Ist diese Webseite sicher? Ihr Leitfaden für Website-Sicherheit
Erinnern Sie sich an die Zeiten, als das Internet noch Spaß gemacht hat? Heute erinnert es viel mehr an ein Minenfeld als an einen Spielplatz. Benutzer bewegen sich im Netz vorsichtig und voller Argwohn. Ständig fragen sie sich, ob dieser Link wohl sicher ist und jene Website infiziert ist. Es fällt nicht gerade leicht, sich angesichts zunehmender Sorgen und Bedenken beim Surfen im Internet zu entspannen.
Phishing-Betrüge nutzenSocial Engineering aus, um Benutzer dazu zu bringen, Malware herunterzuladen oder sensible Daten weiterzugeben. Eine berühmt-berüchtigte Methode ist die Erstellung einer gefälschten Webseite, die genau wie das Original aussieht und dazu dient, Sie zur Eingabe Ihrer Anmeldedaten und Kontoinformationen zu verleiten.
Neben dem Versuch, Sie auf eine Seite zu ködern, die zum Erfassen Ihrer Tastenanschläge entworfen wurde, besteht die Gefahr mittels Social Engineering auf eine infizierte Seite gelockt zu werden, die Malware auf Ihr System herunterlädt, einem Cyberkriminellen Fernzugriff gewährt oder Ihren Computer sogar in ein Botnet einbindet. Niemand will Opfer eines derartigen Betrugs werden.
Die gute Nachricht ist, dass sich das vermeiden lässt. Die folgenden drei Tipps zur Website-Sicherheit räumen mit sämtlicher Unsicherheit auf und zeigen Ihnen, wie Sie feststellen können, ob eine Seite sicher ist oder nicht. Zunächst einmal werden wir Sie mit einigen visuellen Anhaltspunkten vertraut machen, dank derer Sie auf den ersten Blick nützliche Informationen erhalten. Anschließend erklären wir Ihnen die Sicherheitstools für Webseiten, über die Sie verfügen sollten, wenn Sie mehr Informationen und Hinweise erhalten möchten. Und schließlich verraten wir Ihnen, wie Sie eine tiefergehende Recherche durchführen können, falls es immer noch offene Fragen geben sollte. Machen wir uns jetzt schlau, damit das Surfen im Internet endlich wieder Spaß macht.
1. Visuelle Anhaltspunkte für sichere Webseiten
Überprüfen Sie die URLs – Fangen wir mit dem einfachsten Tipp an. In diesem Fall geht es wirklich nur darum sicherzustellen, dass die URL echt aussieht. Bevor Sie auf einen Link klicken, bewegen Sie einfach den Mauszeiger über den Link und schauen Sie auf die linke untere Bildschirmecke, wo die URL angezeigt wird. Der wichtigste Trick beim Phishing liegt darin, alles so authentisch aussehen zu lassen wie möglich. Auf den ersten Blick mag die URL echt aussehen, doch eine nähere Untersuchung kann ergeben, dass sie eine 1 statt einem l enthält oder dass sie auf endet statt auf Gewöhnen Sie sich an, bei jeder einzelnen URL eine Plausibilitätsprüfung durchzuführen, bevor Sie auf einen Link klicken oder persönliche Informationen wie Benutzernamen und Passwörter eingeben.
Achten Sie auf das https – Diese Buchstabenfolge am Anfang der URL steht für Hypertext Transfer Protocol (http). Es bildet die Grundlage für die Datenkommunikation im Web. Und obwohl es äußerst nützlich ist, ist es gleichzeitig leicht zu hacken. Das zusätzliche „S“ in „https“ (und das Schlosssymbol) signalisiert jedoch, dass eine Webseite sicher ist. Webseiten mit einem Schlosssymbol in der Adresszeile und dem Präfix https sind verschlüsselt und verfügen über ein vertrauenswürdiges SSL-Zertifikat, das grundsätzlich eine sichere Verbindung zwischen einer Webseite und Ihrem Browser garantiert. Falls Ihre Überprüfung ergeben hat, dass eine Webseite oder ein Link nicht per https abgesichert ist, seien Sie auf der Hut und geben Sie keine persönlichen Daten ein.
Und beachten Sie: Cyberkriminelle tun alles Menschenmögliche, um seriös zu wirken, d. h. obwohl https-Webseiten sicherer sind, könnten Sie immer noch auf einer landen, die von einem Gauner betrieben wird. Wenn Sie also immer noch Zweifel an einer https-Seite haben, verwenden Sie die unten erwähnten Sicherheitstools, um zu prüfen, ob eine Webseite sicher ist.
2. Sicherheitstools für Websites
Nutzen Sie die in Ihrem Browser integrierten Tools – Die ersten Tools, mit denen Sie sich vertraut machen sollten, sind die Sicherheitsmaßnahmen, die bereits in Ihrem Browser enthalten sind. Werfen Sie einen Blick auf Ihre Privatsphäre- und Sicherheitseinstellungen. Es ist mehr als wahrscheinlich, dass die Standardeinstellungen laxer sind, als Ihnen lieb ist. Passen Sie die Regeln und Einstellungen manuell so an, dass Sie sich wohl fühlen. Blockieren Sie Popups, verhindern Sie automatische Downloads und unterbinden Sie jegliche Nachverfolgung. Die Einstellungsmöglichkeiten werden sich je nach dem von Ihnen ausgewählten Browser unterscheiden.
Führen Sie eine Online-Website-Sicherheitsprüfung durch. Hier steht eine Vielzahl an Online-Tools zur Auswahl, doch wir empfehlen VirusTotal aufgrund seiner Unbefangenheit. Diese Online-Tools verwenden Virenscanner und andere Sicherheitslösungen zur Prüfung einer Webseite auf Bedrohungen. Geben Sie einfach die zu scannende URL in die Suchzeile der Seite ein und Sie erhalten im Handumdrehen die entsprechenden Ergebnisse. Geben Sie eine URL ein und VirusTotal lässt Sie wissen, ob die Seite verdächtig ist.
Installieren Sie Tools zur Web-Sicherheit – Wenn Sie ganz sicher gehen wollen, dass die von Ihnen besuchten Webseiten sicher sind, sollten Sie sich mit einer erstklassigen Antivirensoftware schützen. Sie können Ihre Website-Sicherheit noch ausweiten, indem Sie ein Virtual Private Network wie Avast SecureLine VPN und die damit verbundenen Vorzüge in Punkto Privatsphäre nutzen. Und es wäre nachlässig von uns, wenn wir nicht auch den Avast Secure Browser, den sicherheitstechnisch fortschrittlichsten Browser auf dem Markt, erwähnen würden. Der Avast Secure Browser ist ein schneller und sicherer Browser, der Sie und Ihre Privatsphäre online schützt. Und er ist kostenlos.
3. Eine schnelle Recherche zur Website-Sicherheit
Überprüfen Sie die Kontaktdaten der Webseite – Wenn Sie all die oben genannten Punkte abgearbeitet haben und sich immer noch nicht ganz sicher sind, dann schreiten Sie einfach zur Haustür und klopfen Sie an. Gemeint ist damit, dass Sie den Abschnitt „Kontakte“ auf der jeweiligen Seite suchen und den Betreiber anrufen sollen. Je nachdem wie (und ob) Ihr Anruf entgegengenommen wird, erhalten Sie einen Hinweis darauf, ob es sich um eine seriös betriebene Seite handelt.
Überprüfen Sie ob Ihr Antivirus über ein Anti-Phishing-Zertifikat verfügt – Das ist nicht bei allen der Fall. Suchen Sie nach Drittanbieter-Laboren, wie AV-Comparatives, die Produkte auf Ihre Anti-Phishing-Fähigkeiten prüfen. Hier werden Antivirenprodukte im Einsatz gegen Phishing-URLs getestet (die versuchen, an Ihre persönlichen Daten heranzukommen), und es werden ebenfalls Fehlalarme geprüft, wenn es um legitime Online-Banking-Seiten geht, um sicherzustellen, dass das jeweils getestete Sicherheitsprodukt den Unterschied erkennt. Avast Free Antivirus hat diesen Test bestanden und wurde als einzige kostenlose Software mit dem Anti-Phishing-Zertifikat von AV-Comparatives ausgezeichnet.
Überprüfen Sie, ob die URL über eine Datenschutzrichtlinie verfügt – das sollte sich von selbst verstehen. Falls eine Webseite über keine Datenschutzrichtlinie verfügt, ist das ein eindeutiges Warnsignal in Bezug auf die Legitimität des jeweiligen Unternehmens.
Verwenden Sie WHOIS, um nach dem Eigentümer der Domäne zu suchen – Sie können auch den Besitzer einer Domäne ermitteln, indem Sie die über eine WHOIS-Suche die öffentlichen Einträge prüfen. Erfahren Sie alles über die Domäne, einschließlich dessen, wer sie wann registriert hat.
Sicher surfen mit Avast
Im Internet wimmelt es nur so vor Phishing-Betrügen. Keine Marke ist vor Fälschungen sicher, und kein Benutzer kann sich sicher sein, dass ausgerechnet er nicht ins Visier genommen wird. Wir müssen mehr denn je, die Verantwortung für unsere eigene Online-Sicherheit übernehmen. Befolgen Sie die oben angeführten Tipps und seien Sie clever. Wir können Ihnen alle Informationen zur Verfügung stellen, die sie brauchen, doch niemand kann Sie besser schützen als Sie selbst.
Und zum Glück sind Sie mit einer umfassenden Sicherheitssoftware wie Avast One nicht auf sich allein gestellt. Avast One verfügt über leistungsstarke Funktionen, die zusammenarbeiten, um Sie in Echtzeit vor Websites und Online-Bedrohungen zu schützen und Ihre Privatsphäre zu bewahren.
Sinnvoll für jede Website
Update 17.10.2016: Bereits >50% aller Websites HTTPS-verschlüsselt - Googles Chrome wird ab Jan. 2017 vor nicht verschlüsselten Websites warnen
Erste Fassung vom 1.3.2016
Was ist HTTPS?
HTTPS (Hyper Text Transfer Protocol Secure) bezeichnet das Protokoll für die Übertragung von Website-Daten im Internet vom Server zum Browser, das im Gegensatz zu HTTP diese Daten verschlüsselt überträgt. Man erkennt dies daran, dass im Adressfenster des Browsers ein Schloss angezeigt wird und die Adresse der verschlüsselten Site mit https beginnt. Oft wird in der Adresszeile das HTTPS dann auch farblich hervorgehoben.
Technisch funktioniert das so, dass auf dem Webserver ein sog. SSL-Zertifikat installiert wird (SSL = Secure Sockets Layer). SSL-Zertifikate sind bei verschiedenen Anbietern erhältlich und müssen vom Website-Betreiber erworben und installiert werden. Ein solches Zertifikat identifiziert die Domäne und den Server eindeutig. Bei Anforderung einer Seite durch einen Webbrowser schickt der Server sein Zertifikat, das dann vom Browser durch Nachfrage bei der Zertifizierungsstelle überprüft wird. Ist das Zertifikat gültig, kommt es zum Aufbau einer gesicherten Verbindung zwischen Server und Browser, und alle im weiteren Verlauf der Sitzung übertragenen Daten sind verschlüsselt. Auch wird sichergestellt, daß die Website wirklich die des Zertifikatsinhabers ist und der Zugriff z.B. nicht von einem Hacker umgeleitet wurde.
Warum HTTPS?
Generell kann jede nicht verschlüsselte Übertragung von Daten im Internet abgefangen und auch manipuliert werden. Deshalb leuchtet wohl unmittelbar ein, dass jede Übertragung sensibler Daten, etwa bei Bestellungen in Online-Shops, beim Online-Banking oder auch bei Logins auf Websites mit nicht-öffentlichen Inhalten nur verschlüsselt erfolgen sollte. Für den User bedeutet das: Im Zweifel, etwa bei der Benutzung von Online-Bestellformularen, sollte man immer in der Adresszeile prüfen, ob dort eine verschlüsselte Übertragung angezeigt wird. Seriöse und professionelle Anbieter werden vom Kunden keine Daten über unverschlüsselte Kanäle anfordern.
Aber auch bei der Übertragung von normalen Webinhalten erscheint eine Verschlüsselung als sinnvoll. Zunächst einmal stellt nur die Verschlüsselung sicher, dass der User auch die und nur die Daten bekommt, die er angefordert hat. Denn es lassen sich nicht nur unverschlüsselt übertragene Daten manipulieren (was zunehmend vorkommt, u.a. um über eingefügte Cookies das Userverhalten auszuspionieren), sondern es kann z.B. in öffentlichen WLANs Schadsoftware in die Daten eingefügt werden. Und nicht zuletzt erschwert die Verschlüsselung generell das Ausspionieren von Userverhalten.
Auch Google empfiehlt HTTPS
Google empfiehlt seit August 2014, Webinhalte nur noch mit HTTPS anzubieten. Und es gibt Äußerungen von Google, eine Verschlüsselung werde als positives Kriterium für das Ranking gewertet, wenn auch nicht als ein starkes. Dabei ist nicht unwahrscheinlich, dass Google in Zukunft nicht-HTTPS-Websites als unsicher abwerten wird, was für diese Websites durchaus den Verlust guter Rankings bedeuten könnte. -
Am 8.9.2016 schrieb Google, dass bereits mehr als 50% aller mit Chrome aufgerufenen Websites HTTPS-verschlüsselt seien, und dass Chrome ab Januar 2017 vor nicht verschlüsselten Websites warnen werde.
Umstellen auf HTTPS
SSL-Zertifikate sind mittlerweile sehr günstig erhältlich. Dabei sollte man aber unbedingt auf eine hinreichend starke Verschlüsselung achten, und natürlich darauf, ob der Zertifikatsanbieter generell seriös ist. Auch muss auf die Gültigkeit des Zertifikats geachtet werden, denn abgelaufene Zertifikate führen zu entsprechenden Meldungen des Browsers, was das Uservertrauen nicht fördert.
Die Umstellung erfordert, dass alle Seiten, eingebundene Bilder und Videos über HTTPS geladen werden. Bei umfangreichen Websites kann das schon einige Arbeit erfordern. Wenn außerdem Content von anderen Sites einbebunden ist, wird dieser möglicherweise nicht über HTTPS zur Verfügung stehen. Zwar sollten moderne Browser in der Lage sein, auch gemischte Seiten (HTTP und HTTPS) vernünftig darzustellen, aber ausgerechnet Safari, der Webbrowser der iPhones, kommt damit offenbar nicht gut klar (Quelle: WIRED).
Bei der Umstellung einer bestehenden Website auf HTTPS müssen, insbesondere, wenn die alte Website in Google & Co. gut rankte, weitere wichtige Aspekte beachtet werden. So müssen nicht nur alle internen Links angepasst werden, sondern es müssen auch Redirects aller alten Adressen auf die neuen HTTPS-Varianten erfolgen. Wenn die HTTPS-Site online geht, ist ein zeitnahes Monitoring über die Google Search Console (früher Webmastertools) sinnvoll. Beachten: Die HTTPS-Site ist für die Search Console eine neue Website, muss also angemeldet werden!
Externe Links auf die Website sollten, wenn sich das veranlassen lässt, auch auf die HTTPS-Adressen umgestellt werden.
Für welche Websites besteht Handlungsbedarf?
Da einerseits die Umstellung auf HTTPS insbesondere bei umfangreichen Websites doch etwas Aufwand bedeutet und andererseits zumindest bisher Auswirkungen auf Suchmaschinen-Rankings kaum festzustellen sind, könnten sich Websitebetreiber zur Zeit noch darauf beschränken, lediglich sensible Bereiche der Website zu schützen: Das sind auf jeden Fall Bestellvorgänge, Logins, Formulare und ähnliches. Bei Online-Shops ist eine generelle Umstellung auf HTTPS aber jetzt schon bzw. in der näheren Zukunft sinnvoll.
Nicht nur die Bewertung durch Google & Co. und Googles Warnhinweis in Chrome bei nicht verschlüsselten Websites spielen eine wichtige Rolle, sondern es wird sich auch die Wahrnehmung der User verändern. D.h. ab Anfang 2017 werden die meisten Websitebetreiber nicht um HTTPS herumkommen. Spätestens wenn sowieso ein Relaunch geplant ist, ist dies eine gute Gelegenheit für den Schritt hin zu HTTPS.
So sicherst du deine Website mit HTTPS
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Website mit HTTPS sichern
HTTPS (HyperText Transfer Protocol Secure) ist ein Internetkommunikationsprotokoll, das die Integrität und Vertraulichkeit des Datenverkehrs zwischen dem Computer des Nutzers und der Website schützt. Nutzer erwarten eine sichere Umgebung, wenn sie eine Website verwenden. Unabhängig vom Inhalt deiner Website empfehlen wir dir die Verwendung von HTTPS, um die Kommunikation deiner Nutzer mit deiner Website zu schützen.
Über HTTPS gesendete Daten werden vom Transport Layer Security-Protokoll, kurz TLS, geschützt. Dieses bietet drei wichtige Sicherheitsebenen:
Verschlüsselung: Die übermittelten Daten werden verschlüsselt, damit sie nicht gelesen werden können. Wenn also ein Nutzer auf deiner Website surft, kann niemand seine Unterhaltungen „abhören“, seine Aktivitäten über verschiedene Seiten hinweg mitverfolgen oder seine Daten stehlen. Datenintegrität: Daten können bei der Übertragung nicht unbemerkt verändert oder beschädigt werden, weder absichtlich noch unabsichtlich. Authentifizierung: Über diesen Vorgang wird bestätigt, dass nur der Nutzer und niemand anders mit der gewünschten Website kommuniziert. Die Authentifizierung schützt vor Man-in-the-Middle-Angriffen und stärkt das Vertrauen der Nutzer, was deinem Unternehmen weitere Vorteile verschafft.
Best Practices für die Implementierung von HTTPS
Wenn du ein CMS wie WordPress, Wix oder Blogger verwendest, solltest du nach Informationen dazu suchen, wie du HTTPS für deinen Hostingdienst aktivieren kannst. Suche beispielsweise nach „wix https“.
Starke Sicherheitszertifikate verwenden
Wenn du HTTPS für deine Website einrichtest, benötigst du ein Sicherheitszertifikat. Dieses Zertifikat wird von einer Zertifizierungsstelle (Certificate Authority, CA) ausgestellt, die überprüft, ob deine Webadresse tatsächlich zu deiner Organisation gehört, und dadurch deine Kunden vor Man-in-the-Middle-Angriffen schützt. Wähle bei der Einrichtung deines Zertifikats für eine hohe Sicherheit einen 2.048-Bit-Schlüssel. Wenn du bereits über ein Zertifikat mit einem schwächeren Schlüssel (1.024 Bit) verfügst, aktualisiere ihn auf 2.048 Bit. Beachte bei der Auswahl eines Websitezertifikats Folgendes:
Fordere das Zertifikat von einer zuverlässigen Zertifizierungsstelle an, die technischen Support anbietet.
Überlege, welchen Zertifikattyp du benötigst: Ein Zertifikat für eine einzige sichere Quelle ( ). Ein Zertifikat für mehrere Domains, d. h. für mehrere bekannte und sichere Quellen (z. B. ). Platzhalterzertifikat für eine sichere Quelle mit mehreren dynamischen Subdomains (z. B. ).
Dauerhafte serverseitige Weiterleitungen verwenden
Leite Nutzer und Suchmaschinen auf die HTTPS-Seite oder -Ressource weiter. Verwende dazu dauerhafte serverseitige Weiterleitungen.
Dafür sorgen, dass Google deine HTTPS-Seiten crawlen und indexieren kann
Teste mit dem URL-Prüftool, ob der Googlebot auf deine Seiten zugreifen kann.
Blockiere deine HTTPS-Seiten nicht durch
Füge keine noindex -Tags in deine HTTPS-Seiten ein.
Unterstützung von HSTS
HTTPS-Websites sollten HSTS (HTTP Strict Transport Security) unterstützen. HSTS weist den Browser an, HTTPS-Seiten automatisch anzufordern, auch wenn der Nutzer in die Adressleiste des Browsers http eingibt. Gleichzeitig wird Google aufgefordert, sichere URLs in den Suchergebnissen anzuzeigen. Durch diese Maßnahmen wird das Risiko minimiert, dass Nutzer unsichere Inhalte aufrufen.
Verwende zur Unterstützung von HSTS einen geeigneten Webserver und aktiviere die Funktion.
HSTS erhöht die Sicherheit, aber auch die Komplexität deiner Rollbackstrategie. Wir empfehlen, HSTS so zu aktivieren:
Stelle deine HTTPS-Seiten zuerst ohne HSTS online. Sende HSTS-Header mit einem niedrigen max-age . Beobachte die Zugriffe von Nutzern und anderen Kunden sowie die Leistung von anderen abhängigen Elementen wie Werbung. Erhöhe langsam das HSTS- max-age . Wenn sich HSTS nicht negativ auf die Nutzer und Suchmaschinen auswirkt, kannst du deine Website der HSTS-Vorabladeliste hinzufügen, die von den meisten gängigen Browsern verwendet wird. Dies erhöht die Sicherheit und die Leistung.
Häufig auftretende Probleme vermeiden
Vermeide folgende häufig auftretenden Fehler beim Absichern deiner Website mit TLS:
Häufig auftretende Probleme und Lösungen Abgelaufene Zertifikate Achte darauf, dass dein Zertifikat jederzeit aktuell ist. Zertifikat wurde für den falschen Websitenamen ausgestellt. Überprüfe, ob du ein Zertifikat für alle Hostnamen erhalten hast, die von deiner Website bereitgestellt werden. Wenn dein Zertifikat beispielsweise nur abdeckt, werden Besucher deiner Website blockiert, die nur ohne das Präfix www. eingeben, da der eingegebene Name nicht mit dem Zertifikat übereinstimmt. Unterstützung für Server Name Indication (SNI) fehlt. Kontrolliere, ob dein Webserver SNI unterstützt und deine Zielgruppe im Allgemeinen unterstützte Browser verwendet. SNI wird von allen modernen Browsern unterstützt. Wenn du Unterstützung für ältere Browser anbieten möchtest, benötigst du eine dedizierte IP-Adresse. Crawling-Fehler Blockiere das Crawling deiner HTTPS-Website nicht durch . Weitere Informationen Indexierungsfehler Lass nach Möglichkeit die Indexierung deiner Seiten durch Suchmaschinen zu. Verwende nicht das Tag noindex . Alte Protokollversionen Alte Protokollversionen enthalten Sicherheitslücken. Achte darauf, die aktuelle Version der TLS-Bibliotheken zu verwenden und die aktuellen Protokollversionen zu implementieren. Verschiedenartige Sicherheitselemente Bette nur HTTPS-Inhalte auf HTTPS-Seiten ein. Verschiedenartige Inhalte unter HTTP und HTTPS Kontrolliere, ob die Inhalte auf deiner HTTP- und deiner HTTPS-Website identisch sind. Fehler bei HTTP-Statuscodes unter HTTPS Prüfe, ob deine Website den richtigen HTTP-Statuscode zurückgibt. Beispiel: 200 OK für erreichbare Seiten oder 404 oder 410 für nicht vorhandene Seiten.
Migration von HTTP zu HTTPS
Wenn du deine Website von HTTP nach HTTPS migrierst, behandelt Google das als Websiteverschiebung mit URL-Änderungen. Das kann sich vorübergehend auf deine Zugriffszahlen auswirken. Weitere Informationen findest du in den Empfehlungen für alle Websiteverschiebungen.
Füge der Search Console die neue HTTPS-Property hinzu. Die Search Console behandelt HTTP und HTTPS getrennt. Daten zwischen diesen Properties werden nicht in der Search Console geteilt.
Weitere Tipps zur Verwendung von HTTPS-Seiten auf deiner Website findest du in den FAQ zur Migration von HTTP zu HTTPS.
Weitere Ressourcen zur Implementierung von TLS
Nachfolgend findest du einige zusätzliche Ressourcen zur Implementierung von TLS auf deiner Website:
