Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Image

Ab sofort markiert Chrome unverschlüsselte Webseiten, wie die der Universität Bern, als «nicht sicher».

Diese Website stellt unsichere Webseiten an den Pranger – das sind die bekanntesten Sünder

Google Chrome stellt Webseiten, die deine Daten unverschlüsselt im Netz übertragen, ab sofort an den Pranger. Davon sind auch viele bekannte Schweizer Webseiten betroffen, wie WhyNoHTTPS.com enthüllt.



Seit Dienstagabend verteilt Google die neue Version 68 seines Chrome-Browsers. Die wichtigste Neuerung: Chrome warnt dich jetzt direkt in der Adresszeile mit dem Hinweis «Nicht sicher» vor Webseiten, die deine Daten unverschlüsselt im Netz übertragen. Gemeint sind Webseiten, die statt des sicheren HTTPS-Protokolls noch immer unsichere HTTP-Verbindungen nutzen. 

Googles Aktion scheint also eine ziemlich vernünftige Sache zu sein, zumal die Webseitenbetreiber mehrere Jahre Zeit hatten, auf eine sichere Verbindung zu wechseln. Google hat bereits 2014 gewarnt, dass man unverschlüsselte Webseiten künftig als unsicher markieren werde.

Nun macht der Internet-Riese also Nägel mit Köpfen. Aber so richtig kapiert haben es noch immer nicht alle Webseitenbetreiber. «Von den weltweit 500 meistbesuchten Websites übertragen nach wie vor rund 20 Prozent die Daten ihrer Nutzer unverschlüsselt im Netz», schreibt der australische IT-Sicherheitsexperte Troy Hunt. Selbst Grossfirmen scheren sich also zum Teil keinen Deut um die Sicherheit und Privatsphäre ihrer Nutzer und Kunden.

Das sind die Webseiten, die auf deine Privatsphäre pfeifen

Gleichzeitig mit Googles Einführung des HTTP-Prangers im Chrome-Browser haben die beiden IT-Sicherheitsforscher Troy Hunt und Scott Helme die Webseite WhyNoHTTPS.com ins Leben gerufen. Sie ist laut Eigenbeschreibung das «Who-is-Who der grössten Websites der Welt, die unsicheren Datenverkehr nicht auf sichere Verbindungen umleiten».

Auf der Pranger-Liste finden sich bekannte Namen wie Baidu (die grösste Suchmaschine in China), der Expressversand Fedex oder Medien wie BBC.com, Daily Mail und Fox News.

Image

Auch die Universität Zürich wurde von Google Chrome bis Mittwochmorgen als «nicht sicher» eingestuft.

Image

Nun haben die Uni und andere Webseiten reagiert und HTTPS (vollständig) aktiviert.

Natürlich gibt es auch bekannte Schweizer Firmen, Organisationen und Universitäten, die es nicht geschafft haben, ihre Webseite über eine sichere Verbindung zu übertragen. Bekannte Namen auf der folgenden Liste sind 20 Minuten, RTS (Télévision Suisse Romande), Meteonews und mehrere Universitäten.

ImageImageImageImage

Hinweis: Der Alexa Rank gibt die ungefähre Popularität der Webseite an: 20min.ch ist beispielsweise die ca. 3729. meistbesuchte Webseite der Welt. Einige Webseiten aktivieren nun HTTPS, so dass diese Liste bald veraltet sein wird. screenshot: whynohttps

Update:

«local.ch verwendet schon seit einigen Monaten https», schreibt Christos Bräunle, Leiter Kommunikation des Online-Telefonbuchs. Man stelle die Webseite über http://local.ch und https://local.ch zur Verfügung, erzwingen aber, wenn immer möglich, den Zugang über https. Allerdings sei es technisch möglich, die Umleitung zu verhindern. «Weil wir uns bewusst sind, dass die vollständige Umstellung auf https noch einige Zeit in Anspruch nehmen wird, sorgen wir in der Zwischenzeit mit HSTS (ein Sicherheitsmechanismus für https-Verbindungen) dafür, dass unsere Nutzer auf unserer Plattform sicher unterwegs sind», so local.ch.

Image

screenshot: watson

Ähnlich sieht es bei der Webseite der Musik-Show Basel Tattoo aus: «Unsere Webseite ist schon seit Wochen verschlüsselt», schreibt Hannah Mathis von Basel Tattoo.

Image

screenshot: watson

Warum sind sichere HTTPS-Verbindungen wichtig?

HTTPS ist ein Kommunikationsprotokoll im World Wide Web, um Daten abhörsicher zu übertragen. Bei nicht verschlüsselten Verbindungen können deine Aktivitäten, sprich eingegebene Formulardaten, gelesene Artikel oder geschaute Videos, problemlos mitgeschnitten werden: Vom Internetprovider, von Geheimdiensten, kriminellen Hackern, System-Administratoren, Familienmitgliedern ...

Animiertes GIF GIF abspielen

Ab Chrome 70 werden Nutzer bei der Eingabe von Daten auf unsicheren Websites noch deutlicher gewarnt. gif: google

HTTPS ist eine verschlüsselte Version des HTTP-Protokolls. Der Datenverkehr zwischen Server und Nutzer wird verschlüsselt und damit vor dem Mitschneiden der Daten auf dem Transportweg gesichert – auch eine Manipulation der Inhalte während des Transports wird damit verhindert.

Google setzt schon lange Anreize, damit die Webseitenbetreiber auf HTTPS umstellen. Beispielsweise werden unsichere HTTP-Verbindungen mit einer schlechteren Platzierung in der Google-Suche abgestraft. Die deutliche Warnung in Chrome 68 dürfte viele Firmen dazu bringen, endlich HTTPS zu implementieren.

Update:

Die Uni Zürich und einige andere Webseitenbetreiber wie der Kanton Bern haben reagiert und HTTPS heute (vollständig) aktiviert. D.h. sie erzwingen nun die sicherere Übermittlung der Daten. Manche Webseiten unterstützen das verschlüsselte Protokoll nur, wenn man https:// manuell im Browser einfügt, wieder andere verzichten weiter auf HTTPS.

Fragst du dich, warum du überall neuen AGB zustimmen musst?

Play Icon

Video: watson/Corsin Manser, Emily Engkent, Lya Saxer

Abonniere unseren Newsletter

62
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
62Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • leed 26.07.2018 10:04
    Highlight Highlight Lol, Glencore ist auf der Liste. Läuft man mit einer Kamera an deren Areal vorbei, rennt gleich ein Sicherheitsbeamter raus, der dich wegschickt. Aber Webseite ohne HTTPS, peinlich.
  • Oly 25.07.2018 16:16
    Highlight Highlight Na ja.. ich komme immer noch auf unsichere Seite.
    User Image
  • Alterssturheit 25.07.2018 16:08
    Highlight Highlight Alles gut und schön was die "Fachleute" hier so von sich geben und ich davon nichts verstehe.
    Vorschlag: gebt uns nicht IT-affinen Usern (bin hoffentlich nicht der Einzige ?) Tipps, wie wir uns verhalten sollen. Das würde mir weiterhelfen - Danke !
    • 1+1=3! Initiative 26.07.2018 08:03
      Highlight Highlight Kein Chrome nutzen 😉

      Alternativen?
      mein aktueller Favorit ist Vivaldi.
    • Alterssturheit 26.07.2018 08:25
      Highlight Highlight Danke - das ist doch schon mal was -:))
    • Piwi 26.07.2018 09:25
      Highlight Highlight Tipp: auf HTTPS-Verbindungen bestehen (vor allem keine Formulardaten auf HTTP-Verbindungen übermitteln), und die Server-Identität prüfen: Zertifikat gültig, von einer vertrauenswürdigen CA signiert - wird grün im Browser angezeigt. Nie Ausnahmen für ungültige Zertifikate erlauben, NIE!
  • PeteZahad 25.07.2018 15:22
    Highlight Highlight Eure Erklärung zu https ist fast richtig:
    Ihr schreibt, dass mit unverschlüsselten Verbindungen unter anderem festgestellt werden kann, welche Artikel man liest.

    Dies ist auch bei verschlüsselten Verbindungen möglich, da der Endpoint (URL) weiterhin im Netz abgehört werden kann. Lediglich der übertragene Inhalt ist verschlüsselt.

    Solange der Endpoint kein Login benötigt lässt sich also weiterhin feststellen, welche Seiten besucht resp. Artikel gelesen wurden.
    • ...you had ONE job! 25.07.2018 18:59
      Highlight Highlight Das ist schlichtweg falsch.

      Du verwechselst URL mit SNI:

      Bei HTTPS wird der *hostname* (z.B. www.watson.ch) als klartext übertragen.


      Die abgerufene URL /digital/datenschutz/.... hingegen ist teil des HTTP Payloads welcher verschlüsselt ist.

      (SNI wird beim initialen TLS handshake geleakt)
  • Techtumbler 25.07.2018 13:49
    Highlight Highlight Komisch z.B. die Coop webseite und die so.ch vom Kanton Solothurn erscheinen bei mir als "Secure".
  • Caturix 25.07.2018 13:27
    Highlight Highlight Habe 2 Homepages. Aber warum sollte ich auf https umstellen ? es gibt keiner ewas rein, keine mail, keine Adresse rein gar nichts. Die Seiten sind nur Informativ.
    • PeteZahad 25.07.2018 15:24
      Highlight Highlight Weil Google Seiten ohne https schlechter ranked. Wenns dir egal ist, dann lass es, ansonsten kriegt man über Let's Encrypt gratis Zertifikate. Oft kann man diese gleich Uber das Hostingpanel aktivieren.
    • Midnight 26.07.2018 07:57
      Highlight Highlight @Caturix Ich drehe die Frage mal um: Deine Webseiten zu verschlüsselnbedeutet für dich keinerlei Nachteile und das ganze ist erst noch Kostenlos (Let's Encrypt).
      Also: WhyNotHTTPS?
  • xHascox 25.07.2018 13:18
    Highlight Highlight Man kann zb. bei uzh.ch einfach manuell das https vor die URL schreiben, und schon ist man sicher.
    HTTPS wird also unterstützt, nur nicht erzwungen.

    Das sollte erwähnt werden finde ich.
    • Oliver Wietlisbach 25.07.2018 14:03
      Highlight Highlight Ja, das ist bei einigen Seiten so. Bringt halt aber so den meisten Usern nichts. Sinnvoller ist es, wenn die Seitenbetreiber automatisch auf HTTPS umleiten. Die Uni Zürich und andere Seiten haben nun übrigens bereits reagiert und erzwingen HTTPS :)
    • Techtumbler 25.07.2018 16:04
      Highlight Highlight @Oliver ach dann liegt es vermutlich daran, dass diverse die ich probiert hab schon auf https sind.

      Bei Cyon.ch lässt sich dies im Portal imho ganz einfach aktivieren und ich frage mich wieso ich es nicht tun sollte.
  • c_meier 25.07.2018 12:32
    Highlight Highlight der Kanton Bern als Screenshot... naja wichtiger wären wohl six (Börse Zürich) und switch. ch
  • Therealmonti 25.07.2018 12:17
    Highlight Highlight Ziemlich peinlich für eine Institution wie die Uni Zürich.
  • Energize 25.07.2018 12:04
    Highlight Highlight Macht Firefox das nicht schon seit Jahren? 🤔
    • 5737isch_läbe 25.07.2018 12:48
      Highlight Highlight Firefox isch läbe😂
  • Madison Pierce 25.07.2018 11:44
    Highlight Highlight Für Websites, auf denen man keine Daten einträgt, ist HTTPS nicht zwingend.

    Auch bei HTTPS kann mitgelesen werden, welche Hosts besucht werden. Diese Information ist nicht verschlüsselt.

    Der Admin sieht also, wenn ihr während der Arbeit auf y**p*rn.com seid. Er sieht nur nicht, welche Videos ihr euch anschaut. :)
    • dontknow 25.07.2018 12:35
      Highlight Highlight Doch der Admin sieht auch dies ;)

      btw: in grösseren Firmen ist es längst Standard dass ausgehende HTTPS-Verbindungen aufgebrochen werden(leider...), der Inhalt analysiert wird und danach wieder verschlüsselt.

      btw: selbst ohne solche technischen Tricks würde der Admin wohl sehen welches Video du abrufst(die Video-ID wird z.b. bei youtube in der URL übertragen, er sieht nur den effektiven Inhalt der übertragenen Pakete nicht. Wohin es geht sieht man weiterhin wie du ja gesagt hast, nur deine Schlussfolgerung ist falsch :P
    • dontknow 25.07.2018 12:38
      Highlight Highlight Bemerkung zum vorherigen Kommentar: Ok vergiss das mit der ID. Wie andere erklärt hqben wird mit TLS 1.2 auch dies verschlüsselt :-)
  • ARoq 25.07.2018 11:28
    Highlight Highlight Einige der Webseiten unterstützen schon https, aber man muss die URL von Hand eingeben, oder wie "The Destiny" erwähnt hat ein Addon wie HTTPS-Everywhere einsetzen.
    Sinnvoller wäre es natürlich trotzdem, wenn die Seitenbetreiber automatisch auf https umleiten würden.

    Ein peinliches Beispiel ist pctipp, welche es seit Monaten nicht schaffen eine funktionierende https-Seite anzubieten. Man müsste annehmen, dass ein Computermagazin so etwas kann.
  • Dr. Zoidberg 25.07.2018 11:28
    Highlight Highlight Da trifft wieder mal Ahnungslosigkeit auf "wir werden alle störben".
    https sorgt nicht dafür, dass Metadaten wie "geschaute Videos" nicht mitgelesen werden können. https verschlüsselt nur den Inhalt des Videos - was aber Wurscht ist, denn der Request ist in Klartext. https ist für Websites, die keine Nutzereingaben, z. B. in Formularen, verarbeiten, nur als Identitätsnachweis nützlich.
    • chregu 25.07.2018 12:05
      Highlight Highlight Nö. Der Hostname selber kann im Klartext sein (technisch nötig unter gewissen Umständen), welche Seite aber genau du anschaust, ist immer auch verschlüsselt. Siehe das Video Beispiel weiter oben
    • ARoq 25.07.2018 12:09
      Highlight Highlight Das ist falsch. Mit TLS 1.2 wird nur der domainname unverschlüsselt übertragen. Alles danach ist verschlüsselt.
      https://stackoverflow.com/questions/187655/are-https-headers-encrypted
    • PeteZahad 25.07.2018 15:32
      Highlight Highlight @chregu: Bringt auch nichts wenn man gutgläubig Browser-Extensions installiert, welche Zugriff auf die Browser History haben. Auch mit einem Zwischengeschalteten Proxy komme ich an den Pfad.
    Weitere Antworten anzeigen
  • Skeptischer Optimist 25.07.2018 11:26
    Highlight Highlight Was soll die Schlagzeile?

    Eine Website ist nicht "unsicher" nur weil sie Standardverkehr nicht verschlüsselt.
    • midval 25.07.2018 12:38
      Highlight Highlight Doch das ist sie. Weil du eben nicht weisst ob dazwischen was verändert wurde. Die Seite kann zwar nicht böses wollen aber eben während der übermittlung der Daten. Stell dir nur schon vor deine Logindaten werden nicht verschlüsselt übertragen.
    • Skeptischer Optimist 25.07.2018 12:54
      Highlight Highlight Die meisten Websites brauchen kein Login und ich unterstelle, dass dies bei den angeblich Unisicheren der Fall ist.

      Google macht sich hier einfach ein bisschen wichtig.
    • Ueli der Knecht 25.07.2018 13:35
      Highlight Highlight Google macht sich nicht nur wichtig, sondern will mit dem "http-ist-unsicher"-Framing primär seine eigenen Datenbestände vor Konkurrenten schützen, umsomehr auch https nur eine trügerische Sicherheit vermittelt, weil diese angeblich sicheren Verbindungen bei vielen Firmen und Providern, aber auch von praktisch allen Virenscanner aufgebrochen werden.

      Da erstaunt es nicht, dass Google-Chrome selber auch einen Virenscanner anbietet und sowieso alle verschlüsselten Daten unverschlüsselt mitlesen kann.

