Sichere Verbindung im Browser erkennen

Eine normale Verbindung im Webbrowser verwendet das Übertragungsprotokoll HTTP (Hyper Text Transfer Protokoll), was nichts anderes ist als eine Reihe von Regeln, an die sich Webbrowser und Webserver halten, damit wir User am Ende schön surfen können. Sie sehen das daran, dass Ihr Browser meist Adressen beginnend mit https:// anzeigt.
ABER: Die Übertragung der Daten erfolgt bei HTTP im Klartext. Sprich: Wenn Sie auf einer Website eine Mail schreiben, Ihre Kreditkartennummer eintippen oder Name und Passwort für einen Dienst eingeben und abschließend auf Senden oder Anmelden klicken*, dann kann prinzipiell jeder mitlesen.

Daher hat uns der Herrgott die Verschlüsselung geschenkt. Eine verschlüsselte und daher sichere Verbindung im Browser verwendet das Übertragungsprotokoll HTTPS (Hyper Text Transfer Protokoll Secure). Sie erkennen Websites, die sicheres HTTP verwenden daran, dass die Adresse im Browser gerade mit https: beginnt und der Browser irgendwo ein Schlosssymbol anzeigt.

Wann immer Sie

sollten Sie dafür sorgen, dass Ihr Browser https verwendet. Sonst kann jeder mitlesen! Jeder heißt: Im Internet alle Stationen von Ihrem Provider bis zum Provider des Webangebots, das Sie nutzen. In einer Firma der Admin und seine Supportmitarbeiter – theoretisch sogar neugierige Kollegen.

* Die Website, die Sie sehen, ist nicht automatisch die, an die Daten übertragen werden. Daher kann es durchaus sein, dass es Login-Seiten gibt, die kein https benutzen – denn erst die Website, die sie aufrufen, um im Zuge des Aufrufs die Login-Daten zu übertragen, verwendet https. Das ist im Prinzip  okay. Ich rate dennoch dazu, auf Login-Seiten einfach mal zu versuchen, ein s hinters http zu klemmen, um ein sichere https-Verbindung zu erzwingen. Und auch Bookmarks und Lesezeichen entsprechend anzupassen.

Wie man merkt, dass https aktiviert ist

Im folgenden vier Beispiele, wie https in Ihrem Browser aussieht. Im Hintergrund sehen Sie jeweils die Seite im Browser ohne https, im Vordergrund jeweils ein zweites Browserfenster auf der Seite mit https.

Zunächst der Microsoft Internet Explorer 8 auf Vista, zum Beispiel bei der Deutschen Bank, einem Unternehmen, dass durchaus auch mal Spionage betreibt:

Internet Explorer 8.x: Farbig hinterlegte Adresszeile, Schlosssymbol, Name des Anbieters.
Internet Explorer 8.x: Farbig hinterlegte Adresszeile, Schlosssymbol, Name des Anbieters.

Der Mozilla Firefox macht es, finde ich, auf angenehme Weise auffällig:

Firefox 3.x: Farbig hinterlegter Name des Anbieters links von der Adresszeile. Das Schloßsymbol (niht im Bild) zeigt Firefox in der Statuszeile rechts unten.
Firefox 3.x: Farbig hinterlegter Name des Anbieters links von der Adresszeile. Das Schloßsymbol (nicht im Bild) zeigt Firefox in der Statuszeile rechts unten.

Opera 10 hebt nur den Anbieternamen laut AV-Zertifkat hervor. Wenn es zu eng wird, also man das Browserfenster zu schmal gezogen hat, zeigt Opera auch mal nur ein Schloß; daher im Screenshot alle drei Varianten: Hinten ohne, in der Mitte mit vollem Namen, im Vordergrund nur mit Schloß.

Opera 10.x: farbig hinterlegtes Schloßsymbol samt Anbietername rechts von der Adresszeile. Wenn die zu eng wird, zeigt Opera auch mal nur ein Schloß.
Opera 10.x: farbig hinterlegtes Schloßsymbol samt Anbietername rechts von der Adresszeile. Wenn die zu eng wird, zeigt Opera auch mal nur ein Schloß.

Google Chrome:

Google Chrome: Farbig hinterlegte Adressezeile, Anbietername neben Schloß-Zeichen, htpps und Anbietername in der selben Farbe.
Google Chrome: Farbig hinterlegte Adressezeile, Anbietername neben Schloß-Zeichen, htpps und Anbietername in der selben Farbe.

„Bin ich auf einer https-Seite automatisch sicher?“

Leider nein.
Passwort und Nutzername, dass Sie eingeben, kommen dank https zwar nur auf der Gegenseite an und können auf dem Weg dazwischen eher nicht abgehört werden.
Doch was ist, wenn die Gegenseite eine Phishing-Website ist, die nur Daten Ihrer digitalen Identität stehlen will?

HTTPS sorgt theoretisch auch hier vor. Denn bei HTTPS geht es nicht nur darum, dass die Übertragung verschlüsselt ist. Es geht auch darum, sicherzustellen, dass die Website, die Sie besuchen, wirklich die Website ist, nach der sie aussieht. Anders gesagt: Jeder Kleinganove kann ein https-System aufsetzen und seine Website nach einer Bank aussehen lassen. Die Anzeige https:// zu Beginn der URL alleine sagt daher noch nichts.

Erst ein „Zertifikat“ bestätigt bei HTTPS, dass die Bank wirklich die Bank ist bzw. es bestätigt einfach nur, wer der Betreiber der Seite ist.

Zertifikatsinfos können Sie sich selbst ansehen und dann entscheiden, ob Sie dem Seitenbetreiber trauen. Gehen Sie dazu auf die Seite der Bank, des Shops oder wo auch immer und sorgen Sie dafür, dass Sie eine https-Verbindung haben.

  • Im Internet Exploer wählen Sie dazu Seite / Eigenschaften, klicken auf Zertifikate.
  • Im Firefox ist es Extras / Seiteninformationen, Reiter Sicherheit, klicken auf Zertifikat anzeigen.
  • In Opera drücken Sie [Alt]+[Enter].
  • In Google Chrome klicken Sie mit der rechten Maustaste auf einen freien Bereich der Webseite und wählen Seiteninfo anzeigen.

ssl-zertifikat

  • (Es geht auch per Webware: Am Ende des Textes finden Sie Links zu externen SSL-Checkern.)

Soweit, so umständlich. Denn: RC4 128 Bit? SHA1? MD5? Soll meine Oma, wenn sie mit ihrem neuen Notebook begeistert shoppen geht, in den Browser-Einstellungen rumklicken und die Seite suchen, wo das Zertifikat zu finden ist? Eben: Nein. Außerdem ist klassisches SSL knackbar – der CCC führte es 2008 vor (Original beim CCC, Artikel bei heise.de).

Aber die Lösung ist schon da, und zwar in Form der

Extended Validation Certificates

Weil der Umgang mit den alten Zertifikaten (1994 oder so erstmalig eingeführt) relativ kompliziert war, hat man etwas neues gemacht, sogenannte Extended Validation Certificates, kurz EV genannt.

  • Die sind erstens sicherer (derzeit; bis sie halt jemand knackt).
  • Zweitens sind sie deutlich einfacher für den Nutzer zu erkennen. In allen Screenshots oben sehen Sie jeweils vom Browser hervorgehoben den Namen des Inhabers des EV-Zertifikates.
    Hier nochmal als Detailshot:
Anzeige des EV-Zertifikatinhabers bei https-Verbindung
Anzeige des EV-Zertifikatsinhabers bei https-Verbindung.

Alle neueren Browser unterstützen diese EVs und zeigen sie auch deutlich an. Daher nochmal der Rat: Verwenden Sie stets aktuelle Browser. Wer jetzt wirklich noch mit Windows 9x und Internet Explorer 4 unterwegs ist, ist selber schuld.

„Super: EVs sind nun also sicher?“

Leider nein, zumindest beim Online-Banking.

Nehmen wir den Idealfall: Ihr Browser surft bei einer Bank.

  • Die Verbindung zwischen dem Browser und der Bank ist supersicher, check.
  • Die Bank-Website gehört wirklich zur Bank, check.

Alles in bester Ordnung?
Nicht ganz. Denn sind Sie wirklich Sie?
Anders gefragt: Sind Sie die Person, die Ihren Browser untr Kontrolle hat?
Und hier lauert die hoffentlich letzte Lücke, nämlich Trojaner, die Ihren Browser (der hochsicher mit der Bank verbunden ist, aber eben nicht mit Ihnen) manipulieren und die im Hintergrund Überweisungen für Sie vornehmen. Der ganz moderne Trojaner wartet, bis Sie Ihre Überweisung vornehmen, und wenn Sie auf „Überweisen“ klicken, dann ersetzt er Ihre Eingaben durch seine eigenen, umgekehrt ersetzt er die Anzeige der Bank-Website durch Ihre Eingaben, damit Sie keinen Verdacht schöpfen. Danach geben Sie die iTAN ein und dankeschön – schon haben Sie den Kriminellen (oder Money-Mules) Geld überweisen – siehe Bankraub Online.

Keine Panik! Die Gefahr, dass Sie diesen Trojaner haben, ist derzeit noch nocht hoch.

Beachten Sie aber in jedem Fall

Info-Links:

  • VeriSign SSL-Informations-Site www.verisign.de
    VeriSign ist einer von denen, die EV-Zertifikate ausstellen können.
  • CAcert www.cacert.org
    Das CAcert ist sozusagen die Open-Antwort auf kommerzielle Zertifizierungsstellen wie VeriSign. Das Problem an einer Zertifizierung ist nämlich, dass Sie viel Geld kostet. Kann ich jährlich mehrere Hundert Euro dafür ausgeben? Nein. Aber eigentlich müsste ich das tun, denn nur dann können Sie scareware.de mit https besuchen, und nur dann könnten Sie sicher sein, dass ich kein Gauner bin und Ihnen nicht Tipps unterjuble, die Sie direkt zu Phishern führen. CAcert will das kostenlos machen. Die Browser-Macher finden das wohl aber noch nicht sicher genug, jedenfalls gilt ein CAcert-Zertifikat laut Wikipedia derzeit noch nichts.
  • ServerSniff SSL-Check serversniff.de
    Fragt SSL-Infos bei einem Server ab, den Sie selber angeben können.
  • Stiftung Warentest SSL-Check
    mit Erläuterungen
  • heise.de SSL-Check
    ohne Erläuterung