Dem Otto-Normal-Surfer wird vermutlich weder http noch https ein Begriff sein. Um genau das zu ändern, werde ich die beiden Begriffe, in einfachen Worten, beschreiben und erklären, warum https beim sicheren Surfen so wichtig ist. Außerdem noch eine Hilfe wie man geschützte Seiten erkennen kann.

http vs. https - Ansichtskarten vs. Briefe

Anmerkung: technisch versierte Leser mögen mir an dieser Stelle verzeihen, dass ich diese Erklärung, aus Gründen der Verständlichkeit für Laien, möglichst einfach halte, auch wenn die Korrektheit darunter etwas leidet.

Sowohl http als auch https sind Übertragungsprotokolle zum Senden und Empfangen von Daten über das Internet. http steht für Hypertext Transfer Protocol und gibt es seit 1996 [1]. Es bildete den Grundstein für das World Wide Web wie wir es heute kennen. Wie der Name vermuten lässt, ist es ein Protokoll zur Übertragung von Text bzw. Daten im Allgemeinen. Dabei gibt es aber keinerlei kryptographische Schutzmechanismen (=keine Verschlüsselung). Das bedeutet, dass Inhalte im Klartext übertragen werden und somit mitgelesen und sogar unbemerkt verändert werden können.

https steht für http secure (= sicher) und wurde im Jahr 2000 spezifiziert [2]. Wenn der Browser eine https-Verbindung zu einem Server aufbaut, dann findet die Kommunikation zwischen den beiden ausschließlich verschlüsselt statt. Das bedeutet also, dass niemand mehr mitlesen oder gar den Inhalt verändern kann.

Man kann das ein bisschen mit Ansichtskarten und Briefen vergleichen: Ansichtskarten können unterwegs von jedem gelesen werden, der sie in die Finger bekommt (in der Postzentrale, Briefträger, etc.). Wenn jemand "lustig" ist, könnte er sogar selbst was dazu schreiben oder zeichnen. Bei Briefen hingegen, sieht der Postbote zwar Absender und Empfänger, kann den Inhalt aber nicht lesen, weil der Brief verschlossen ist. Würde der Brief unterwegs doch gelesen und/oder verändert werden, würde das dem Empfänger allerdings auffallen.

Wer könnte unbefugter Weise auf die Daten zugreifen?

Wie auch beim Beispiel mit der Ansichtskarte, haben all jene Zugriff auf die Daten die am Postweg liegen. Das inkludiert vor allem den Internetprovider, aber auch den Betreiber des Netzwerkes, in welchem man sich befindet. Dazu zählen: der Arbeitgeber, wenn ich in der Firma surfe*, die Schuladministration, wenn ich PCs oder das WLAN der Schule verwende, sowie Anbieter des WLANs, wenn man gerade einen öffentlichen WLAN-Hotspot verwendet (dein Lieblings-Shopping Center, deine Lieblings-Fastfood-Kette, das Cafe um die Ecke, etc).

(Warum man öffentliche WLAN-Hotspots mit Vorsicht genießen sollte, werde ich demnächst in einem anderen Beitrag erklären.)

* Der Arbeitgeber behält sich oft das Recht vor auch per https verschlüsselten Verkehr an zu schauen. Zu erklären wie genau das passiert, würde den Rahmen dieses Beitrags sprengen. anmerken möchte ich jedoch, dass man als Arbeitnehmer derartigen Methoden immer explizit zustimmen muss. Entweder steht ein entsprechender Absatz im Arbeitsvertrag oder muss es vor dem erstmaligen Benutzen des Internets akzeptieren.

Welche Gefahr besteht bei http, wenn jemand mitliest?

Wenn http-Verbindungen mitgelesen werden können, können auch sämtliche dabei übertragene Daten eingesehen werden. Das schließt Nutzerdaten, wie zum Beispiel Passwörter, genau so ein wie vertrauliche Daten, wie etwa private Nachrichten sowie Bank- und Kredikarteninformationen.

Welche Gefahr besteht bei http, wenn jemand die Daten unterwegs verändern kann?

Wenn ein Angreifer zusätzlich noch die Daten beliebig verändern kann, bevor sie im Browser ankommen, hat der Angreifer volle Kontrolle über den Inhalt. Zum Beispiel könnte Schadcode, also böswilliger Inhalt, auf der Seite platziert werden, welcher Sicherheitslücken (sofern vorhanden) ausnutzt, um Malware zu installieren. Auch möglich wäre das Einbinden ungewollter Werbung, wie es zeitweise zum Beispiel kanadische, amerikanische und chinesische Internetanbieter gemacht haben [3] [4] [5] [6] . Nachrichtenseiten, wie zum Beispiel orf.at, sehe ich dabei besonders kritisch, da eine unauffälligere Attacke einfach sein könnte, bestimmte Artikel oder Textpassagen auszutauschen und zu ändern. Wenn eine Seite nur über http erreichbar ist (wie es zum Zeitpunkt des Schreibens (22. April 2017) bei orf.at der Fall ist **), kann der Besucher sich niemals sicher sein, dass das was er sieht auch das ist, was der Webseitenbetreiber online gestellt hat.

Um als Beispiel meinen Blog zu nehmen: Wenn dieser nicht durch https geschützt wäre, könnte ein Angreifer diesen Beitrag hier so umschreiben, dass der Inhalt wie folgt lauten könnte: "http ist sicher und viel Zucker ist gesund." Was selbstverständlicherweise falsch ist, wie jeder Leser mittlerweile weiß.

** Auf Nachfrage beim orf.at-Support am 13. Februar 2017 wurde mir folgendes mitgeteilt: "Die Umstellung unserer Angebote auf HTTPs ist in Arbeit und an manchen Ecken schon aktiv. Sobald wir verlässlich auch den Werbe-Content als HTTPs bekommen, werden wir auch für User sichtbare Inhalte unter HTTPs stellen."

Woran erkenne ich, ob eine Webseite http oder https verwendet?

Jetzt wo die Unterschiede zwischen http und https geklärt sind, möchte ich folgende, brennende, Frage beantworten: "Woran erkenne ich, ob eine Webseite http oder https verwendet?"

Die Antwort: An der Adressleiste des Browsers!

Ganz egal, ob man Firefox, Chrome, Opera, Edge oder einen anderen Browser verwendet. Das ist eines der wenigen Dinge, welches bei allen (mehr oder weniger) gleich ist. Zumindest sehr ähnlich.

Sämtliche nachfolgenden Bildausschnitte sind von Firefox, sollten aber, wie gesagt, bei allen anderen Browsern sehr ähnlich sein. Eine Erklärung folgt unterhalb der Bilder.

(1) Adressleiste von orf.at

(2) Adressleiste von hardbase.fm

(3) Adressleiste von uif-lab.eu/bafblox

(4) Adressleiste von bankaustria.at

Jeweils ausschlaggebend ist das Icon links neben der Web-Adresse.

Bei (1) sieht man hier lediglich ein i, zur Information. Wenn man auf dieses klickt, teilt einem der Browser mit, dass die Verbindung nicht sicher ist.

Das Schloss mit gelben Warnzeichen, wie es in (2) zu sehen ist, signalisiert, dass die Verbindung zur Seite zwar grundsätzlich mit https gesichert ist, aber manche Seiteninhalte, wie zum Beispiel manche Grafiken, über http geladen werden und daher ungesichert sind.

Die Seiten in (3) und (4) sind jeweils mit https gesichert. Der Unterschied ist, dass Bank Austria mehr Aufwand betrieben hat und einen Nachweis gebracht hat, dass hinter dem Namen wirklich das Unternehmen steckt, welches man vermutet. Im Prinzip macht es aber keinen Unterschied, ob das Icon so wie in (3) oder so wie in (4) aussieht. Beides bedeutet, dass die Daten verschlüsselt übertragen werden.

ACHTUNG: Eine https-Verbindung bedeutet NICHT automatisch, dass die Webseite selbst sicher ist (und keine Viren, etc. beinhaltet), sondern nur, dass die Daten sicher übertragen werden und unterwegs nicht mitgelesen oder manipuliert wurden.

Kann ich sonst noch etwas tun, um mich noch besser zu schützen?

Die Electronic Frontier Foundation (EFF) hat ein Browser-Plugin namens HTTPS everywhere entwickelt. Das Plugin kennt eine Liste bekannter Webseiten, welche https unterstützen. Wenn man nun eine solche Webseite ansurft, wird dem Browser sofort gesagt https zu verwenden. Dadurch muss der Benutzer nicht selbständig die {hhtps}}-Version der Seite aufrufen. Außerdem bietet das Plugin noch eine Option an, welche sämtlichen unverschlüsselten Verkehr komplett blockiert. Das kann allerdings einige Seiten unbenutzbar machen. HTTPS everywhere ist für Firefox, Chrome und Opera verfügbar.

Zusammenfassung

Beim Surfen im Internet sollte man stets die Addressleiste des Browsers im Auge behalten und darauf achten, dass eine geschützte https-Verbindung verwendet wird.

Bei Seiten, welche nur über http erreichbar sind, sollte man grundsätzlich vorsichtig sein und keinesfalls sensible Daten, wie etwa Passwörter oder private Nachrichten eingeben.

Zusätzlich empfehle ich die Installation von HTTPS everywhere.

Bonus: Ich habe selbst eine Webseite, aber ..

  • .. da sind eh keine wichtigen/sensiblen Daten drauf

Egal welche Art von Webseite man betreibt. Wir schreiben das Jahr 2017 und es gibt keine validen Gründe mehr, https NICHT zu verwenden.

  • .. SSL Zertifikate sind so teuer

Dafür gibt es seit Anfang 2016 die Zertifizierungsstelle Let's Encrypt. Diese bietet kostenlos vertrauenswürdige SSL-Zertifikate an, die von allen Browser akzeptiert werden. Das Einrichten selbst dauert nur etwa fünf Minuten.

Alle Links & Referenzen gesammelt: