Wer im Netz unterwegs ist, hat sicherlich schon einmal das (grüne) Schloss in der Browser-Adresszeile bemerkt. Das Symbol zeigt an, ob eine Verbindung gesichert ist. Doch was heißt nun gesichert? Um diese Frage zu beantworten, muss zunächst geklärt werden, wie die Datenübertragung im Internet funktioniert.
Wie wird eine Website angezeigt?
Zur Übertragen von Daten werden Protokolle benötigt. So auch für das Anzeigen von Webseiten im Browser. Das Hypertext Transfer Protocol (HTTP) ist eines davon. Beim Aufrufen einer Website wird zunächst eine Anfrage (Request) vom sogenannten Client (der Browser) an den Server gesendet, auf dem die Inhalte der Website gespeichert sind. Der Server schickt die Daten als Antwort (Response) an den Client und erst an diesem Punkt kann die Website angezeigt werden. Diese Daten werden über das Kommunikationsprotokoll HTTP übertragen. Solche Protokolle bestehen aus Regeln und definieren die Struktur von Meldungen sowie die möglichen Antworten.
Wer mehr über die Datenübertragung im Internet erfahren möchte, kann sich über das OSI Modell belesen: https://dev-supp.de/iso-osi-referenzmodell
Worin liegt der unterschied zu HTTPS?
Der Unterschied ist groß - da es sich bei HTTP um ein zustandsloses Protokoll handelt, ist es anfällig für Dritte, die den Datenaustausch auslesen. Bei HTTPS wird hingegen der Webserver durch ein TLS-Zertifikat validiert und anschließend vom Client ein Sitzungsschlüssel versandt, welcher nur für den Server lesbar ist. Die Kommunikation zwischen Browser und Server ist durch TLS (Transport Layer Security) verschlüsselt. TLS war früher bekannt als SSL und ist ein Verschlüsselungsprotokoll.
HTTPS wurde zunächst vor allem bei Onlineshops und Webseiten mit Anmeldevorgängen verwendet, um den Datendiebstahl bei Man-in-the-Middle-Angriffen zu verhindern. Da heutzutage jedoch die deutliche Mehrheit der Webseiten persönliche personenbezogene Daten sammeln und die Verschlüsselung auf das Suchmaschinenranking Einfluss nimmt, ist HTTPS gängiger Standard geworden. Dennoch sollte sich nicht komplett auf das kleine Schloss verlassen werden. Während es Schutz bei der Datenübertragung gegen das Lauschen Dritter bietet, sind mittlerweile auch viele Phishing Seiten über eine HTTPS-Verbindung zu erreichen.
Was ist Phishing?
Phishing ist eine Online-Betrugsmasche. Über seriös wirkende Seiten und URLs, die von der Originalseite kaum zu unterscheiden sind, wird versucht, Menschen dazu zu bewegen, sensible Daten wie Passwörter und Bankdaten anzugeben. Diese landen jedoch nicht bei den vermeintlichen Unternehmen, sondern bei Kriminellen. Das ist ein „Geschäftsmodell“ mit großem Erfolg: allein in 2020 wurden 241.324 Phishing Angriffe gemeldet. Die Dunkelziffer dürfte dabei um ein Vielfaches höher liegen. Davon erfolgen 96 % der Angriffe per Mail.
Eine aktuelle Statistik der Allianz in Zusammenarbeit mit dem IT-Unternehmen Kaspersky zeigt, dass die meisten Phishing-Mails an Kunden von namenhaften Lieferunternehmen wie DHL oder Hermes versendet werden. Platz zwei und drei belgen Online-Shops und Banken. Knapp 30 Prozent der Mails stammen hierbei aus Russland. Platz vier des weiltweiten Spams belegt Deutschland mit 5 Prozent Anteil.
Nicht zuletzt weil sich viele Nutzer mit der Anzeige des grünen Schlosses in Sicherheit denken, sind die Browser-Entwickler dazu übergegangen, das Schloss in schlichtem grau anzuzeigen.
Daran gilt es zu denken
Um die eigene Website sicher für die Nutzer zu machen, sollte stets auf die Gültigkeit des TLS-Zertifikats geachtete werden. Konnten Seitenbetreiber 2015 noch Zertifikate um 5 Jahre verlängern, werden seit September 2020 nur noch TLS-Zertifikate für 13 Monate ausgestellt. Weiterhin sollte darauf geachtet werden, dass eine Zwangsweiterleitung (Redirect) von HTTP auf HTTPS eingerichtet ist. Dies stellt sicher, dass die Seite immer über die gesicherte Verbindung aufgerufen wird.
Ein weiterer wichtiger Aspekt, der schnell in Vergessenheit gerät ist das sogenannte Mixed-Content Problem. Das tritt auf, wenn eine Website über HTTPS mit gültigem TLS-Zertifikat aufgerufen wird, Inhalte wie Skripdateien, Bilder oder Videos jedoch unverschlüsselt per HTTP geladen werden. Liegen die Inhalte auf einem Server, der nicht über eine HTTPS Verbindung erreichbar ist, wird die Seite als „teilweise sicher“ deklariert. Mixed-Content wirkt sich neben Imageeinbußen zudem negativ auf das Suchmaschinenranking aus.
Fazit
Das Schloss erscheint, sobald eine HTTPS-Verbindung zum Server besteht und auch alle Inhalte verschlüsselt geladen werden. HTTPS ist das Heute gängige Protokoll zum übertragen von Daten zwischen Client und Server und gilt als Standard, auch wenn keine Bankdaten oder sensible Informationen übertragen werden. Wie die Websicherheit, entwickeln sich auch die Cybercrime Methoden immer weiter. So sollten sich Webseitenbetreiber stets über Aktualisierungen und Neuerungen in Sachen Websicherheit informieren.
Quellen
https://lehrbuch-wirtschaftsinformatik.org/12-glossar/kapitel12/Kommunikationsprotokoll
https://www.proofpoint.com/de/threat-reference/phishing
https://developers.google.com/search/docs/advanced/security/https?hl=de
https://www.allianz.de/recht-und-eigentum/hausratversicherung/phishing-mail/
Bildquellen Grünes Schloss Icon: https://www.flaticon.com/free-icon/https_2333249?related_id=2333249&origin=search - erstellt von Freepik
HTTPS Browser Icon: https://www.flaticon.com/free-icon/https_7097253?related_id=7097253 - erstellt von Prosymbols Premium