HTTPS und Deine Online-Sicherheit

Wir haben Web-Usern seit langem empfohlen nach HTTPS und dem Sperr-Symbol in der Adressleiste ihres Lieblingsbrowsers (Firefox!) Ausschau zu halten, bevor sie Passwörter oder andere private Informationen in eine Website eingeben. Das sind zwar solide Tipps, aber es lohnt sich tiefer einzutauchen in das, was HTTPS tut und nicht tut um Deine Online-Sicherheit zu schützen und welche Schritte Du erledigen musst, um sicherer zu sein.

Vertrauen ist mehr als Verschlüsselung

Es stimmt, dass die Suche nach dem Schloss-Symbol und HTTPS Dir helfen wird zu verhindern, dass Angreifer die Informationen sehen, die Du auf einer Webseite eingibst. HTTPS verhindert auch, dass Dein Internetanbieter sieht, welche Seiten Du jenseits der Top-Level-Domain einer Webseite besuchst. Das heißt, er kann sehen, dass Du regelmäßig https://www.reddit.com besuchst, aber er wird nicht sehen, dass Du die meiste Zeit auf https://www.reddit.com/r/CatGifs/ verbringst. Aber während HTTPS garantiert, dass Deine Kommunikation privat und verschlüsselt ist, garantiert es nicht, dass die Website versuchen wird Dich zu betrügen

Die Sache ist nämlich: Jede Website kann HTTPS und Verschlüsselung verwenden. Dazu gehören die guten, vertrauenswürdigen Webseiten sowie diejenigen, die nichts Gutes im Schilde führen – die Betrüger, die Phisher, die Malware-Macher.

Du könntest Deinen Kopf jetzt kratzen und Dich fragen, wie eine verächtliche Website HTTPS verwenden kann. Dir wird verziehen, wenn Du Dich in Großbuchstaben wunderst: WIE KANN DAS SEIN?

Die Antwort ist, dass die Sicherheit Deiner Verbindung zu einer Website — die HTTPS anbietet — nichts über die übertragenen Informationen oder die Beweggründe der Organisationen, die sie weiterleiten, weiß. Es ist wie mit einem Telefon. Die Telefongesellschaft ist nicht dafür verantwortlich, wenn Betrüger Dich anrufen und versuchen an Deine Kreditkarte zu kommen. Du musst begreifen, mit wem du telefonierst. Die Aufgabe von HTTPS ist es, eine sichere Verbindung zur Verfügung zu stellen, und nicht zu garantieren, dass Du nicht mit Betrügern telefonieren wirst.

Das ist deine Aufgabe. Knallhart, ich weiß. Nun denkt darüber nach. Aber denk darüber nach. Betrüger bemühen sich sehr dich auszuricksen und ihre Motive lassen sich weitgehend zu einem eindampfen: Dich von Deinem Geld zu trennen. Das gilt überall im Leben, online und offline. Deine Aufgabe ist es nicht betrogen zu werden.

Wie erkennst Du eine betrügerische Website?

Betrachte die Erscheinung. Sie erweckt allgemein Kompetenz und Vertrauen. Wenn eine legitim aussehende Person in schicker Dienstkleidung, dievor Deiner Bank steht, sagt, dass sie für die Bank arbeitet und anbietet Dein Bargeld zu nehmen um es einzuzahlen, würdest Du ihr vertrauen? Natürlich nicht. Du gehst selbst direkt zur Bank. Wende die gleiche Skepsis online an.

Da Betrüger sich große Mühe geben um Dich auszutricksen, kannst Du erwarten, dass sie in virtueller Arbeitskleidung erscheinen, um Dich zu überzeugen, ihnen zu vertrauen. „Phishing“ ist eine Form von Identitätsdiebstahl, die vorliegt, wenn eine böswillige Website eine legitime Person verkörpert, um Dich dazu zu bringen, sensible Informationen wie Passwörter, Kontodaten oder Kreditkartennummern herauszugeben. Phishing-Angriffe gehen in der Regel von E-Mail-Nachrichten aus, die versuchen Dich als EmpfängerIn dazu zu verlocken Deine persönlichen Informationen auf gefälschten aber sehr echt aussehenden Webseiten zu aktualisieren. Diese Webseiten können auch HTTPS verwenden, um Dir ihre Echtheit vorzutäuschen.

Hier sind einige Dinge, die Du tun solltest.

Klicke nicht auf verdächtige Links.

Ich habe einmal eine Nachricht erhalten, die mir mitgeteilt hat, dass mein Konto bei der Bank of America eingefroren wurde und ich mich durchklicken müsse um es in Ordnung zu bringen. Es sah echt aus, aber ich habe kein BoFA-Konto. Das ist Phishing — eine Leine auszulegen, um jemanden zu ködern. Wenn ich einen BoFA-Account gehabt hätte, hätte ich vielleicht durchgeklickt und angebissen. Eine sicherere Vorgehensweise wäre es direkt auf die Webseite der Bank of America zu gehen oder dort anzurufen, um herauszufinden, ob die E-Mail gefälscht ist.

Wenn Du eine E-Mail erhältst, die Dir mitteilt, dass Dein Bankkonto eingefroren ist / es Unstimmigkeiten mit Deinem PayPal-Konto gibt / Du eine unbezahlte Rechnung hast / Du einen berechtigten Verdacht hast, wende Dich direkt an den Absender. Klicke nicht auf den Link in der E-Mail, egal wie überzeugt Du bist.

Stopp für Warnungen.

Firefox hat eine eingebaute Phishing- und Malware-Schutzfunktion, die Dich warnt, wenn eine Seite, die Du besuchst, als übler Schauspieler markiert wurde. Wenn Du eine Warnung siehst, die so aussieht, klicke auf den „Get me out of here!“-Button.

HTTPS ist wichtig

Die meisten großen Webseiten, die eine Kundenanmeldung anbieten, verwenden bereits HTTPS. Denke an: Finanzinstitute, Medienkanäle, Geschäfte, soziale Medien. Aber das ist nicht allgemeingültig. Nicht jede Website da draußen verwendet automatisch HTTPS.

Es ist nicht schwer für Webseiten umzurüsten. Der Inhaber der Website muss ein Zertifikat von einer Zertifizierungsstelle erhalten um HTTPS zu verwenden. Im Dezember 2015 tat Mozilla sich mit Cisco, Akamai, EFF und der University of Michigan zusammen um „Let’s Encrypt„, eine freie, automatisierte und offene Zertifizierungsstelle zum Nutze der Öffentlichkeit ins Leben zu rufen.

HTTPS im gesamten Web ist für das Wohlergehen des Internets gut, weil es eine sicherere Umgebung für jeden schafft. Es bietet Integrität, sodass eine Website nicht verändert werden kann, und Authentifizierung, sodass die NutzerInnen wissen, dass sie sich mit der echten Webseite verbinden und nicht mit einem Angreifer. Fehlt eine dieser drei Eigenschaften, kann es Probleme geben. Mehr unsichere Webseiten bedeuten mehr Risiko für das gesamte Web.

Wenn Du auf eine Website kommst, die HTTPS nicht verwendet, sende eine Notiz, um sie zu ermutigen, an Bord zu bekommen. Poste auf ihren sozialen Medien oder sende ihnen eine E-Mail um sie wissen zu lesen, dass es wichtig ist: @lieblingswebseite ich liebe Ihre Website, aber mir ist aufgefallen, dass sie nicht sicher ist. Holen Sie sich HTTPS von @letsencrypt um Ihre Website und Ihre Besucher zu schützen. Wenn Du selbst eine Website betreibst, wird Verschlüsselung sie sicherer für Dich und Deine Besucher machen und zur Sicherheit des Webs beitragen.

Teile diesen Artikel in der Zwischenzeit mit Deinen Freunden, damit sie verstehen, wie HTTPS funktioniert und was es für ihre Online-Sicherheit tut und nicht tut.

Übersetzt von einer Mozilla-Freiwilligen. Vielen Dank Valérie Labonté!

This post is also available in: English (Englisch)


Share on Twitter