18.04.2017 Wie sicher ist eine Webseite?

Beim täglichen Surfen im Web stößt man immer wieder auf sicherheitsrelevante Vorgänge, wie etwa das Einloggen mit Benutzernamen und Passwort, einen Online-Kauf oder einen E-Banking-Vorgang. Man fragt sich dabei zu Recht: „Ist diese Verbindung sicher?“.

Verbindungen zu Webseiten werden in der Regel mit dem Protokoll SSL bzw. dessen Nachfolger TLS abgesichert. Man erkennt eine solche Absicherung daran, dass der Link in der Adresszeile mit https anstatt http beginnt. Das zusätzliche „s“ in https steht für secure, zu Deutsch sicher. Zusätzlich dazu stellen die verschiedenen Browser den Bereich um die Adressleiste anders dar – meist mit einem Vorhängeschloss. Das dient dazu, die Benutzerin bzw. den Benutzer noch zusätzlich darauf hinzuweisen, dass diese Verbindung abgesichert ist.

Nachteile hat die verschlüsselte Verbindung keine, doch nicht jede Webseite unterstützt eine verschlüsselte Verbindung. Die meisten Webseiten können derzeit nur unverschlüsselt aufgerufen werden. Bei reinen Informationsseiten ist dies nicht weiter schlimm, wirklich wichtig ist die vollkommene und sichere Verschlüsselung jedoch, sobald sensible Daten eingegeben werden. Das sind wie schon erwähnt Webseiten, bei denen Sie sich anmelden müssen oder bei denen Sie sonstige personenbezogene Daten eingeben müssen, wie etwa Online-Shops, E-Mail-Postfächer oder Online-Banking-Portale.

Unabhängig vom Inhalt der unverschlüsselt aufgerufenen Webseite besteht das Risiko, ungewollt Informationen preiszugeben. So kann zum Beispiel durch den Aufruf einer Restaurant-Webseite auf den Aufenthaltsort oder Interessen geschlossen werden. Solche Informationen können im Anschluss von Kriminellen zur Beantwortung von Sicherheitsabfragen verwendet werden, um Zugriff auf Konten zu erlangen. Aber auch für sogenanntes Spear Phishing lassen sich diese Informationen missbrauchen. Dabei handelt es sich um zielgerichtete Angriffe. Dabei werden E-Mails mit detaillierten Informationen über das Opfer versehen, um vertraulicher zu wirken. Das Opfer soll so dazu bewegt werden, eine schädliche Webseite oder einen Anhang aufzurufen. Bei unverschlüsselter Verbindung können Cyberkriminelle die Daten  nicht nur mitlesen, sondern auch verändern. Somit könnte Schadcode auch direkt eingebunden werden.

Um SSL/TLS-Verbindungen anbieten zu können, muss eine Webseite über ein Zertifikat verfügen, mit dem sie sich ausweist. Dieses Zertifikat muss von einer der Zertifizierungsstellen ausgestellt worden sein, denen der Browser automatisch vertraut. Zertifikate sind nur für eine im Vorhinein fixierte Dauer gültig, danach müssen sie ersetzt werden. Sollte mit dem Zertifikat etwas nicht stimmen, weist dies auf eine Fehlkonfiguration oder einen Angriffsversuch hin. In diesem Fall zeigt der Browser einen Warnhinweis an und man sollte die Webseite verlassen. Die genauen Zertifikatsinformationen kann man sich jederzeit im Browser anzeigen lassen, indem man bei einer verschlüsselten Seite auf das Schlosssymbol neben der Adressleiste klickt.

Bei SSL/TLS-Verbindungen existieren verschiedene Sicherheitsstufen, die von den Browsern unterschiedlich dargestellt werden. Die höchste Stufe, also eine gültige und sichere Verbindung, wird meist mit grünem Hintergrund und einem geschlossenen Vorhängeschloss in der Nähe der Adressleiste dargestellt. Die weiteren Stufen können als nicht sicher angesehen werden. Sie unterscheiden sich dennoch in ihrem Sicherheitsniveau. So werden beispielsweise mit schwachen Protokollversionen oder Algorithmen verschlüsselte Verbindungen als unsicher markiert, sie sind aber immerhin noch sicherer als unverschlüsselte. Weiters gibt es noch gemischten Inhalt; dabei handelt es sich um eine verschlüsselte Verbindung, wobei aber einige Teile der Webseite, wie zum Beispiel Bilder, unverschlüsselt übertragen werden. Die niedrigste Sicherheitsstufe ist http, also eine Verbindung ohne Verschlüsselung. Diese Verbindungen werden meist mit einem neutralen Info-Zeichen gekennzeichnet. Das kann unter Umständen für Verwirrung sorgen, da sie ja unsicherer sind als die zuvor genannten Varianten. Die Browserhersteller haben angekündigt, dies in den künftigen Versionen ihrer Browser zu ändern.

Alle SSL-Protokollversionen sind mittlerweile unsicher. Daher sollte nur mehr TLS ab Version 1.1 eingesetzt werden. Auch der Verschlüsselungsalgorithmus RC4 und der Hashalgorithmus SHA-1 werden nicht mehr als ausreichend sicher angesehen. Seit Jänner 2017 werden in Chrome alle Zertifikate, die SHA-1 verwenden, als unsicher gekennzeichnet. Vor diesen und weiteren angreifbaren Komponenten warnen die Browser wie oben erwähnt mit unterschiedlichen Hinweisen. Je nach Schweregrad wird die Seite entweder mit einem Hinweis-Symbol an der Adressleiste angezeigt oder mit einem großflächigen Warnhinweis. In letzterem Fall sollte die Navigation auf die Seite abgebrochen werden.

Wie die verschiedenen Sicherheitsstufen in der Adressleiste angezeigt werden, unterscheidet sich von Browser zu Browser und kann auch von der installierten Version abhängen. Eine genaue Beschreibung der Darstellung in den jeweiligen Browsern finden Sie in der folgenden Auflistung:

Welche Protokolle und Verfahren Ihr Browser unterstützt und wie sicher oder angreifbar diese sind, lässt sich mit dem SSL-Client-Test von Qualys SSL Labs oder dem SSL/TLS-Browser-Test von A-SIT feststellen. Generell wird empfohlen, stets die aktuellste Version eines Browsers zu verwenden. In der Regel ist davon auszugehen, dass dieser den größtmöglichen Schutz bietet.

Seit ein paar Jahren verfügen die verbreitetsten Browser über eine Auto-Update-Funktion, das heißt, sie suchen in regelmäßigen Abständen selbstständig nach Aktualisierungen und installieren diese, falls verfügbar. Sie können diese Suche auch manuell starten bzw. die derzeit installierte Versionsnummer herausfinden: In Chrome unter Einstellungen > Hilfe > Über Google Chrome, im Firefox unter Menü > Hilfe > Über Firefox, in Edge unter Mehr > Einstellungen, im Internet Explorer unter Extras > Info, in Opera unter Opera > Auf Updates überprüfen und in Safari unter Safari > Über Safari bzw. Apple > Softwareaktualisierung.

Weitere Informationen:

Datum der Veröffentlichung: 18.04.2017

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria