Was bedeutet “Website nicht sicher” in der Adresszeile des Webbrowser eigentlich …

Im Zeitalter von Phishing-Mails und Datenschutz sind viele Internet-Nutzer sensibilisiert, wenn es um das Thema Sicherheit geht. Vielfach fehlen aber leider wichtige Informationen, um die aktuelle “Gefahrenlage” wirklich korrekt zu beurteilen.

Eine der häufigsten Fragen der letzten Zeit, die ich gestellt bekommen habe: Darf man eine Website besuchen, für die der Browser in der Adresszeile anzeigt, dass sie nicht sicher ist?

So zeigt Chrome eine Seite an, die nicht über die das https-Protokoll abgerufen wird.
Bei Firefox sieht das Ganze so aus

Die Antwort lautet ganz eindeutig “Jein”.
Man sollte hier sehr genau unterscheiden, um was für eine Seite es sich handelt. Auch wenn diese Meldung des Browsers, erst einmal den Anschein erweckt, dass die Website selbst nicht “vertrauenswürdig” ist, stimmt dies so nicht. Der Browser beurteilt nur die Art der Kommunikation zwischen Browser (dem Programm mit dem der Nutzer die Website von seinem lokalen Rechner/Smartphone aufruft) und Server (der Rechner, auf dem die Website gespeichert ist).

Diese Meldung sagt aus, dass die Daten, die zwischen Webserver und Browser ausgetauscht werden, nicht verschlüsselt übertragen werden. Eine Verschlüsselung dient dazu, dass sich ein Dritter, der sich in die Datenübertragung “einklinkt” die Daten nicht lesen kann. Dazu ist ein sogenanntes SSL-Zertifikat erforderlich.

Und um zu beurteilen, ob das bedenklich ist, muss man eben unterscheiden, welche Art von Daten überhaupt zwischen Server und Browser übertragen werden und das hängt ganz erheblich von der Art der Website ab.

HINWEIS

Etwas anderes ist, wenn ein Virenschutzprogramm Ihnen beim Aufrufen der Website meldet, dass der Zugriff auf die Seite blockiert wurde, weil sie nicht vertrauenswürdig ist. Solche Meldungen kommen daher, weil der Virenscanner im Inhalt der Seite Code entdeckt hat, den er für gefährlich hält, oder die Domain (Adresse der Seite) steht in einem Online-Verzeichnis mit “gefährlichen” Websites. Auch dabei kommt es natürlich zu Fehleinschätzungen, aber in aller Regel, sollten Sie solche Seiten wirklich nicht aufrufen und bei einer solchen Meldung sofort das Browserfenster schließen.

Einfache statische Webseiten, ohne Suchfeld und Kontaktformular

Auch heute gibt es zum Glück immer noch ganz einfache Websites, die einfach nur Text, Bilder und Videos anzeigen und keine dynamischen Inhalte haben. Dynamische Inhalte sind solche, die von einem Skript auf dem Webserver erzeugt, bspw. aus einer Datenbank im Hintergrund abgerufen werden. Solche einfachen statischen Websites bestehen aus einfachem HTML-Code mit Bildern und anderen Mediendateien und machen nichts weiter, als die Inhalte anzuzeigen, die fest über den HTML-Code definiert sind.

Beim Aufruf sendet der Browser seine IP-Adresse und die Adresse der anzuzeigenden Seite an den Server. Dieser schickt daraufhin die angeforderte Seite an die entsprechende IP-Adresse. Sollte ein Hacker sich in die Kommunikation einklinken kann er maximal die ohnehin öffentlichen Inhalte der Website abrufen bzw. die IP-Adresse des Browsers, der die Anfrage an den Server schickt.
Wenn es keine Eingabefelder gibt, über die der Nutzer eigene Daten eingeben kann, dann gibt es auch keine relevanten besonders schützenswerte Daten, die abgefangen werden könnten. Aus diesem Grund ist es auch völlig irrelevant, ob die Kommunikation mit dem Server verschlüsselt erfolgt oder nicht.

HINWEIS

Sehen Sie in der Adresszeile also Adressen, die mit “.html” oder “.htm” enden, handelt es sich um einfache statische Seiten. Sofern da keine Formulare, bspw. Kontaktformulare eingebunden sind, oder Inline-Frames, die wiederum Inhalte aus anderen Websites unter Umständen auch dynamische Inhalt anzeigen, die dann vielleicht doch serverseitig verarbeitet werden, gilt dabei, dass eine unverschlüsselte und vom Browser als “unsichere” Kommunikation mit dem Server bezeichnet wird, absolut unproblematisch ist.

Blogs und dynamischen Websites

Die meisten Websites sind heute dynamische Websites, wie Blogs, wie bspw. auch dieses Seite. Sie werden vom Webserver erzeugt, unter Zuhilfenahme einer Datenbank und serverseitig ausgeführtem Code. Normalerweise übermittelt aber auch hier Ihr Browser nur die URL die abgerufen werden soll und die IP-Adresse des Browsers.

Oftmals haben Sie hier aber die Möglichkeit über Kontaktformulare oder auch nur ein Suchfeld, Daten einzugeben und an den Server zu schicken. Diese Daten könnten, wenn sie unverschlüsselt, also ohne https-Protokoll übermittelt werden, von Dritten abgefangen werden.

Zudem enthalten solche Seiten aber oftmals auch Code der für die Website-Analyse und die Analyse des Nutzerverhaltens sorgt. Informationen dazu sollten Sie im Normalfall in der Datenschutzerklärung der Website finden. Dieser Code könnte Daten an den Server übermitteln, ohne dass Sie diese eingeben müssen. Wichtige personenbezogene Daten, wie bspw. Ihr Geburtsdatum, eine Handy-Nummer oder gar Kreditkartendaten können so aber nicht übermittelt werden, denn über diese Informationen von Ihnen verfügt die Website nicht.

HINWEIS

Wenn Sie auf solchen Seiten, jedoch betreffende Daten in ein Kontaktformular oder eingeben und an den Server senden, verfügt dieser natürlich über solche Daten. Das sollten Sie nur dann tun, wenn die Seite über eine SSL-Verschlüsselung verfügt, also der Browser, diese Seite als “sicher” kennzeichnet. Sie erkennen solche Seiten daran, dass der Browser ein schwarzes Schloss anzeigt und Sie eine entsprechende Info erhalten, wenn Sie mit der Maus auf das Symbol zeigen.

Sichere, verschlüsselte Seiten werden mit “https://” vor der Adresse ausgewiesen und Sie erhalten eine Info über den Aussteller des Zertifikats, wenn Sie mit der Maus auf das Schloss zeigen.

Fazit

Solange Sie keine persönlichen Daten in irgendwelche Eingabefelder auf der Seite eingeben, sind auch solche Seiten unproblematisch, selbst wenn die Datenübertragung unverschlüsselt erfolgt.

Online-Banking-Seiten, Websites die hochprivate Daten sammeln und verarbeiten

Sehr kritisch sind alle jene Seiten, die hochprivate Daten von Ihnen sammeln und an den Server senden. Sei es beim Online-Banking oder auch, wenn Sie bspw. in Online-Shops Kreditkartendaten oder Ihre Bankverbindung eingeben oder aber, wenn Sie online bei Ihrer Versicherung einen Schaden melden.

Verfügen diese Seiten NICHT über ein SSL-Zertifikat und übertragen die Daten verschlüsselt, sollten Sie dort keine Daten eingeben! Achten Sie hier unbedingt auf eine verschlüsselte, sichere Übertragung und sehen Sie sich auch die Informationen zum Zertifikat an. Solche Websites kommen nicht mit einem einfachen SSL-Zertifikat aus. Das Zertifikat sollte nicht nur für eine verschlüsselte Übertragung sorgen, sondern auch den Inhaber der Seite ausweisen und verifizieren. Dazu klicken Sie einfach auf das Schloss-Symbol und bekommen dann Informationen zum Zertifikatsinhaber. Dieser sollte mit dem Betreiber der Seite übereinstimmen, den Sie im Impressum finden.

Das Zertifikat einer Seite die besonders sensible Daten verarbeitet sollte auch ausweisen, für wen das Zertifikat ausgestellt wurde.

HINWEIS

Zum Glück ist es heute so, dass die meisten modernen Webbrowser, Seiten, die besonders sensible Daten anfordern und keine Verschlüsselung besitzen, ohnehin blockieren. Dennoch sollten Sie selbst auch noch mal einen Blick in die Adresszeile des Browsers werfen, bevor Sie wichtige Daten eingeben.

Websites mit fehlerhaftem Zertifikat/unvollständiger Verschlüsselung

Es gibt Websites, die zwar generell verschlüsselt sind, aber wo es so genannte unsichere Elemente gibt. Diese Seiten werden vom Browser ebenfalls besonders gekennzeichnet. In Firefox ist das ein Schloss mit gelbem Ausrufezeichen.

Websites die unverschlüsselte Inhalte haben, grundsätzlich aber mit SSL-Zertifikat ausgeführt werden, werden in Firefox mit gelbem Ausrufezeichen auf dem Schloss-Symbol gekennzeichnet.

Für solche Seiten gilt im Prinzip das Gleiche, wie für Seiten, die garnicht verschlüsselt werden, da sie so ohne Weiteres nicht erkennen können, welche Teile unverschlüsselt übertragen werden. Sind das Kontaktformulare etc. ist dies genauso gefährlich als wenn die Seite gar nicht verschlüsselt ist. Auch hier gilt aber, solange Sie keine Daten eingeben und senden, kann nichts passieren.

FAZIT

Wer auf seine Daten achtet, tut gut daran, auf unverschlüsselten Websites keine persönlichen Daten einzugeben und abzuschicken. Wer das aber ohnehin nicht tut, kann problemlos auch unverschlüsselte Websites aufrufen und nutzen.

Sie meinen, die DSGVO betrifft Sie nicht? Wenn Sie sich da mal nicht irren.

Es ist kaum zu glauben, aber immer noch trifft man auf Menschen, die meinen, Datenschutz und DSGVO (Datenschutzgrundverordnung) betrifft sie nicht. In jedem Fall ist das nicht zutreffend. Jeder Europäer ist betroffen von der DSGVO.  Warum?

Zwei Lager: Betroffene und Verantwortliche

Ganz einfach, die DSGVO und das neue Bundesdatenschutzgesetz definiert zwei Lager, die “Betroffenen”, das sind die Menschen, deren personenbezogene Daten verarbeitet werden und die “Verantwortlichen”, das sind Unternehmen, Vereine, Verbände, Verwaltungen und andere Organisationen, die diese Daten verarbeiten.

Für die “Betroffenen” werden “Rechte” festgelegt, die diese gegenüber den “Verantwortlichen” durchsetzen können. Für die Verantwortlichen werden Rechte und vor allem Pflichten definiert.

Wenn Sie persönlich nicht “Verantwortlicher” sind, dann zumindest Betroffener und auch dann, sollte Sie die DSGVO interessieren, denn sie gibt Ihnen viele Rechte, die es Ihnen ermöglichen, weitgehend zu kontrollieren, wer, wann und wo Ihre Daten gespeichert und verarbeitet werden.

Die DSGVO aus Sicht der “Verantwortlichen”

Verantwortlicher ist eine natürliche oder juristische Person, Behörde oder andere Stelle, die allein oder mit anderen zusammen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Im Allgemeinen ist das im Verein der geschäftsführende Vorstand, im Unternehmen der Vorstand oder Geschäftsführer, bei Selbständigen und Freiberuflern, der Selbstständige/Freiberufler selbst.

Für den Verantwortlichen, sieht die DSGVO eine ganze Menge Pflichten vor und es gibt keine Ausnahmen, bspw. für kleine Vereine und Unternehmen oder kleine Selbstständige. JEDER, der nicht rein privat personenbezogene Daten verarbeitet ist damit als “Verantwortlicher” von der DSGVO betroffen.

BEISPIEL:

Ihr Adressbuch in ihrem privaten Smartphone ist Ihre Privatangelegenheit und macht Sie damit noch nicht zum “Verantwortlichen”. Das gilt aber nur, wenn es sich wirklich um Ihr rein privates Handy handelt. Schon dann, wenn Sie damit sowohl Ihre privaten Kontakte verwalten, wie auch Ihre Kunden und Lieferanten für Ihre freiberufliche/selbständige Tätigkeit, werden Sie damit zum “Verantwortlichen”.

ACHTUNG:

Vorsichtig müssen übrigens auch alle Betreiber einer privaten Website sein. Auch dann, wenn Sie nicht impressumspflichtig sind, müssen Sie die Anforderungen des Datenschutzes erfüllen, denn eine öffentlich bereitgestellte Website ist keine rein private Nutzung der über die Website erfassten personenbezogenen Daten mehr.

Pflichten des Verantwortlichen

Die DSGVO belastet die Verantwortlichen mit einer Reihe von Pflichten, die von mehreren Faktoren abhängig sind, bspw. von der Anzahl Personen die mit der Verarbeitung der Daten befasst sind.

ACHTUNG :

Zu den mit der Verarbeitung befassten Personen, zählen nicht nur die, die tatsächlich die Daten erfassen und verarbeiten, sondern auch die, die potentiell Zugriff auf die Daten haben könnten. Es sollte daher im Interesse jedes Verantwortlichen liegen, den Zugriff von unnötig vielen Personen auf die Daten durch Zugangsschutz und Kennwörter zu verhindern.

Infografik: Sind Sie “Verantwortlicher”? Was kommt an Pflichten auf Sie zu?

Die vorstehende Infografik zeigt, ob Sie “Verantwortlicher” im Sinne der DSGVO sind und welche Pflichten dadurch auf Sie zukommen.