Bisher erkennen Sie sichere Webseiten nur an einem grünen Icon und dem Schriftzug „HTTPS“ vor der URL. Unsichere Webseiten werden neutral dargestellt. Dadurch übersehen Verbraucher die so wichtige Verschlüsselung für Eingaben auf Webseiten schnell. Google möchte das in seinem Webbrowser Google Chrome in Zukunft ändern.

Viele Nutzer sehen sich die Kennzeichnung des Adressfelds gar nicht an. Das führt dazu, dass Passwörter, Anmeldeinformationen oder Kreditkartendaten im Eifer des Surfens oder Kaufens auf unsicheren Seiten eingegeben werden. Bester Beweis dafür sind Phishing-Seiten. Diese gefälschten Webseiten sind in der Regel unverschlüsselt. Trotzdem geben Nutzer ihre Zahlungsdaten ein. Sie vertrauen dem schönen Design. Dieses ist jedoch kein Anhaltspunkt für Sicherheit.

Welches Risiko von unverschlüsselten Webseiten ausgeht erklären wir in unserem Artikel „Was ist HTTPS?“.

Was ändert sich ab 2017?

Ab Januar 2017 wird Google im Webbrowser Chrome unsichere Webseiten gleich an mehreren Stellen hervorheben. Dadurch soll sichergestellt werden, dass auch ungeübte Verbraucher die fehlende Verschlüsselung nicht übersehen. Bisher sind unsichere Webseiten nur mit einem (i) vor der URL gekennzeichnet. Google plant zukünftig alle nicht verschlüsselten Webseiten mit einem roten Schriftzug zu markieren.

Eingabefelder für vertrauliche Informationen wie Passwörter oder Kreditkartennummern sollen zusätzlich mit einem expliziten Hinweis markiert werden.

Wirksam sollen diese Änderungen ab der Version 56 des Chrome-Browsers ab Januar 2017 werden.

In unserer Übersicht finden Sie weitere News und Warnungen zum Thema HTTPS. Wenn Sie Wert auf den Schutz Ihrer Privatsphäre legen, dann sollten Sie sich auch unsere Anleitung zum privaten Surfmodus ansehen. Damit verhindern Sie, dass Webseiten Daten zu Ihrem Surfverhalten auf Ihrem Computer abspeichern.

Der Beitrag Chrome: Google kennzeichnet unsichere Webseiten ohne HTTPS erschien zuerst auf Verbraucherschutz.com.

HTTPS (HyperText Transfer Protocol Secure) ist ein abhörsicheres Kommunikationsprotokoll, welches die Daten zwischen Webbrowser und Webserver in beide Richtungen verschlüsselt überträgt. Durch die Verschlüsselung der Daten und die Authentifizierung wird zudem die Identität des Kommunikationspartners bestätigt.

Doch welchen Nutzen hat HTTPS für Sie?
Sobald Sie eine Webseite im Internet aufrufen, stellt Ihr Browser eine Verbindung zu einem Webserver her und fordert dort Daten an. Das geschieht normalerweise über das Kommunikationsprotokoll HTTP (HyperText Transfer Protocol). Nachteilig ist, dass der Server die Daten für die Webseite über das HTTP-Protokoll im Klartext versendet. Das bedeutet, auf dem Weg vom Server zu Ihrem Browser kann theoretisch jeder mitlesen. Wer mitliest, sieht wie Sie, welche Webseite in Ihrem Browser angezeigt wird. Das gilt auch umgekehrt, wenn Sie Daten in ein Formular eingeben und so an den Webserver senden.

Deshalb ist das HTTP-Protokoll für die Übermittlung persönlicher Daten vollkommen ungeeignet, da die Verbindung jederzeit abgefangen werden kann. Um Ihre Daten und Privatsphäre zu schützen, gibt es das HTTPS-Protokoll (HyperText Transfer Protocol Secure). Darüber gesendete und empfangene Daten werden auf dem Transportweg verschlüsselt, sodass Dritte diese nicht einsehen können. Da Sie über das HTTPS-Protokoll auch die Echtheit des Kommunikationspartners überprüfen, können Phishing-Angriffe erkannt werden.

