Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Ab sofort markiert Chrome unverschlüsselte Webseiten, wie die der Universität Bern, als «nicht sicher».

Diese Website stellt unsichere Webseiten an den Pranger – das sind die bekanntesten Sünder

Google Chrome stellt Webseiten, die deine Daten unverschlüsselt im Netz übertragen, ab sofort an den Pranger. Davon sind auch viele bekannte Schweizer Webseiten betroffen, wie WhyNoHTTPS.com enthüllt.

25.07.18, 10:56 30.07.18, 15:14


Seit Dienstagabend verteilt Google die neue Version 68 seines Chrome-Browsers. Die wichtigste Neuerung: Chrome warnt dich jetzt direkt in der Adresszeile mit dem Hinweis «Nicht sicher» vor Webseiten, die deine Daten unverschlüsselt im Netz übertragen. Gemeint sind Webseiten, die statt des sicheren HTTPS-Protokolls noch immer unsichere HTTP-Verbindungen nutzen. 

Googles Aktion scheint also eine ziemlich vernünftige Sache zu sein, zumal die Webseitenbetreiber mehrere Jahre Zeit hatten, auf eine sichere Verbindung zu wechseln. Google hat bereits 2014 gewarnt, dass man unverschlüsselte Webseiten künftig als unsicher markieren werde.

Nun macht der Internet-Riese also Nägel mit Köpfen. Aber so richtig kapiert haben es noch immer nicht alle Webseitenbetreiber. «Von den weltweit 500 meistbesuchten Websites übertragen nach wie vor rund 20 Prozent die Daten ihrer Nutzer unverschlüsselt im Netz», schreibt der australische IT-Sicherheitsexperte Troy Hunt. Selbst Grossfirmen scheren sich also zum Teil keinen Deut um die Sicherheit und Privatsphäre ihrer Nutzer und Kunden.

Das sind die Webseiten, die auf deine Privatsphäre pfeifen

Gleichzeitig mit Googles Einführung des HTTP-Prangers im Chrome-Browser haben die beiden IT-Sicherheitsforscher Troy Hunt und Scott Helme die Webseite WhyNoHTTPS.com ins Leben gerufen. Sie ist laut Eigenbeschreibung das «Who-is-Who der grössten Websites der Welt, die unsicheren Datenverkehr nicht auf sichere Verbindungen umleiten».

Auf der Pranger-Liste finden sich bekannte Namen wie Baidu (die grösste Suchmaschine in China), der Expressversand Fedex oder Medien wie BBC.com, Daily Mail und Fox News.

Auch die Universität Zürich wurde von Google Chrome bis Mittwochmorgen als «nicht sicher» eingestuft.

Nun haben die Uni und andere Webseiten reagiert und HTTPS (vollständig) aktiviert.

Natürlich gibt es auch bekannte Schweizer Firmen, Organisationen und Universitäten, die es nicht geschafft haben, ihre Webseite über eine sichere Verbindung zu übertragen. Bekannte Namen auf der folgenden Liste sind 20 Minuten, RTS (Télévision Suisse Romande), Meteonews und mehrere Universitäten.

Hinweis: Der Alexa Rank gibt die ungefähre Popularität der Webseite an: 20min.ch ist beispielsweise die ca. 3729. meistbesuchte Webseite der Welt. Einige Webseiten aktivieren nun HTTPS, so dass diese Liste bald veraltet sein wird. screenshot: whynohttps

Update:

«local.ch verwendet schon seit einigen Monaten https», schreibt Christos Bräunle, Leiter Kommunikation des Online-Telefonbuchs. Man stelle die Webseite über http://local.ch und https://local.ch zur Verfügung, erzwingen aber, wenn immer möglich, den Zugang über https. Allerdings sei es technisch möglich, die Umleitung zu verhindern. «Weil wir uns bewusst sind, dass die vollständige Umstellung auf https noch einige Zeit in Anspruch nehmen wird, sorgen wir in der Zwischenzeit mit HSTS (ein Sicherheitsmechanismus für https-Verbindungen) dafür, dass unsere Nutzer auf unserer Plattform sicher unterwegs sind», so local.ch.

screenshot: watson

Ähnlich sieht es bei der Webseite der Musik-Show Basel Tattoo aus: «Unsere Webseite ist schon seit Wochen verschlüsselt», schreibt Hannah Mathis von Basel Tattoo.

screenshot: watson

Warum sind sichere HTTPS-Verbindungen wichtig?