      Dumm nur, dass kompetente Medien wie watson gerne auf solche fiesen Google-Tricks reinfallen.
    Weitere Antworten anzeigen
  • Ulmo Ocin 25.07.2018 11:15
    Highlight Highlight Heikel finde ich, dass z.B. swissquote auf dieser Liste zu finden ist.
    • Slant 25.07.2018 11:17
      Highlight Highlight Die bieten seit mind. 2016 eine verschlüsselte Verbindung an.
    • Paddiesli 25.07.2018 11:23
      Highlight Highlight Heikler finde ich symptome.ch
    • Ulmo Ocin 25.07.2018 11:37
      Highlight Highlight @Slant: Ah okay. Danke für die Info. Also ich bin nicht Kunde da:)
  • MadPad 25.07.2018 11:13
    Highlight Highlight Switch.ch ist auch auf der Liste. 🤣 Made my Day!
    • Pointer 25.07.2018 11:58
      Highlight Highlight Ja, das ist jetzt schon ein bisschen peinlich.
    • Spama Lotto 25.07.2018 13:08
      Highlight Highlight Das hat mich auch sehr gewundert und bin schnell auf die Seite.. Entweder wurden die jetzt aufgeschreckt oder die Liste ist schon ein paar tage/wochen/jahre alt....
      User Image
    • c_meier 25.07.2018 13:26
      Highlight Highlight six ist auch über https.... da ist diese Liste wohl definitiv nicht mehr aktuell
    Weitere Antworten anzeigen
  • Slant 25.07.2018 11:07
    Highlight Highlight Na na Watson, bei euch gibt es auch erst seit kurzem (ein paar Monate) eine verschlüsselte Übermittlung. Wirklich Eile hattet ihr also auch nicht (das HTTPS Protokoll gibt es seit ca. 1994).
    • ...you had ONE job! 25.07.2018 19:00
      Highlight Highlight Watson.ch war schon seit Launch via HTTPS (und IPv6) erreichbar.

      Erzwungen wurde dies aber nicht, da Werbung nur via HTTP ausgeliefert wurde - anno dazumals.
    • Slant 25.07.2018 21:58
      Highlight Highlight Nützt aber nichts da man immer auf die HTTP Seite weitergeleitet wurde. Ein Schutz der vohanden ist aber nicht angewandt wird, ist kein Schutz.

      Ergo unsicher
  • desmond_der_mondbaer 25.07.2018 11:07
    Highlight Highlight Dieses Feature gibt es schon löngere Zeit im Chrome. Keine Ahnung wie ihr darauf kommt, dass erst seit dem neuen Update da sein sollte.

    Und das Problem mit fehlender HTTPS Verschlüsselung ist auch scho lange bekannt.
  • The Destiny // Team Telegram 25.07.2018 11:07
    Highlight Highlight Gibt add ons die https erzwingen.
    • Slant 25.07.2018 11:19
      Highlight Highlight Wo kein HTTPS ist, kann auch nichts erzwungen werden.
    • NotWhatYouExpect 25.07.2018 11:22
      Highlight Highlight Na, dann versuch mal dein Addon bei 20min oder einer bei denen Seiten.

      Ah stimmt funktioniert nicht....
    • The Destiny // Team Telegram 25.07.2018 13:50
      Highlight Highlight ARoq hat das weiteroben schön erklärt.
    Weitere Antworten anzeigen
  • grind 25.07.2018 11:03
    Highlight Highlight gibts irgendwo ne webseite die webseitenprüferseiten prüft?

    weil da könnte ja jeder kommen....
    • Divorce 25.07.2018 11:07
      Highlight Highlight Ist relativ einfach zu überprüfen, du musst nur schauen, ob es eine https oder ein http vor der URL hat
    • Ueli der Knecht 25.07.2018 13:47
      Highlight Highlight Quis custodiet ipsos custodes? http://bit.ly/2v5KIiT

      Das ist tatsächlich die entscheidende Frage, grind. Bei genauer und gründlicherer Betrachtung entlarvt sie das fiese Vorgehen von Google.

      Tatsächlich will Google mit diesem "Webseite-ist-unsicher"-Framing nur ihre eigenen Datenbestände vor Konkurrenten schützen. Denn einerseits ist eine als sicher markierte Webseite nicht wirklich sicher, anderseits kann Google/Chrome immer noch alles unverschlüsselt im Rohtext mitlesen, vergibt sich also nichts.

      5 Milliarden Busse. Google missbraucht seine Marktmacht und verdient kein Vertrauen!

Kriminelle versenden gefälschte Swisscom-Rechnungen per E-Mail – so erkennst du den Betrug

Eine neue Phishing-Welle grassiert seit heute Mittag in der Schweiz. Die Betrüger fälschen Swisscom-E-Mails, um an Passwörter, Kreditkartendaten etc. ihrer Opfer zu gelangen und somit das Bankkonto leerzuräumen. Das Computer Emergency Response Team des Bundes schreibt auf Twitter:

Der E-Banking-Trojaner Gozi war erstmals 2007 entdeckt worden. Er wird von Internet-Kriminellen immer wieder verändert und per Fake-Mails oder manipulierte Webseiten neu in Umlauf gebracht. Wer in die Falle tappt, …

Artikel lesen
Link to Article