Mögliche Probleme in Zusammenhang mit HTTPS

Ganz problemlos ist das Protokoll in der Praxis nicht. Um die Echtheit des Kommunikationspartners zu gewährleisten, wird ein digitales Zertifikat benötigt. Dieses wird von unabhängigen Zertifikationsstellen ausgestellt, welche die Echtheit des Antragstellers überprüfen. In der Praxis werden jedoch auch Zertifikate verwendet, welche von keiner unabhängigen Stelle verifiziert wurden. Zudem sind verschiedene Angriffsszenarien auf das HTTPS-Protokoll bekannt. Im einfachsten Fall wird die HTTPS-Sicherheit nur vorgetäuscht.

Einsatzgebiete für HTTPS-Webseiten

Nicht alle Webseiten verwenden das HTTPS-Protokoll und das ist auch nicht nötig. Solange Sie nur auf einer Webseite surfen und nicht personenbezogene Informationen abrufen, genügt das HTTP-Protokoll. Schließlich lesen Sie auf diesen Seiten nur Informationen, die ohnehin frei zugänglich sind und Ihre Privatsphäre in der Regel nicht bedrohen.

Sobald Sie persönliche Daten übertragen oder abrufen, ist das HTTPS-Protokoll Pflicht. Das trifft beispielsweise für folgende Anwendungen im Internet zu:

• Online-Banking
• Einkauf in Onlineshops
• Abrufen von E-Mails über Webmailer
• Übertragung von Daten in oder aus der Cloud, wie OneDrive oder Google Drive
• Abwicklung des Zahlungsverkehrs wie PayPal
• Nutzung sozialer Netzwerke wie Facebook oder Twitter
• Anmeldung auf Webseiten mittels Benutzername und Passwort oder Übertragung von PINs

Woran erkennen Sie sichere Webseiten mit HTTPS?

Die Kennzeichnung einer HTTPS-Verbindung ist abhängig vom verwendeten Webbrowser und leider nicht einheitlich. Das trägt zu einer Verunsicherung der Verbraucher bei. In den meisten Fällen sind verschlüsselte Verbindungen über HTTPS jedoch mit einem grünen Schriftzug vor der Adresszeile mit der URL gekennzeichnet. Einige Browser färben auch die gesamte Adresszeile grün, andere ändern die Farbe gar nicht. In einigen Fällen wird zusätzlich ein geschlossenes Schloss angezeigt.

Mit einem Klick auf den Schriftzug können Sie weitere Informationen zu dem Zertifikat aufrufen. Diese Daten sollten Sie unbedingt nutzen, da Sie nur so Phishing-Angriffe erkennen. Beispielsweise sehen Sie, ob das Zertifikat gültig, von einer unabhängigen Stelle ausgestellt und wer der eigentliche Kommunikationspartner ist. Steht unter „Firma“ ein Ihnen unbekanntes Unternehmen, sollten Sie vorsichtig sein.

Im obigen Beispiel sehen Sie den Namen und Inhaber des Zertifikats (5) und wissen so, dass der Datenaustausch tatsächlich mit diesem Unternehmen stattfindet. Außerdem finden Sie den Namen des Ausstellers des Zertifikats (6).

Viele Webbrowser warnen den Nutzer, wenn es Probleme mit Zertifikaten gibt. Wer diese Warnungen beachtet, übersieht ungültige Zertifikate nicht und wird auf nicht vertrauenswürdige Verbindungen hingewiesen.

Fazit: HTTPS ist wichtig, bietet aber keinen lückenlosen Schutz

HyperText Transfer Protocol Secure sorgt für eine abhörsichere Verbindung zwischen Ihrem Computer und dem Webserver. Das ist zwingende Voraussetzung, um persönliche Daten und vertrauliche Informationen über das Internet zu übermitteln. Einen hundertprozentigen Schutz vor Cyberkriminellen kann jedoch auch das HTTPS-Protokoll nicht gewährleisten, da es an verschiedenen Stellen angreifbar ist. Verbraucher sollten sich die Informationen hinter dem HTTPS-Schriftzug ansehen und Warnungen beachten, um Cyberangriffe zu vermeiden.

Wir informieren Sie über aktuelle Phishingangriffe in dieser Übersicht. Außerdem finden Sie auf Onlinewarnungen.de weitere kostenlose Ratgeber.

Haben Sie sich die Details zu einem Zertifikat schon einmal angesehen? Ist Ihnen das zu aufwendig oder schätzen Sie ein, dass eine derartige Abfrage von Informationen zumutbar ist? Teilen Sie Ihre Meinung mit anderen Lesern über das Kommentarfeld.

Der Beitrag Was ist HTTPS? erschien zuerst auf Verbraucherschutz.com.