Sicherheit von Webseiten: Was bedeutet HTTPS eigentlich wirklich?
Hallo liebe Kunden und Leser von ComputerService MTK,
Viele meiner Kunden haben mich in letzter Zeit oft gefragt: Woran erkennt man denn eigentlich eine sichere Webseite? Was sagt das https vor dem „www“ wirklich aus? – In diesem Beitrag soll genau darum gehen.
Das „S“ hinter dem HTTP steht für „Secure“, also Sicherheit. Das soll garantieren, dass die Datenübertragung zwischen Ihnen (= Ihrem Computer und Internet-Browser) und dem Server; auf dem die Webseite liegt, verschlüsselt ist. Trotzdem kommt es trotz einer HTTPS-Verbindung immer wieder vor, dass eine Warnmeldung bzgl. einer unsicheren Verbindung auftaucht. – Das Verwirrende ist aber: Ein fehlendes HTTPS heißt nicht zwangsweise, dass eine Webseite unsicher ist und ein vorhandenes HTTPS bedeutet auch nicht immer, dass eine Webseite dann sicher ist.
Wie eine sichere Webseite z.B. im Firefox dargestellt wird, zeige ich Ihnen an Hand von ComputerService MTK:
(Auf das Bild klicken für größere Darstellung).
Ist eine Seite hingegen nicht richtig gesichert, warnt Ihr Browser Sie entsprechend davor. – Solche Warnungen könnten Ihnen z.B. angezeigt werden, wenn folgende Situation(en) vorligen / vorliegt:
Auf der Webseite befinden sich Links, die zu einer unverschlüsselten Seite ohne HTTP S führen.
führen. Diese Links müssen nicht unbedingt externe Seiten sein. Auch interne Verlinkungen auf die eigene Seite können schuld sein.
Ein AddOn / Plugin der Webseite verwendet eine unsichere Verbindung ohne Verschlüsselung.
Doch wann genau muss einen so eine Meldung eigentlich wirklich beunruhigen? – Wann sollten Sie einer Webseite besser nicht vertrauen, wenn eine Warnmeldung bzgl. einer unsicheren Verbindung erscheint?
Die Webseite speichert Benutzerdaten von Ihnen wie z.B. Benutzernamen und Passwort oder persönliche Informationen zu Ihrer Person (Adresse, Telefon-Nummern, etc.)
Die Seite verlangt Zahlungsdaten von Ihnen (z.B. in Online-Shops wie Amazon, etc.)
Zudem gibt es auch immer mehr betrügerische Webseiten; deren Ziel es ist, besonders kritische Informationen wie Bankdaten zu ergattern (Phishing). Dafür bauen Betrüger z.B. die Website von Banken täuschend echt nach und fordern Sie zur Angabe Ihrer Zahlungsdaten auf. – Aktuell (Dezember 2017) liegt die Zahl solcher Webseiten mit HTTPS schon bei 25%.
Nun wissen wir also: Das HTTPS hat nur sehr bedingt eine Aussagekraft zur Sicherheit einer Webseite. Doch wie können Sie nun feststellen, ob eine Webseite vertrauenswürdig ist?
Wenn Sie in einem Formular auf einer Webseite Zahlungsdaten oder persönliche Daten angeben sollen, sollte auf jeden Fall eine HTTP S Verbindung existieren.
Verbindung existieren. Überprüfen Sie, ob die Webseite über ein vollständiges Impressum und/oder Kontakt-Informationen verfügt. Meistens finden Sie diese Informationen immer am Ende der Webseite, also ganz unten. Sie sollten dort folgende Informationen finden können: eMail-Adresse, Telefonnummern, Anschrift und Name des Inhabers.
Überprüfen Sie unbedingt, ob die oben angegebenen Informationen korrekt sind: Schreiben Sie dem Anbieter eine Mail oder rufen Sie dort an. Wenn Sie niemanden erreichen können und auch keinerlei Rückmeldung kommt; dann ist das zumindest schon mal sehr verdächtig.
Machen Sie sich online über die Webseite und den Anbieter schlau: Suchen Sie nach Erfahrungsberichten und Bewertungen.
