Was ist HTTPS?

Das abhörsichere HTTPS-Protokoll bietet durch Verschlüsselung mehr Sicherheit und einen besseren Datenschutz bei der Datenübertragung auf Webseiten. Wir erklären, was HTTPS ist, woran Sie sichere Verbindungen erkennen und wann Sie darauf nicht verzichten sollten.

HTTPS (HyperText Transfer Protocol Secure) ist ein abhörsicheres Kommunikationsprotokoll, welches die Daten zwischen Webbrowser und Webserver in beide Richtungen verschlüsselt überträgt. Durch die Verschlüsselung der Daten und die Authentifizierung wird zudem die Identität des Kommunikationspartners bestätigt.

Doch welchen Nutzen hat HTTPS für Sie?
Sobald Sie eine Webseite im Internet aufrufen, stellt Ihr Browser eine Verbindung zu einem Webserver her und fordert dort Daten an. Das geschieht normalerweise über das Kommunikationsprotokoll HTTP (HyperText Transfer Protocol). Nachteilig ist, dass der Server die Daten für die Webseite über das HTTP-Protokoll im Klartext versendet. Das bedeutet, auf dem Weg vom Server zu Ihrem Browser kann theoretisch jeder mitlesen. Wer mitliest, sieht wie Sie, welche Webseite in Ihrem Browser angezeigt wird. Das gilt auch umgekehrt, wenn Sie Daten in ein Formular eingeben und so an den Webserver senden.

Deshalb ist das HTTP-Protokoll für die Übermittlung persönlicher Daten vollkommen ungeeignet, da die Verbindung jederzeit abgefangen werden kann. Um Ihre Daten und Privatsphäre zu schützen, gibt es das HTTPS-Protokoll (HyperText Transfer Protocol Secure). Darüber gesendete und empfangene Daten werden auf dem Transportweg verschlüsselt, sodass Dritte diese nicht einsehen können. Da Sie über das HTTPS-Protokoll auch die Echtheit des Kommunikationspartners überprüfen, können Phishing-Angriffe erkannt werden.

Mögliche Probleme in Zusammenhang mit HTTPS

Ganz problemlos ist das Protokoll in der Praxis nicht. Um die Echtheit des Kommunikationspartners zu gewährleisten, wird ein digitales Zertifikat benötigt. Dieses wird von unabhängigen Zertifikationsstellen ausgestellt, welche die Echtheit des Antragstellers überprüfen. In der Praxis werden jedoch auch Zertifikate verwendet, welche von keiner unabhängigen Stelle verifiziert wurden. Zudem sind verschiedene Angriffsszenarien auf das HTTPS-Protokoll bekannt. Im einfachsten Fall wird die HTTPS-Sicherheit nur vorgetäuscht.

Einsatzgebiete für HTTPS-Webseiten

Nicht alle Webseiten verwenden das HTTPS-Protokoll und das ist auch nicht nötig. Solange Sie nur auf einer Webseite surfen und nicht personenbezogene Informationen abrufen, genügt das HTTP-Protokoll. Schließlich lesen Sie auf diesen Seiten nur Informationen, die ohnehin frei zugänglich sind und Ihre Privatsphäre in der Regel nicht bedrohen.

Sobald Sie persönliche Daten übertragen oder abrufen, ist das HTTPS-Protokoll Pflicht. Das trifft beispielsweise für folgende Anwendungen im Internet zu:

• Online-Banking
• Einkauf in Onlineshops
• Abrufen von E-Mails über Webmailer
• Übertragung von Daten in oder aus der Cloud, wie OneDrive oder Google Drive
• Abwicklung des Zahlungsverkehrs wie PayPal
• Nutzung sozialer Netzwerke wie Facebook oder Twitter
• Anmeldung auf Webseiten mittels Benutzername und Passwort oder Übertragung von PINs

Woran erkennen Sie sichere Webseiten mit HTTPS?

Die Kennzeichnung einer HTTPS-Verbindung ist abhängig vom verwendeten Webbrowser und leider nicht einheitlich. Das trägt zu einer Verunsicherung der Verbraucher bei. In den meisten Fällen sind verschlüsselte Verbindungen über HTTPS jedoch mit einem grünen Schriftzug vor der Adresszeile mit der URL gekennzeichnet. Einige Browser färben auch die gesamte Adresszeile grün, andere ändern die Farbe gar nicht. In einigen Fällen wird zusätzlich ein geschlossenes Schloss angezeigt.

Mit einem Klick auf den Schriftzug können Sie weitere Informationen zu dem Zertifikat aufrufen. Diese Daten sollten Sie unbedingt nutzen, da Sie nur so Phishing-Angriffe erkennen. Beispielsweise sehen Sie, ob das Zertifikat gültig, von einer unabhängigen Stelle ausgestellt und wer der eigentliche Kommunikationspartner ist. Steht unter „Firma“ ein Ihnen unbekanntes Unternehmen, sollten Sie vorsichtig sein.

Im obigen Beispiel sehen Sie den Namen und Inhaber des Zertifikats (5) und wissen so, dass der Datenaustausch tatsächlich mit diesem Unternehmen stattfindet. Außerdem finden Sie den Namen des Ausstellers des Zertifikats (6).

Viele Webbrowser warnen den Nutzer, wenn es Probleme mit Zertifikaten gibt. Wer diese Warnungen beachtet, übersieht ungültige Zertifikate nicht und wird auf nicht vertrauenswürdige Verbindungen hingewiesen.

Fazit: HTTPS ist wichtig, bietet aber keinen lückenlosen Schutz

HyperText Transfer Protocol Secure sorgt für eine abhörsichere Verbindung zwischen Ihrem Computer und dem Webserver. Das ist zwingende Voraussetzung, um persönliche Daten und vertrauliche Informationen über das Internet zu übermitteln. Einen hundertprozentigen Schutz vor Cyberkriminellen kann jedoch auch das HTTPS-Protokoll nicht gewährleisten, da es an verschiedenen Stellen angreifbar ist. Verbraucher sollten sich die Informationen hinter dem HTTPS-Schriftzug ansehen und Warnungen beachten, um Cyberangriffe zu vermeiden.

Wir informieren Sie über aktuelle Phishingangriffe in dieser Übersicht. Außerdem finden Sie auf Onlinewarnungen.de weitere kostenlose Ratgeber.

Haben Sie sich die Details zu einem Zertifikat schon einmal angesehen? Ist Ihnen das zu aufwendig oder schätzen Sie ein, dass eine derartige Abfrage von Informationen zumutbar ist? Teilen Sie Ihre Meinung mit anderen Lesern über das Kommentarfeld.