HTTPS ist ein Kommunikationsprotokoll im World Wide Web, um Daten abhörsicher zu übertragen. Bei nicht verschlüsselten Verbindungen können deine Aktivitäten, sprich eingegebene Formulardaten, gelesene Artikel oder geschaute Videos, problemlos mitgeschnitten werden: Vom Internetprovider, von Geheimdiensten, kriminellen Hackern, System-Administratoren, Familienmitgliedern ...

Ab Chrome 70 werden Nutzer bei der Eingabe von Daten auf unsicheren Websites noch deutlicher gewarnt. gif: google

HTTPS ist eine verschlüsselte Version des HTTP-Protokolls. Der Datenverkehr zwischen Server und Nutzer wird verschlüsselt und damit vor dem Mitschneiden der Daten auf dem Transportweg gesichert – auch eine Manipulation der Inhalte während des Transports wird damit verhindert.

Google setzt schon lange Anreize, damit die Webseitenbetreiber auf HTTPS umstellen. Beispielsweise werden unsichere HTTP-Verbindungen mit einer schlechteren Platzierung in der Google-Suche abgestraft. Die deutliche Warnung in Chrome 68 dürfte viele Firmen dazu bringen, endlich HTTPS zu implementieren.

Update:

Die Uni Zürich und einige andere Webseitenbetreiber wie der Kanton Bern haben reagiert und HTTPS heute (vollständig) aktiviert. D.h. sie erzwingen nun die sicherere Übermittlung der Daten. Manche Webseiten unterstützen das verschlüsselte Protokoll nur, wenn man https:// manuell im Browser einfügt, wieder andere verzichten weiter auf HTTPS.

Fragst du dich, warum du überall neuen AGB zustimmen musst?

Video: watson/Corsin Manser, Emily Engkent, Lya Saxer

Hol dir die App!

Yanik Freudiger, 23.2.2017
Die App ist vom Auftreten und vom Inhalt her die innovativste auf dem Markt. Sehr erfrischend und absolut top.

Abonniere unseren Daily Newsletter

62
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
62Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • leed 26.07.2018 10:04
    Highlight Lol, Glencore ist auf der Liste. Läuft man mit einer Kamera an deren Areal vorbei, rennt gleich ein Sicherheitsbeamter raus, der dich wegschickt. Aber Webseite ohne HTTPS, peinlich.
    9 4 Melden
  • Oly 25.07.2018 16:16
    Highlight Na ja.. ich komme immer noch auf unsichere Seite.
    0 20 Melden
  • Alterssturheit 25.07.2018 16:08
    Highlight Alles gut und schön was die "Fachleute" hier so von sich geben und ich davon nichts verstehe.
    Vorschlag: gebt uns nicht IT-affinen Usern (bin hoffentlich nicht der Einzige ?) Tipps, wie wir uns verhalten sollen. Das würde mir weiterhelfen - Danke !
    24 5 Melden
    • 1+1=3! Initiative 26.07.2018 08:03
      Highlight Kein Chrome nutzen 😉

      Alternativen?
      mein aktueller Favorit ist Vivaldi.
      9 10 Melden
    • Alterssturheit 26.07.2018 08:25
      Highlight Danke - das ist doch schon mal was -:))
      4 2 Melden
    • Piwi 26.07.2018 09:25
      Highlight Tipp: auf HTTPS-Verbindungen bestehen (vor allem keine Formulardaten auf HTTP-Verbindungen übermitteln), und die Server-Identität prüfen: Zertifikat gültig, von einer vertrauenswürdigen CA signiert - wird grün im Browser angezeigt. Nie Ausnahmen für ungültige Zertifikate erlauben, NIE!
      7 1 Melden
  • PeteZahad 25.07.2018 15:22
    Highlight Eure Erklärung zu https ist fast richtig:
    Ihr schreibt, dass mit unverschlüsselten Verbindungen unter anderem festgestellt werden kann, welche Artikel man liest.

    Dies ist auch bei verschlüsselten Verbindungen möglich, da der Endpoint (URL) weiterhin im Netz abgehört werden kann. Lediglich der übertragene Inhalt ist verschlüsselt.

    Solange der Endpoint kein Login benötigt lässt sich also weiterhin feststellen, welche Seiten besucht resp. Artikel gelesen wurden.
    20 22 Melden
    • ...you had ONE job! 25.07.2018 18:59
      Highlight Das ist schlichtweg falsch.

      Du verwechselst URL mit SNI:

      Bei HTTPS wird der *hostname* (z.B. www.watson.ch) als klartext übertragen.


      Die abgerufene URL /digital/datenschutz/.... hingegen ist teil des HTTP Payloads welcher verschlüsselt ist.

      (SNI wird beim initialen TLS handshake geleakt)
      29 2 Melden
  • Techtumbler 25.07.2018 13:49
    Highlight Komisch z.B. die Coop webseite und die so.ch vom Kanton Solothurn erscheinen bei mir als "Secure".
    17 4 Melden
  • Caturix 25.07.2018 13:27
    Highlight Habe 2 Homepages. Aber warum sollte ich auf https umstellen ? es gibt keiner ewas rein, keine mail, keine Adresse rein gar nichts. Die Seiten sind nur Informativ.
    38 22 Melden
    • PeteZahad 25.07.2018 15:24
      Highlight Weil Google Seiten ohne https schlechter ranked. Wenns dir egal ist, dann lass es, ansonsten kriegt man über Let's Encrypt gratis Zertifikate. Oft kann man diese gleich Uber das Hostingpanel aktivieren.
      38 1 Melden
    • Midnight 26.07.2018 07:57
      Highlight @Caturix Ich drehe die Frage mal um: Deine Webseiten zu verschlüsselnbedeutet für dich keinerlei Nachteile und das ganze ist erst noch Kostenlos (Let's Encrypt).
      Also: WhyNotHTTPS?
      17 1 Melden
  • xHascox 25.07.2018 13:18
    Highlight Man kann zb. bei uzh.ch einfach manuell das https vor die URL schreiben, und schon ist man sicher.
    HTTPS wird also unterstützt, nur nicht erzwungen.

    Das sollte erwähnt werden finde ich.
    30 6 Melden
    • Oliver Wietlisbach 25.07.2018 14:03
      Highlight Ja, das ist bei einigen Seiten so. Bringt halt aber so den meisten Usern nichts. Sinnvoller ist es, wenn die Seitenbetreiber automatisch auf HTTPS umleiten. Die Uni Zürich und andere Seiten haben nun übrigens bereits reagiert und erzwingen HTTPS :)
      33 4 Melden
    • Techtumbler 25.07.2018 16:04
      Highlight @Oliver ach dann liegt es vermutlich daran, dass diverse die ich probiert hab schon auf https sind.

      Bei Cyon.ch lässt sich dies im Portal imho ganz einfach aktivieren und ich frage mich wieso ich es nicht tun sollte.
      10 3 Melden
  • c_meier 25.07.2018 12:32
    Highlight der Kanton Bern als Screenshot... naja wichtiger wären wohl six (Börse Zürich) und switch. ch
    46 5 Melden
  • Therealmonti 25.07.2018 12:17
    Highlight Ziemlich peinlich für eine Institution wie die Uni Zürich.
    46 37 Melden
  • Energize 25.07.2018 12:04
    Highlight Macht Firefox das nicht schon seit Jahren? 🤔
    65 4 Melden
    • 5737isch_läbe 25.07.2018 12:48
      Highlight Firefox isch läbe😂
      43 5 Melden
  • Madison Pierce 25.07.2018 11:44
    Highlight Für Websites, auf denen man keine Daten einträgt, ist HTTPS nicht zwingend.

    Auch bei HTTPS kann mitgelesen werden, welche Hosts besucht werden. Diese Information ist nicht verschlüsselt.

    Der Admin sieht also, wenn ihr während der Arbeit auf y**p*rn.com seid. Er sieht nur nicht, welche Videos ihr euch anschaut. :)
    68 16 Melden
    • dontknow 25.07.2018 12:35
      Highlight Doch der Admin sieht auch dies ;)

      btw: in grösseren Firmen ist es längst Standard dass ausgehende HTTPS-Verbindungen aufgebrochen werden(leider...), der Inhalt analysiert wird und danach wieder verschlüsselt.

      btw: selbst ohne solche technischen Tricks würde der Admin wohl sehen welches Video du abrufst(die Video-ID wird z.b. bei youtube in der URL übertragen, er sieht nur den effektiven Inhalt der übertragenen Pakete nicht. Wohin es geht sieht man weiterhin wie du ja gesagt hast, nur deine Schlussfolgerung ist falsch :P
      37 13 Melden
    • dontknow 25.07.2018 12:38
      Highlight Bemerkung zum vorherigen Kommentar: Ok vergiss das mit der ID. Wie andere erklärt hqben wird mit TLS 1.2 auch dies verschlüsselt :-)
      28 2 Melden
  • ARoq 25.07.2018 11:28
    Highlight Einige der Webseiten unterstützen schon https, aber man muss die URL von Hand eingeben, oder wie "The Destiny" erwähnt hat ein Addon wie HTTPS-Everywhere einsetzen.
    Sinnvoller wäre es natürlich trotzdem, wenn die Seitenbetreiber automatisch auf https umleiten würden.