Lassen Sie sich nicht auf ungewöhnliche und unkonventionelle Zahlungsmethoden ein. Passend zum Thema: Warnung vor fieser Betrugsmasche bei einigen Amazon-Händlern
Passen Sie auf, wenn der Anbieter / Händler im Ausland sitzt: In solchen Fällen sind rechtliche Schritte im Falle eines Betrugs sehr schwierig.
Auch als Video:
Auf meinem YouTube Kanal finden Sie neben aktuellen und sicherheitsrelevanten Themen auch zahlreiche andere Themen, die für Sie interessant sein könnten – Schauen Sie regelmäßig mal vorbei, um nichts mehr zu verpassen:
Zusätzlich sollten Sie immer über neue Gefahren und / oder allgemeine Neuigkeiten informiert sein – Falls Sie also noch nicht beim Newsletter von ComputerService MTK angemeldet sind, holen Sie dies am besten schnell nach:
—————————–
Ihnen gefällt, was Sie sehen? – Durch eine PayPal-Spende oder einen Einkauf bei Amazon (*) können Sie mir helfen.
* Hinweise zum Amazon PartnerProgramm
Ihr Interesse ist geweckt? – Kontakt
Warum SSL und HTTPS besser für Websites sind
Anfang August machte Google einen außergewöhnlichen Schritt: In einem offiziellen Blog-Post wurde „HTTPS“ als offizielles Ranking-Signal eingeführt. Es war das erste Mal überhaupt, dass Google definitiv und öffentlich erklärte, dass ein bestimmter Faktor im Rahmen des eigenen Suchmaschinen-Algorithmus zum Ranking beiträgt. Bisher musste man sich diese Informationen überwiegend durch eigene Tests zusammensammeln, doch das Thema „Sicherheit im Web“ steht bei Google mittlerweile so hoch im Kurs, dass dieser Schritt sinnvoll ist. Ein Blick in die Vergangenheit zeigt deutlich, dass Google es ernst meint, wenn von Verschlüsselung die Rede ist. So wurden schon vor einiger Zeit die Suchergebnisse komplett via SSL und HTTPS verschlüsselt – nicht zur Freude vieler Suchmaschinenoptimierer übrigens, denn nur ist es nicht mehr ohne weiteres möglich, die genauen Keywords herauszufinden, über die am meisten Traffic auf eine Website kommt. Was aber sind nun die konkreten Vorteile von SSL und HTTPs für Websites?
Google legt Wert auf Sicherheit
Beginnen wir mit der Erläuterung der Abkürzungen: „SSL“ steht für „Secure Sockets Layer“ und ist eine veraltete Bezeichnung. Die Abkürzung ist noch immer extrem populär, korrekterweise müsste man aber von „TLS“ sprechen („Transport Layer Security“).
Im Rahmen dieses Artikels bleibe ich bei SSL, weil es zum besseren Verständnis beiträgt. SSL ist (genau wie TSL) ein hybrides Verschlüsselungsprotokoll zur sicheren Übertragung von Daten im Internet. Es geht also darum, Daten zu codieren, um die Sicherheit dieser Daten zu verbessern.
„HTTPS“ steht für „HyperText Transfer Protocol Secure“ und bezeichnet ein Kommunikationsprotokoll im Internet, um Daten abhörsicher zu übertragen. Auch hier geht es also darum, die Sicherheit im World Wide Web zu verbessern.
Wer sich für SSL entscheidet, kann sich an spezielle Anbieter von SSL-Zertifikaten wenden. Vor allem Betreiber von Online-Shops, die komplett eigene Server betreiben, greifen in der Regel gern auf diese Anbieter zurück. Gleiches gilt zum Beispiel für öffentliche Einrichtungen, weil auch diese Institutionen komplett eigene Infrastrukturen betreiben.
Eine per SSL geschützte Website wird nicht mehr mit „HTTP“, sondern via „HTTPS“ am Beginn der Internet-Adresse aufgerufen. Dass dieses Prinzip grundsätzlich die Sicherheit von Daten und somit auch das Wohlbefinden der User im Internet verbessert, hat Google schon vor langer Zeit erkannt und legt deswegen großen Wert auf Sicherheit. Genau aus diesem Grund hat sich Google nun auch entschieden, HTTPS und SSL als Ranking-Signal zu etablieren.
HTTPS verhindert Sicherheitslücken auf Websites
Keine Frage, technisch gesehen sorgen SSL und HTTPS für bessere Websites. „Besser“ deswegen, weil sie sicherer sind. Das bedeutet auf den ersten Blick aber nicht zwingend, dass die reine Umstellung auf HTTPS sofort deutliche Verbesserungen bringt, die bei Google für bessere Rankings sorgen.
Grundsätzlich ändert sich nichts daran, dass Google über 200 Faktoren berücksichtigt, um die letztendliche Position einer Website in seinen Suchergebnissen zu bestimmen. HTTPS ist einer dieser Faktoren und kann als Ranking-Signal in der Zukunft mit Sicherheit an Bedeutung gewinnen – zumindest lässt der Schritt von Google genau das vermuten.
Google will das Internet sicherer machen, das steht fest. Es ist im eigenen Interesse von Google, der Suchmaschinenkonzern tut das nicht, weil er seine User so gern hat. Man hat erkannt, dass Vertrauen und Sicherheit starke Hebel sind, mit denen sich Kunden (also auch Nutzerinnen und Nutzer der Suchmaschine) enger binden lassen.
Vorteile von SSL: Vertrauen und Sicherheit
Wenn man als User eine Website sieht, dass diese Website verschlüsselt ist, dann fühlt man sich sicherer. Und selbst in Zeiten von NSA-Abhörskandalen und sonstigen haarsträubenden Absurditäten aus der Welt der Geheimdienste – das reine Vorhandensein einer Verschlüsselung sorgt für einen Vertrauensbonus beim User.
User sollen Websites vertrauen und sich bei der Nutzung dieser Websites sicherer fühlen, vor allem wenn es um Transaktionen geht, die zum Beispiel per Kreditkarte durchgeführt werden. Hier möchte niemand Opfer von minderwertigen oder fehlenden Verschlüsselungsprotokollen werden.
Doch auch wenn es einfach nur um ganz normale Inhalte geht: Die offensichtliche Präsenz einer SSL-Verschlüsselung ist ein vertrauensbildender Faktor. Folge: Wer auf verschlüsselten Websites mit dem Inhalte zufrieden ist, der kommt auch wieder und sucht diese Seiten für künftiges Konsumieren eher auf (weil er sich an das Gefühl der Sicherheit unterbewusst erinnert).
Immer mehr Webmaster verschlüsseln via SSL
Das hat auch Google erkannt und das ist auch der Grund, warum Google SSL und HTTPS so stark in den Fokus der internationalen Netzgemeinde rückt: Wenn verschlüsselte Inhalte bei den Nutzerinnen und Nutzern grundsätzlich für mehr Vertrauen in die Herausgeber dieser Inhalte sorgt, dann kann und darf sich Google dieser menschlichen Bewertung nicht entziehen.
Weil es aber zu komplex wäre, verschlüsselte und nicht-verschlüsselte Inhalte auf Dauer gleichermaßen zu beobachten, wählt man die komfortable Variante und ruft ein neues Ranking-Signal aus. Das reine Ausrufen bedeutet nicht, dass man ab sofort immer Vorteile hat, wenn man eine verschlüsselte Website anbietet – aber man sammelt das so wichtige Vertrauen der User ein.
Zusätzlich hat Google eine weitere Möglichkeit, Spam-Projekte auszusieben. Wer als Website-Spammer unterwegs ist und immer wieder neue Projekte launcht, wird höchstwahrscheinlich nicht ständig neue SSL-Zertifikate besorgen, wenn von Anfang an bekannt ist, dass das Spam-Projekt nur eine Lebenszeit von ein paar Wochen hat.
Es gibt immer mehr Webmaster, die SSL einsetzen und somit das Vertrauen ihrer User stärken wollen – und genau über diese Schiene lernt Google immer mehr Angebote kennen, die wirklich seriös sind (oder kann die unseriösen einfacher erkennen). So kann die Suchmaschine in einem zweiten Schritt dafür sorgen, dass diese Angebote beim Ranking Pluspunkte erhalten – wenn HTTPS dann als Ranking-Signal nicht nur etabliert ist, sondern auch wirklich funktioniert (was nur eine Frage der Zeit sein dürfte).
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren Video laden YouTube immer entsperren
Google-Testergebnisse sprechen für HTTPS
Google selbst hat ausgiebig getestet. Und wenn man Google glauben will, dann waren alle Tests positiv – oder besser gesagt: Von Vorteil für die User Experience, denn darauf kommt es bei Google immer an. Wie gut kommen die User mit den Suchergebnissen von Google zurecht? Und wie nützlich sind die Suchergebnisse von Google für die unterschiedlichen Belange der User?
Zwei entscheidende Fragen, mit denen Google sich täglich beschäftigen muss. Die eigenen Suchergebnisse müssen immer besser werden, immer genauer und – immer vertrauenswürdiger! Würde Google auch nur eine Woche lang schlechte Suchergebnisse zeigen, dass wäre der eigene gute Ruf in Punkto Hochwertigkeit stark beschädigt.
Die Folge: Weniger Einnahmen durch AdWords – und darum geht es. Google verdient das meiste Geld durch die Klicks der User auf bezahlte Suchergebnisse. Wird weniger geklickt (weil weniger Leute aufgrund sich verschlechternder Suchergebnisse auf den Ergebnisseiten von Google unterwegs sind), sinken auch die Einnahmen.
HTTPS wird als Ranking-Signal herangezogen
Auch aus diesem Grund wird HTTPS als Ranking-Signal herangezogen. Das Maß an Vertrauen, dass eine Website durch seine User bekommt, muss bei Google als Bewertungsfaktor für die Qualität einer Website gelten – anders darf es gar nicht sein, denn es würde dem menschlichen Verhalten widersprechen. Das Internet bildet unsere alltägliche Welt mittlerweile in sehr großen Zügen digital ab. Es wäre fahrlässig, auf die Bewertung menschlicher Verhaltensweisen zu verzichten.
Google unterstellt also, das Herausgeber von Inhalten, die auf die Sicherheit der Daten auf Ihrer Website aufpassen, einen Vorteil beim Ranking haben sollten. Ganz so weit ist es noch nicht, die grundsätzliche Überlegung ist aber auf jeden Fall logisch. Die Anzahl von Websites, die HTTPS verwenden, steigt aktuell stark an, es ist aber laut einer aktuellen Studie noch nicht zu erkennen, dass es auch wirkliche Verbesserungen beim Ranking gibt.
Hier wird Google in den kommenden Monaten abwarten und Daten zur Auswertung sammeln. Früher oder später jedoch werden Websites, die HTTPS nicht verwenden, strategische Nachteile in der Google-Suche haben – weil sie sich unmöglich den gleichen Vertrauensbonus wie Websites mit HTTPS aufbauen können. Aus diesem Grund ist man als Webmaster gut beraten, sich dem Trend anzuschließen und alles dafür zu tun, dass die eigene Website sicherer wird – und am besten klappt das eben mit SSL und HTTPS.
Akademie > Basiskurs: Sicher im Netz > Datentransfer mit HTTPS
Um die Sicherheit von Daten zu erhöhen, können sie verschlüsselt werden. Dabei wird beispielsweise eine E-Mail nach dem Versenden in einen Geheimtext umgewandelt, also verschlüsselt. Jetzt kann die E-Mail nur noch derjenige lesen, der den richtigen Schlüssel besitzt, um die Daten aus dem Geheimtext wieder zu entschlüsseln. Es gibt spezielle Programme, mit denen Daten verschlüsselt werden können. Verschlüsselung
Beim Zugriff auf eine Website fordert der Browser Daten von einem anderen Computer an. Das Protokoll „Hypertext Transfer Protocol“ (http) ist dabei die gemeinsame Sprache der beiden Computer. Doch ist dieses Gespräch für jeden mitlesbar. Das ist schlecht, wenn sensible Daten übertragen werden. Deshalb gibt es https. Das zusätzliche S steht für „Secure“, also für sicher. Die Daten werden dabei abhörsicher übertragen, sodass niemand das Gespräch der beiden Computer mitlesen kann. HTTPS
