Grünes Schloss für sichere HTTPS-Verbindung wird oft missverstanden

Keine Kommentare
 

Verschlüsselte Verbindungen sind im Internet längst zum Standard geworden. Jede Website, an die Nutzer persönliche Daten übermitteln, muss inzwischen eine Verschlüsselung einsetzen. 


Browserleiste zeigt "https" mit dem grünen Schloss davor

Das grüne Schloss in der Adressleiste des Browsers zeigt die TLS-Verschlüsselung. (skylarvision / pixabay.com)

Diese TLS-Verschlüsselung (früher SSL-Verschlüsselung) ist daran erkennbar, dass die Adresse mit https:// statt mit http:// beginnt. Zur besseren Unterscheidbarkeit zeigen Browser für solche Verbindungen ein grünes Schloss in der Adressleiste an.

Mehr als nur eine Verschlüsselung

Auch wir haben schon häufig darauf hingewiesen, dass Sie auf jeden Fall auf dieses grüne Schloss achten sollten, bevor Sie persönliche Informationen oder gar Kreditkartendaten über das Netz verschicken. Dieser Hinweis bleibt auch nach wie vor richtig, denn ansonsten könnte jeder im Internet diese Daten mühelos mitlesen. Das grüne Schloss stellt tatsächlich zuverlässig sicher, dass nur der Empfänger der Daten diese auch lesen kann. Theoretisch sollte es auch sicherstellen, dass dieser Empfänger vertrauenswürdig ist. Das grüne Schloss stellt also auch eine Art von Ausweis für Computer dar, mit dem diese sich eindeutig identifizieren. Diese so genannten Maschinenidentitäten sind aber längst ins Visier der Cyberkriminellen geraten.

Wie kommt jemand an das grüne Schloss?

Was muss jemand tun, um seine Website mithilfe des grünen Schlosses als besonders vertrauenswürdig erscheinen zu lassen? Er muss sich ein so genanntes Zertifikat kaufen, mehr ist dazu nicht erforderlich. Diese Zertifikate werden weltweit von mehr als 700 Zertifizierungsstellen angeboten. Diese müssen zunächst die Identität des Antragstellers prüfen. Wenn also jemand ein Zertifikat auf den Namen des Unternehmens „Musterfirma“ beantragt, soll die Zertifizierungsstelle prüfen, ob diese Person dazu berechtigt ist.

Jeder kann ein Zertifikat kaufen

Wenn das Zertifikat für einen bekannten Konzern beantragt wird, reicht die Prüfung der Identität des Antragstellers aus. Weil aber jeder kleine Online-Shop ein Zertifikat benötigt, ist eine weitere Prüfung erforderlich. Die Zertifizierungsstelle muss dann auch noch ihr Möglichstes tun, um die Seriosität des Antragstellers zu überprüfen. Das bedeutet, dass sie zumindest Handelsregister oder sonstige in den jeweiligen Ländern öffentlich verfügbare Informationsquellen nutzen sollte, um Hinweise auf Betrugsversuche zu finden.

Probleme bei der Zertifizierung

Bei der Zertifizierung kann vieles schief gehen. Zunächst taucht auch hier das altbekannte Problem auf, dass die „Prüfer“ – wenn wir die Zertifizierungsstellen einmal so bezeichnen wollen – von den zu prüfenden Unternehmen bezahlt werden. Kurz gesagt: Sie bekommen nur Geld, wenn sie ein Zertifikat ausstellen. Erschwerend kommt hinzu, dass die Zertifizierungsstellen auf dem gesamten Globus verteilt sind und daher so ziemlich jede Art von externer Einflussnahme denkbar ist. Nicht zuletzt sind auch die Zertifizierungsstellen selbst Ziel von Hackerangriffen.

Ein zunehmendes Problem

Dass es sich bei den falschen Zertifikaten um ein ernsthaftes Problem handelt, macht schon eine Zahl deutlich. Im Jahr 2017 wurden mehr als 15.000 betrügerische Seiten mit gefälschten Maschinenidentitäten entdeckt, die Nutzerdaten von PayPal-Usern ausspähten. Den Betroffenen hat es also wenig geholfen, auf das grüne Schloss geachtet zu haben.

Was können Sie tun, um sich zu schützen?

Auf technischer Seite können Sie selbst leider so gut wie nichts tun. Ob ein Zertifikat als vertrauenswürdig eingestuft wird, entscheidet der Browser anhand einer vom Hersteller erstellten Blacklist. Wenn eine Zertifizierungsstelle auf diese Blacklist nicht auftaucht, wird deren Zertifikat akzeptiert. Auf dieser Blacklist landen Zertifikate aber erst, nachdem die ausgebende Stelle unangenehm aufgefallen ist.

Bleiben Sie misstrauisch!

Abgesehen von der Verschlüsselung zeigt das grüne Schloss in der Adressleiste also nur an, dass der Rechner auf der anderen Seite sich mit seiner Maschinenidentität identifiziert hat. Ähnlich wie sich Personen mit einem Usernamen und einem Passwort identifizieren, mit denen Sie beispielsweise über einen Messenger kommunizieren. In beiden Fällen stellt dies einen sinnvollen Schutz dar, aber eben keinen absolut sicheren. Genau wie digitale Identitäten von Personen können auch Maschinenidentitäten gestohlen werden.

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen