Digital
Datenschutz

WhyNoHTTPS.com: Google zeigt, welche Websites unverschlüsselt sind

Ab sofort markiert Chrome unverschlüsselte Webseiten, wie die der Universität Bern, als «nicht sicher».
Ab sofort markiert Chrome unverschlüsselte Webseiten, wie die der Universität Bern, als «nicht sicher».

Diese Website stellt unsichere Webseiten an den Pranger – das sind die bekanntesten Sünder

Mehr «Digital»
Google Chrome stellt Webseiten, die deine Daten unverschlüsselt im Netz übertragen, ab sofort an den Pranger. Davon sind auch viele bekannte Schweizer Webseiten betroffen, wie WhyNoHTTPS.com enthüllt.
25.07.2018, 10:5630.07.2018, 15:14

Seit Dienstagabend verteilt Google die neue Version 68 seines Chrome-Browsers. Die wichtigste Neuerung: Chrome warnt dich jetzt direkt in der Adresszeile mit dem Hinweis «Nicht sicher» vor Webseiten, die deine Daten unverschlüsselt im Netz übertragen. Gemeint sind Webseiten, die statt des sicheren HTTPS-Protokolls noch immer unsichere HTTP-Verbindungen nutzen. 

Googles Aktion scheint also eine ziemlich vernünftige Sache zu sein, zumal die Webseitenbetreiber mehrere Jahre Zeit hatten, auf eine sichere Verbindung zu wechseln. Google hat bereits 2014 gewarnt, dass man unverschlüsselte Webseiten künftig als unsicher markieren werde.

Nun macht der Internet-Riese also Nägel mit Köpfen. Aber so richtig kapiert haben es noch immer nicht alle Webseitenbetreiber. «Von den weltweit 500 meistbesuchten Websites übertragen nach wie vor rund 20 Prozent die Daten ihrer Nutzer unverschlüsselt im Netz», schreibt der australische IT-Sicherheitsexperte Troy Hunt. Selbst Grossfirmen scheren sich also zum Teil keinen Deut um die Sicherheit und Privatsphäre ihrer Nutzer und Kunden.

Das sind die Webseiten, die auf deine Privatsphäre pfeifen

Gleichzeitig mit Googles Einführung des HTTP-Prangers im Chrome-Browser haben die beiden IT-Sicherheitsforscher Troy Hunt und Scott Helme die Webseite WhyNoHTTPS.com ins Leben gerufen. Sie ist laut Eigenbeschreibung das «Who-is-Who der grössten Websites der Welt, die unsicheren Datenverkehr nicht auf sichere Verbindungen umleiten».

Auf der Pranger-Liste finden sich bekannte Namen wie Baidu (die grösste Suchmaschine in China), der Expressversand Fedex oder Medien wie BBC.com, Daily Mail und Fox News.

Auch die Universität Zürich wurde von Google Chrome bis Mittwochmorgen als «nicht sicher» eingestuft.
Auch die Universität Zürich wurde von Google Chrome bis Mittwochmorgen als «nicht sicher» eingestuft.
Nun haben die Uni und andere Webseiten reagiert und HTTPS (vollständig) aktiviert.
Nun haben die Uni und andere Webseiten reagiert und HTTPS (vollständig) aktiviert.

Natürlich gibt es auch bekannte Schweizer Firmen, Organisationen und Universitäten, die es nicht geschafft haben, ihre Webseite über eine sichere Verbindung zu übertragen. Bekannte Namen auf der folgenden Liste sind 20 Minuten, RTS (Télévision Suisse Romande), Meteonews und mehrere Universitäten.

Hinweis: Der Alexa Rank gibt die ungefähre Popularität der Webseite an: 20min.ch ist beispielsweise die ca. 3729. meistbesuchte Webseite der Welt. Einige Webseiten aktivieren nun HTTPS, so dass diese  ...
Hinweis: Der Alexa Rank gibt die ungefähre Popularität der Webseite an: 20min.ch ist beispielsweise die ca. 3729. meistbesuchte Webseite der Welt. Einige Webseiten aktivieren nun HTTPS, so dass diese Liste bald veraltet sein wird.screenshot: whynohttps

Update:

«local.ch verwendet schon seit einigen Monaten https», schreibt Christos Bräunle, Leiter Kommunikation des Online-Telefonbuchs. Man stelle die Webseite über http://local.ch und https://local.ch zur Verfügung, erzwingen aber, wenn immer möglich, den Zugang über https. Allerdings sei es technisch möglich, die Umleitung zu verhindern. «Weil wir uns bewusst sind, dass die vollständige Umstellung auf https noch einige Zeit in Anspruch nehmen wird, sorgen wir in der Zwischenzeit mit HSTS (ein Sicherheitsmechanismus für https-Verbindungen) dafür, dass unsere Nutzer auf unserer Plattform sicher unterwegs sind», so local.ch.

