Verschlüsselte Verbindungen - das A und O der Web Security

Stellen Sie sich vor, Sie betreten eine Bankfiliale mit der Absicht, eine Barauszahlung am Schalter zu tätigen. Nach dem Eintreten bleiben Sie stehen und rufen dem Schaltermitarbeiter am anderen Ende der Schalterhalle zu, dass Sie gerne Geld von Ihrem Konto abheben möchten, aber nicht vom Lohnkonto, das ist leer - gerne vom Sparkonto. So oder ähnlich kann man sich unverschlüsselte Verbindungen im heutigen Internet vorstellen.

Security https

Unverschlüsselte Verbindungen im Internet erkennt man prinzipiell daran, dass sie mit http:// beginnen. Das Hypertext Transfer Protocol bietet keine Sicherheit, sondern dient nur als Datenkanal zwischen der Webseite und dem Besucher. Mittels einer "Man-in-the-middle"-Attacke kann ein potenzieller Angreifer problemlos die Verbindungsdaten zwischen Ihnen und dem Webserver abhören und im schlimmsten Fall gar abändern. Eine kurze Websuche mit den geeigneten Stichwörtern ergibt schnell geeignete Tools, die es jedem ermöglichen, Verbindungen abzuhören. Eine Tatsache, die sich Webagenturen bewusst sein sollten, bei der Webentwicklung.

Web Security dank HTTPS

Nun kommt die verschlüsselte Verbindung ins Spiel: HTTPS. Technisch genau gleich aufgebaut wie HTTP, besteht HTTPS zusätzlich aus einer SSL/TLS-Verschlüsselung, die aus der klaren Verbindung einen nicht entzifferbaren Zeichensalat macht, welcher für einen Angreifer zwar gelesen werden kann, ihm aber keinen Aufschluss über die transferierten Daten gibt. Auch eine Manipulation der Daten ist nicht möglich, da bei einer beliebigen Veränderung dieser Zeichenkombination die Integrität verletzt wird, was der Empfänger der Nachricht einfach erkennen kann.

Verschlüsselte Verbindung HTTPS

Beim Aufruf von google.ch wird der Besucher automatisch auf die SSL-Verschlüsselte, zertifizierte Verbindung umgeleitet.

Da für die Verwendung von HTTPS ein offiziell ausgestelltes Zertifikat benötigt wird, war die Umstellung von HTTP auf HTTPS vor geraumer Zeit noch mit moderaten Kosten und einer mittleren Wartefrist verbunden, da ein Zertifikat i.d.R. einen zwei- bis dreistelligen Betrag kostete und von der ausstellenden Firma oder Behörde geprüft werden musste. Auch dies hat sich inzwischen zum Besseren gewendet und somit die Erhöhung der Web Security erleichtert - mit dem Aufstieg von anerkannten freien Zertifikatsdiensten wie beispielsweise Let's Encrypt benötigt die Erstellung von Secure-Zertifikaten nur noch ein Bruchteil des Aufwandes.

Die endgültige Umstellung der Webseite hingegen benötigt weiterhin manuellen Aufwand: Alle Links auf jeder Seite müssen von "http://" auf "https://" angepasst werden. Moderne CMS-Systeme wie auch Drupal verwenden, wenn immer möglich, relative Links, womit die Angabe des Protokolls am Anfang hinfällig wird. Ebenfalls sollte für alle http-Verbindungsversuche eine entsprechende Umleitung (HTTP-301) eingerichtet werden, damit Besucher von veralteten Links auf das neue Protokoll umgeleitet werden. Keinesfalls sollten zwei Versionen der Webseite betrieben werden, da dies nebst dem Sicherheitsrisiko auch mit einer Herabstufung durch Google geahndet wird.

Bleibt also noch die Frage, warum so viele Webseiten heutzutage noch keine verschlüsselten Verbindungen anbieten. Vielleicht ist die Umstellung technisch immer noch nicht einfach genug, dass sich Betreiber und Hoster von Webseiten die Mühe machen würden. Vielleicht ist es aber auch einfach kalkuliertes Risiko, denn wenn eine Webseite keine sicherheitsrelevanten Daten anbietet, bringt die Umstellung keinen unmittelbaren Nutzen. Ähnlich, wie wenn Sie auf der Strasse einem Bekannten begegnen und fragen, wie es ihm geht. Sie würden nicht auf die Idee kommen, den Smalltalk in ein Hinterzimmer zu verlagern. Bei der Bank jedoch sind wir alle froh, wenn Geschäfte im gesicherten Rahmen getätigt werden können, ohne dass jemand anderes mithören muss.