    Ein peinliches Beispiel ist pctipp, welche es seit Monaten nicht schaffen eine funktionierende https-Seite anzubieten. Man müsste annehmen, dass ein Computermagazin so etwas kann.
    71 1 Melden
  • Dr. Zoidberg 25.07.2018 11:28
    Highlight Da trifft wieder mal Ahnungslosigkeit auf "wir werden alle störben".
    https sorgt nicht dafür, dass Metadaten wie "geschaute Videos" nicht mitgelesen werden können. https verschlüsselt nur den Inhalt des Videos - was aber Wurscht ist, denn der Request ist in Klartext. https ist für Websites, die keine Nutzereingaben, z. B. in Formularen, verarbeiten, nur als Identitätsnachweis nützlich.
    33 27 Melden
    • chregu 25.07.2018 12:05
      Highlight Nö. Der Hostname selber kann im Klartext sein (technisch nötig unter gewissen Umständen), welche Seite aber genau du anschaust, ist immer auch verschlüsselt. Siehe das Video Beispiel weiter oben
      25 0 Melden
    • ARoq 25.07.2018 12:09
      Highlight Das ist falsch. Mit TLS 1.2 wird nur der domainname unverschlüsselt übertragen. Alles danach ist verschlüsselt.
      https://stackoverflow.com/questions/187655/are-https-headers-encrypted
      31 0 Melden
    • PeteZahad 25.07.2018 15:32
      Highlight @chregu: Bringt auch nichts wenn man gutgläubig Browser-Extensions installiert, welche Zugriff auf die Browser History haben. Auch mit einem Zwischengeschalteten Proxy komme ich an den Pfad.
      6 0 Melden
    Weitere Antworten anzeigen
  • Skeptischer Optimist 25.07.2018 11:26
    Highlight Was soll die Schlagzeile?

    Eine Website ist nicht "unsicher" nur weil sie Standardverkehr nicht verschlüsselt.
    170 59 Melden
    • midval 25.07.2018 12:38
      Highlight Doch das ist sie. Weil du eben nicht weisst ob dazwischen was verändert wurde. Die Seite kann zwar nicht böses wollen aber eben während der übermittlung der Daten. Stell dir nur schon vor deine Logindaten werden nicht verschlüsselt übertragen.
      30 9 Melden
    • Skeptischer Optimist 25.07.2018 12:54
      Highlight Die meisten Websites brauchen kein Login und ich unterstelle, dass dies bei den angeblich Unisicheren der Fall ist.

      Google macht sich hier einfach ein bisschen wichtig.
      12 28 Melden
    • Ueli der Knecht 25.07.2018 13:35
      Highlight Google macht sich nicht nur wichtig, sondern will mit dem "http-ist-unsicher"-Framing primär seine eigenen Datenbestände vor Konkurrenten schützen, umsomehr auch https nur eine trügerische Sicherheit vermittelt, weil diese angeblich sicheren Verbindungen bei vielen Firmen und Providern, aber auch von praktisch allen Virenscanner aufgebrochen werden.

      Da erstaunt es nicht, dass Google-Chrome selber auch einen Virenscanner anbietet und sowieso alle verschlüsselten Daten unverschlüsselt mitlesen kann.

      Dumm nur, dass kompetente Medien wie watson gerne auf solche fiesen Google-Tricks reinfallen.
      19 15 Melden
    Weitere Antworten anzeigen
  • Ulmo Ocin 25.07.2018 11:15
    Highlight Heikel finde ich, dass z.B. swissquote auf dieser Liste zu finden ist.
    22 6 Melden
    • Slant 25.07.2018 11:17
      Highlight Die bieten seit mind. 2016 eine verschlüsselte Verbindung an.
      22 1 Melden
    • Paddiesli 25.07.2018 11:23
      Highlight Heikler finde ich symptome.ch
      24 1 Melden
    • Ulmo Ocin 25.07.2018 11:37
      Highlight @Slant: Ah okay. Danke für die Info. Also ich bin nicht Kunde da:)
      11 1 Melden
  • MadPad 25.07.2018 11:13
    Highlight Switch.ch ist auch auf der Liste. 🤣 Made my Day!
    243 3 Melden
    • Pointer 25.07.2018 11:58
      Highlight Ja, das ist jetzt schon ein bisschen peinlich.
      24 0 Melden
    • Spama Lotto 25.07.2018 13:08
      Highlight Das hat mich auch sehr gewundert und bin schnell auf die Seite.. Entweder wurden die jetzt aufgeschreckt oder die Liste ist schon ein paar tage/wochen/jahre alt....
      15 0 Melden
    • c_meier 25.07.2018 13:26
      Highlight six ist auch über https.... da ist diese Liste wohl definitiv nicht mehr aktuell
      10 1 Melden
    Weitere Antworten anzeigen
  • Slant 25.07.2018 11:07
    Highlight Na na Watson, bei euch gibt es auch erst seit kurzem (ein paar Monate) eine verschlüsselte Übermittlung. Wirklich Eile hattet ihr also auch nicht (das HTTPS Protokoll gibt es seit ca. 1994).
    271 11 Melden
    • ...you had ONE job! 25.07.2018 19:00
      Highlight Watson.ch war schon seit Launch via HTTPS (und IPv6) erreichbar.

      Erzwungen wurde dies aber nicht, da Werbung nur via HTTP ausgeliefert wurde - anno dazumals.
      5 1 Melden
    • Slant 25.07.2018 21:58
      Highlight Nützt aber nichts da man immer auf die HTTP Seite weitergeleitet wurde. Ein Schutz der vohanden ist aber nicht angewandt wird, ist kein Schutz.

      Ergo unsicher
      6 0 Melden
  • desmond_der_mondbaer 25.07.2018 11:07
    Highlight Dieses Feature gibt es schon löngere Zeit im Chrome. Keine Ahnung wie ihr darauf kommt, dass erst seit dem neuen Update da sein sollte.

    Und das Problem mit fehlender HTTPS Verschlüsselung ist auch scho lange bekannt.
    11 18 Melden
  • The Destiny // Team Telegram 25.07.2018 11:07
    Highlight Gibt add ons die https erzwingen.
    10 27 Melden
    • Slant 25.07.2018 11:19
      Highlight Wo kein HTTPS ist, kann auch nichts erzwungen werden.
      43 1 Melden
    • NotWhatYouExpect 25.07.2018 11:22
      Highlight Na, dann versuch mal dein Addon bei 20min oder einer bei denen Seiten.

      Ah stimmt funktioniert nicht....
      19 2 Melden
    • The Destiny // Team Telegram 25.07.2018 13:50
      Highlight ARoq hat das weiteroben schön erklärt.
      2 5 Melden
    Weitere Antworten anzeigen
  • grind 25.07.2018 11:03
    Highlight gibts irgendwo ne webseite die webseitenprüferseiten prüft?

    weil da könnte ja jeder kommen....
    17 34 Melden
    • Divorce 25.07.2018 11:07
      Highlight Ist relativ einfach zu überprüfen, du musst nur schauen, ob es eine https oder ein http vor der URL hat
      35 4 Melden
    • Ueli der Knecht 25.07.2018 13:47
      Highlight Quis custodiet ipsos custodes? http://bit.ly/2v5KIiT

      Das ist tatsächlich die entscheidende Frage, grind. Bei genauer und gründlicherer Betrachtung entlarvt sie das fiese Vorgehen von Google.

      Tatsächlich will Google mit diesem "Webseite-ist-unsicher"-Framing nur ihre eigenen Datenbestände vor Konkurrenten schützen. Denn einerseits ist eine als sicher markierte Webseite nicht wirklich sicher, anderseits kann Google/Chrome immer noch alles unverschlüsselt im Rohtext mitlesen, vergibt sich also nichts.

      5 Milliarden Busse. Google missbraucht seine Marktmacht und verdient kein Vertrauen!
      12 3 Melden

Tausende Schweizer fallen gerade auf diesen Facebook-Betrug herein – das steckt dahinter

Seit einigen Wochen grassiert im deutschsprachigen Raum eine regelrechte Welle an Fake-Gewinnspielen. Auf Facebook gebe es so viele betrügerische Gewinnspiele «wie noch nie», schreibt das auf Online-Betrug spezialisierte Portal Mimikama.

Betrüger machen im Namen bekannter Marken wie Aldi, MediaMarkt oder Ikea mit vermeintlichen Verlosungen gezielt Jagd auf Postadressen, E-Mail-Adressen und Telefonnummern von Facebook-Nutzern. 

Obwohl die Masche alt ist, fallen im Moment wieder …

Artikel lesen