Was bedeutet „Website nicht sicher“ in der Adresszeile des Webbrowser eigentlich …

Im Zeitalter von Phishing-Mails und Datenschutz sind viele Internet-Nutzer sensibilisiert, wenn es um das Thema Sicherheit geht. Vielfach fehlen aber leider wichtige Informationen, um die aktuelle „Gefahrenlage“ wirklich korrekt zu beurteilen.

Eine der häufigsten Fragen der letzten Zeit, die ich gestellt bekommen habe: Darf man eine Website besuchen, für die der Browser in der Adresszeile anzeigt, dass sie nicht sicher ist?

So zeigt Chrome eine Seite an, die nicht über die das https-Protokoll abgerufen wird.
Bei Firefox sieht das Ganze so aus

Die Antwort lautet ganz eindeutig „Jein“.
Man sollte hier sehr genau unterscheiden, um was für eine Seite es sich handelt. Auch wenn diese Meldung des Browsers, erst einmal den Anschein erweckt, dass die Website selbst nicht „vertrauenswürdig“ ist, stimmt dies so nicht. Der Browser beurteilt nur die Art der Kommunikation zwischen Browser (dem Programm mit dem der Nutzer die Website von seinem lokalen Rechner/Smartphone aufruft) und Server (der Rechner, auf dem die Website gespeichert ist).

Diese Meldung sagt aus, dass die Daten, die zwischen Webserver und Browser ausgetauscht werden, nicht verschlüsselt übertragen werden. Eine Verschlüsselung dient dazu, dass sich ein Dritter, der sich in die Datenübertragung „einklinkt“ die Daten nicht lesen kann. Dazu ist ein sogenanntes SSL-Zertifikat erforderlich.

Und um zu beurteilen, ob das bedenklich ist, muss man eben unterscheiden, welche Art von Daten überhaupt zwischen Server und Browser übertragen werden und das hängt ganz erheblich von der Art der Website ab.

HINWEIS

Etwas anderes ist, wenn ein Virenschutzprogramm Ihnen beim Aufrufen der Website meldet, dass der Zugriff auf die Seite blockiert wurde, weil sie nicht vertrauenswürdig ist. Solche Meldungen kommen daher, weil der Virenscanner im Inhalt der Seite Code entdeckt hat, den er für gefährlich hält, oder die Domain (Adresse der Seite) steht in einem Online-Verzeichnis mit „gefährlichen“ Websites. Auch dabei kommt es natürlich zu Fehleinschätzungen, aber in aller Regel, sollten Sie solche Seiten wirklich nicht aufrufen und bei einer solchen Meldung sofort das Browserfenster schließen.

Einfache statische Webseiten, ohne Suchfeld und Kontaktformular

Auch heute gibt es zum Glück immer noch ganz einfache Websites, die einfach nur Text, Bilder und Videos anzeigen und keine dynamischen Inhalte haben. Dynamische Inhalte sind solche, die von einem Skript auf dem Webserver erzeugt, bspw. aus einer Datenbank im Hintergrund abgerufen werden. Solche einfachen statischen Websites bestehen aus einfachem HTML-Code mit Bildern und anderen Mediendateien und machen nichts weiter, als die Inhalte anzuzeigen, die fest über den HTML-Code definiert sind.

Beim Aufruf sendet der Browser seine IP-Adresse und die Adresse der anzuzeigenden Seite an den Server. Dieser schickt daraufhin die angeforderte Seite an die entsprechende IP-Adresse. Sollte ein Hacker sich in die Kommunikation einklinken kann er maximal die ohnehin öffentlichen Inhalte der Website abrufen bzw. die IP-Adresse des Browsers, der die Anfrage an den Server schickt.
Wenn es keine Eingabefelder gibt, über die der Nutzer eigene Daten eingeben kann, dann gibt es auch keine relevanten besonders schützenswerte Daten, die abgefangen werden könnten. Aus diesem Grund ist es auch völlig irrelevant, ob die Kommunikation mit dem Server verschlüsselt erfolgt oder nicht.

HINWEIS

Sehen Sie in der Adresszeile also Adressen, die mit „.html“ oder „.htm“ enden, handelt es sich um einfache statische Seiten. Sofern da keine Formulare, bspw. Kontaktformulare eingebunden sind, oder Inline-Frames, die wiederum Inhalte aus anderen Websites unter Umständen auch dynamische Inhalt anzeigen, die dann vielleicht doch serverseitig verarbeitet werden, gilt dabei, dass eine unverschlüsselte und vom Browser als „unsichere“ Kommunikation mit dem Server bezeichnet wird, absolut unproblematisch ist.

Blogs und dynamischen Websites

Die meisten Websites sind heute dynamische Websites, wie Blogs, wie bspw. auch dieses Seite. Sie werden vom Webserver erzeugt, unter Zuhilfenahme einer Datenbank und serverseitig ausgeführtem Code. Normalerweise übermittelt aber auch hier Ihr Browser nur die URL die abgerufen werden soll und die IP-Adresse des Browsers.

Oftmals haben Sie hier aber die Möglichkeit über Kontaktformulare oder auch nur ein Suchfeld, Daten einzugeben und an den Server zu schicken. Diese Daten könnten, wenn sie unverschlüsselt, also ohne https-Protokoll übermittelt werden, von Dritten abgefangen werden.

Zudem enthalten solche Seiten aber oftmals auch Code der für die Website-Analyse und die Analyse des Nutzerverhaltens sorgt. Informationen dazu sollten Sie im Normalfall in der Datenschutzerklärung der Website finden. Dieser Code könnte Daten an den Server übermitteln, ohne dass Sie diese eingeben müssen. Wichtige personenbezogene Daten, wie bspw. Ihr Geburtsdatum, eine Handy-Nummer oder gar Kreditkartendaten können so aber nicht übermittelt werden, denn über diese Informationen von Ihnen verfügt die Website nicht.

HINWEIS

Wenn Sie auf solchen Seiten, jedoch betreffende Daten in ein Kontaktformular oder eingeben und an den Server senden, verfügt dieser natürlich über solche Daten. Das sollten Sie nur dann tun, wenn die Seite über eine SSL-Verschlüsselung verfügt, also der Browser, diese Seite als „sicher“ kennzeichnet. Sie erkennen solche Seiten daran, dass der Browser ein schwarzes Schloss anzeigt und Sie eine entsprechende Info erhalten, wenn Sie mit der Maus auf das Symbol zeigen.

Sichere, verschlüsselte Seiten werden mit „https://“ vor der Adresse ausgewiesen und Sie erhalten eine Info über den Aussteller des Zertifikats, wenn Sie mit der Maus auf das Schloss zeigen.

Fazit

Solange Sie keine persönlichen Daten in irgendwelche Eingabefelder auf der Seite eingeben, sind auch solche Seiten unproblematisch, selbst wenn die Datenübertragung unverschlüsselt erfolgt.

Online-Banking-Seiten, Websites die hochprivate Daten sammeln und verarbeiten

Sehr kritisch sind alle jene Seiten, die hochprivate Daten von Ihnen sammeln und an den Server senden. Sei es beim Online-Banking oder auch, wenn Sie bspw. in Online-Shops Kreditkartendaten oder Ihre Bankverbindung eingeben oder aber, wenn Sie online bei Ihrer Versicherung einen Schaden melden.

Verfügen diese Seiten NICHT über ein SSL-Zertifikat und übertragen die Daten verschlüsselt, sollten Sie dort keine Daten eingeben! Achten Sie hier unbedingt auf eine verschlüsselte, sichere Übertragung und sehen Sie sich auch die Informationen zum Zertifikat an. Solche Websites kommen nicht mit einem einfachen SSL-Zertifikat aus. Das Zertifikat sollte nicht nur für eine verschlüsselte Übertragung sorgen, sondern auch den Inhaber der Seite ausweisen und verifizieren. Dazu klicken Sie einfach auf das Schloss-Symbol und bekommen dann Informationen zum Zertifikatsinhaber. Dieser sollte mit dem Betreiber der Seite übereinstimmen, den Sie im Impressum finden.

Das Zertifikat einer Seite die besonders sensible Daten verarbeitet sollte auch ausweisen, für wen das Zertifikat ausgestellt wurde.

HINWEIS

Zum Glück ist es heute so, dass die meisten modernen Webbrowser, Seiten, die besonders sensible Daten anfordern und keine Verschlüsselung besitzen, ohnehin blockieren. Dennoch sollten Sie selbst auch noch mal einen Blick in die Adresszeile des Browsers werfen, bevor Sie wichtige Daten eingeben.

Websites mit fehlerhaftem Zertifikat/unvollständiger Verschlüsselung

Es gibt Websites, die zwar generell verschlüsselt sind, aber wo es so genannte unsichere Elemente gibt. Diese Seiten werden vom Browser ebenfalls besonders gekennzeichnet. In Firefox ist das ein Schloss mit gelbem Ausrufezeichen.

Websites die unverschlüsselte Inhalte haben, grundsätzlich aber mit SSL-Zertifikat ausgeführt werden, werden in Firefox mit gelbem Ausrufezeichen auf dem Schloss-Symbol gekennzeichnet.

Für solche Seiten gilt im Prinzip das Gleiche, wie für Seiten, die garnicht verschlüsselt werden, da sie so ohne Weiteres nicht erkennen können, welche Teile unverschlüsselt übertragen werden. Sind das Kontaktformulare etc. ist dies genauso gefährlich als wenn die Seite gar nicht verschlüsselt ist. Auch hier gilt aber, solange Sie keine Daten eingeben und senden, kann nichts passieren.

FAZIT

Wer auf seine Daten achtet, tut gut daran, auf unverschlüsselten Websites keine persönlichen Daten einzugeben und abzuschicken. Wer das aber ohnehin nicht tut, kann problemlos auch unverschlüsselte Websites aufrufen und nutzen.