Bild
screenshot: watson

Ähnlich sieht es bei der Webseite der Musik-Show Basel Tattoo aus: «Unsere Webseite ist schon seit Wochen verschlüsselt», schreibt Hannah Mathis von Basel Tattoo.

Bild
screenshot: watson

Warum sind sichere HTTPS-Verbindungen wichtig?

HTTPS ist ein Kommunikationsprotokoll im World Wide Web, um Daten abhörsicher zu übertragen. Bei nicht verschlüsselten Verbindungen können deine Aktivitäten, sprich eingegebene Formulardaten, gelesene Artikel oder geschaute Videos, problemlos mitgeschnitten werden: Vom Internetprovider, von Geheimdiensten, kriminellen Hackern, System-Administratoren, Familienmitgliedern ...

Animiertes GIFGIF abspielen
Ab Chrome 70 werden Nutzer bei der Eingabe von Daten auf unsicheren Websites noch deutlicher gewarnt.gif: google

HTTPS ist eine verschlüsselte Version des HTTP-Protokolls. Der Datenverkehr zwischen Server und Nutzer wird verschlüsselt und damit vor dem Mitschneiden der Daten auf dem Transportweg gesichert – auch eine Manipulation der Inhalte während des Transports wird damit verhindert.

Google setzt schon lange Anreize, damit die Webseitenbetreiber auf HTTPS umstellen. Beispielsweise werden unsichere HTTP-Verbindungen mit einer schlechteren Platzierung in der Google-Suche abgestraft. Die deutliche Warnung in Chrome 68 dürfte viele Firmen dazu bringen, endlich HTTPS zu implementieren.

Update:

Die Uni Zürich und einige andere Webseitenbetreiber wie der Kanton Bern haben reagiert und HTTPS heute (vollständig) aktiviert. D.h. sie erzwingen nun die sicherere Übermittlung der Daten. Manche Webseiten unterstützen das verschlüsselte Protokoll nur, wenn man https:// manuell im Browser einfügt, wieder andere verzichten weiter auf HTTPS.

Fragst du dich, warum du überall neuen AGB zustimmen musst?

Video: watson/Corsin Manser, Emily Engkent, Lya Saxer
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
58 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Slant
25.07.2018 11:07registriert April 2014
Na na Watson, bei euch gibt es auch erst seit kurzem (ein paar Monate) eine verschlüsselte Übermittlung. Wirklich Eile hattet ihr also auch nicht (das HTTPS Protokoll gibt es seit ca. 1994).
27111
Melden
Zum Kommentar
avatar
MadPad
25.07.2018 11:13registriert Mai 2016
Switch.ch ist auch auf der Liste. 🤣 Made my Day!
2433
Melden
Zum Kommentar
avatar
Skeptischer Optimist
25.07.2018 11:26registriert Februar 2016
Was soll die Schlagzeile?

Eine Website ist nicht "unsicher" nur weil sie Standardverkehr nicht verschlüsselt.
17059
Melden
Zum Kommentar
58
Russische Elitehacker greifen deutsche Parteien an – aus Gründen
Die Hackergruppe «Cozy Bear» mit Verbindungen zum russischen Auslandsgeheimdienst hat es offenbar auf die deutsche Politik abgesehen. Sie verschickten eine Schadsoftware per Mail.

Mehrere Parteien in Deutschland sind einem Medienbericht zufolge Ziel einer grossangelegten russischen Cyberattacke geworden. Laut einer am Freitag dem «Spiegel» vorliegenden Analyse der US-Sicherheitsfirma Mandiant versuchte die vom Kreml gesteuerte Hacker-Gruppierung «Cozy Bear», mehrere deutsche Parteien mit Schadsoftware anzugreifen.

Zur Story