertifikat nicht abgedeckt ist. Leider kann solche eine Warnung den unbedarften Internet-Benutzer durchaus abschrecken, weshalb Webseitenbetreiber darauf achten sollten, dass wirklich auf allen Seiten ihres Angebots SSL vollständig umgesetzt ist, das Schloss also grün ist.
Sichere Verschlüsselung bedeutet nicht völlige Gefahrlosigkeit
Die Sicherheit von https bezieht sich also lediglich auf die Übertragung der Daten zwischen Browser und Server. Sie sagt nichts darüber aus, ob der Server selbst oder seine Betreiber nicht doch Schindluder mit den Daten treiben: nur der Transport bis zum Server ist sicher.
Dadurch, dass SSL-Zertifikate mittlerweile nicht mal mehr Geld kosten müssen, ist es auch für Betreiber von betrügerischen Webseiten, z.B. Phishing-Seiten, ein Leichtes, ihre betrügerischen Server mit solchen Zertifikaten auszustatten. Nach aktuellen Zahlen verfügen mittlerweile fast ein Viertel aller Phishing-Seiten über ein SSL-Zertifikat. Wenn Sie also allein aufgrund des Vorhandenseins eines SSL-Zertifikats davon ausgehen, dass Ihre Daten sicher sind, ist das ein Trugschluss. Sie können immer noch auf einer Phishing-Seite sein, lediglich die Übertragung der Daten von Ihnen zu den Gaunern kann nicht mitgelesen werden. Die Gauner können aber mit den Daten machen, was sie wollen.
Beispiel für Phishing-Seite mit https
Die oben bereits verlinkte Seite von phishlabs.com zeigt im unteren Bereich ein schönes Beispiel einer Amazon-Phishingseite. Zwar ist https-Verschlüsselung gegeben, aber „amzn.step412.top“ ist nun wirklich nicht dasselbe wie „amazon.de“. Wenn Sie dies nicht nachvollziehen können, sollten Sie dringend lernen, Internet-Adressen zu verstehen.
Neben von vornherein zu Betrugszwecken eingerichteten Webseiten, die über SSL / https verfügen, kann zudem auch ein Einbruch auf den Webserver stattgefunden haben, wodurch die Daten auch auf der legitimen Webseite in falsche Hände geraten könnten. Dieses Risiko bleibt immer.
Phishing-Webseiten können Sie also nicht mehr allein daran erkennen, dass sie nicht über https erreichbar sind. Sie müssen in der Lage sein, eine betrügerische Webseiten-Adresse von der echten zu unterscheiden. Hierzu habe ich schon früher eine Anleitung mit einem kleinen Wissenstest veröffentlicht. Auch das schützt zwar nicht vor Webseiten, in die eingebrochen wurde, dürfte aber bereits die weitaus meisten Gefahren beseitigen.
Sie müssen sich jedoch immer im Klaren sein: SSL-Verschlüsselung bezieht sich lediglich auf den Transportweg der Daten zwischen Ihrem Browser und dem Server der Webseite. Das gilt ebenso für die Transportverschlüsselung bei E-Mails über TLS oder SSL oder die Vollverschlüsselung der Kommunikation über Whatsapp. Zwischen Ihnen und dem Empfänger können die Daten nicht von Dritten mitgelesen werden. Was aber der Empfänger mit der ihm gesendeten Information macht, ist diesem überlassen. Darauf hat die Transportverschlüsselung keinen Einfluss. Https / SSL ist also kein Freibrief, keine Garantie für völlige Sicherheit.
