Hol dir jetzt die beste News-App der Schweiz!
- watson: 4,5 von 5 Sternchen im App-Store ☺
- Tages-Anzeiger: 3,5 von 5 Sternchen
- Blick: 3 von 5 Sternchen
- 20 Minuten: 3 von 5 Sternchen
Du willst nur das Beste? Voilà:
Ob man im Internet einkauft, ein Hotelzimmer bucht oder schnell ein Ticket für das nächste Konzert bestellt, ständig geben wir unsere Daten in Webseiten ein: Passwort, Name, Adresse, Kreditkarten- und Telefonnummer und mehr. Das Problem: Standardmässig ist der Internetverkehr nicht verschlüsselt. Daher können auch heikle Daten relativ leicht mitgelesen werden: Sei es vom neugierigen Nachbar, Kriminellen oder Geheimdiensten. Als Internetnutzer muss man darauf hoffen, dass die Webseite für die Übertragung des Passwortes und der Kreditkartennummer eine sichere, sprich verschlüsselte Verbindung nutzt. Genau dies dürfte künftig in aller Regel der Fall sein. Warum?
Der grösste Schweizer Webhosting-Anbieter Hostpoint bietet seinen Kunden ab sofort kostenlos ein SSL-Zertifikat von Symantec zur Verschlüsselung an. Im Klartext: Wer seine Webseite bei Hostpoint hat, kann seinen Besuchern eine verschlüsselte Verbindung zum Nulltarif anbieten. «Wir gehen davon aus, dass ein Grossteil der über 280'000 bei uns registrierten Internetadressen früher oder später mit SSL betrieben werden, zumal verschlüsselte Webseiten auch von Google leicht bevorzugt werden», sagt Hostpoint.
Banken oder auch die Post nutzen für die Übermittlung von Kunden-Passwörtern längst sichere SSL-Verbindungen, was am zusätzlichen «s» für Secure in der Internetadresse «https://www.post.ch» ersichtlich ist. Doch wie sieht es bei den Online-Shops aus?
«Man darf davon ausgehen, dass in der Schweiz betriebene Onlineshops in der Regel SSL einsetzen, insbesondere für die Zahlungsabwicklung», sagt Daniel Roethlisberger von der Stiftung Switch, der Registrierungsstelle für «.ch»-Internetadressen. Über genaue Statistiken verfüge man nicht. Zu beobachten sei, «dass nicht mehr nur Banken und Webshops SSL einsetzen, sondern je länger desto mehr auch normale Webseiten», so der IT-Sicherheitsexperte. Die Hoffnung scheint berechtigt, dass mit den neuen Gratis-Zertifikaten künftig auch viele kleinere Webseiten verschlüsselt kommunizieren.
«Wir machen das Schweizer Internet mit Gratis-SSL-Zertifikaten sicherer», heisst es bei Hostpoint. Das stimmt, allerdings gibt es bei den Zertifikaten unterschiedliche Sicherheitsstufen: Der Schweizer Webhosting-Anbieter verschenkt seinen Kunden lediglich domaingeprüfte Zertifikate mit der geringsten Sicherheitsstufe. Die gute Nachricht: Die Verschlüsselung ist in der Regel genau so stark wie bei teureren Zertifikaten. Passwörter, Kreditkartendaten etc. werden also beispielsweise beim Online-Einkauf sicher durchs Internet übertragen. Die schlechte Nachricht: Bei domaingeprüften Zertifikaten wird die Identität des Webseitenbesitzers von der Zertifizierungsstelle nicht geprüft. Theoretisch kommt also jedermann mit einer (anonymen) E-Mail-Adresse an ein solches SSL-Zertifikat (siehe Infobox am Ende des Artikels). Hostpoint sagt, man überprüfe deshalb die Identität der Webseitenbetreiber: «Da nur unsere eigenen Kunden FreeSSL-Zertifikate aktivieren können, wissen wir, wer hinter der Domain steckt und können darum Missbrauch unterbinden.»
Sichere Webseiten verschlüsseln Informationen (E-Mails, Passwörter, Kreditkartennummern etc.), bevor sie sie an andere Computer verschicken. Für Kriminelle sind die übertragenen Daten so wertlos. Doch wie erkennt man sichere Webseiten?
Webseiten mit «https» und Schloss-Symbol sind zwar verschlüsselt, dies ist indes keine Garantie, dass hinter einer (allenfalls gefälschten) Webseite nicht doch Kriminelle lauern, die es auf Passwörter oder Kreditkartennummern abgesehen haben. Deshalb gibt es ein drittes wichtiges Sicherheitsmerkmal: Mit dem Firmenname in grüner Farbe in der Browser-Adressleiste signalisiert die Firma ihren Webseitenbesuchern auf den ersten Blick Seriosität.
Vertrauenswürdig, sprich garantiert nicht gefälscht, ist eine Webseite erst, wenn die Adresszeile grün hinterlegt ist und den entsprechenden Firmennahmen anzeigt. Internetnutzer sollen so schneller erkennen, ob die besuchte Website echt ist und sich so vor Phishingversuchen schützen können. Grün hinterlegte Adressen findet man typischerweise beim E-Banking oder auch bei Google und Facebook.
SSL-Zertifikate mit der höchsten Sicherheitsstufe sind Unternehmen vorbehalten. Webshops, Webmail-Dienste und Firmen, die auf das Kundenvertrauen angewiesen sind, sollten nur strenger geprüfte Zertifikate verwenden, die mehrere hundert Franken pro Jahr kosten können. So wird nicht nur die Übermittlung vertraulicher Daten verschlüsselt, sondern gleichzeitig die Identität des Webseitenbetreibers bestätigt.
Es geht wie so oft im Leben ums Geld. Viel Geld. Mit der Vergabe von SSL-Zertifikaten, die jährlich verlängert und neu bezahlt werden müssen, verdienen Zertifikate-Herausgeber wie Symantec gutes Geld. Nun bekommen sie Konkurrenz durch die im Aufbau befindliche Zertifizierungsstelle Let’s Encrypt (zu Deutsch: «Lasst uns verschlüsseln!»). Let’s Encrypt wird Ende 2015 in Betrieb gehen und kostenlose domaingeprüfte SSL-Zertifikate anbieten – die selben Zertifikate, die Hostpoint nun gratis offeriert. Der nahende Markteintritt von Let’s Encrypt bringt also bereits Bewegung in den Zertifikate-Markt.
Let’s Encrypt verspricht eine raschere, automatisierte Abwicklung bei der Zertifikatvergabe. Ob der neue SSL-Anbieter zuverlässig ist, muss sich erst noch zeigen. Webseitenbetreiber können auf jeden Fall hoffen, dass andere Zertifikate- und Webhosting-Anbieter ihre Preise bald senken werden. In der Schweiz hat Hostpoint die Preise für die erweitert überprüften Zertifikate bereits gesenkt. Davon profitieren werden schlussendlich alle, die im Web surfen. «Wir rechnen damit, dass in ein paar Jahren praktisch sämtlicher Webverkehr verschlüsselt stattfinden wird», glaubt Roethlisberger von Switch.
Du willst nur das Beste? Voilà:
