Viele Internetnutzer gehen davon aus, dass allein ein grünes Schloss-Symbol und ein „https://“-Link in der Browserzeile eine Website sicher machen. Doch diese Annahme war noch nie richtig. Mittlerweile haben über die Hälfte aller Phishing-Seiten ein grünes Schloss.

Phishing ist eine Form des Online-Betrugs. Angreifer versuchen, Nutzer auf deren Website zu locken und zur Eingabe von persönlichen Daten (häufig Bankdaten) oder Passwörtern zu verleiten. Die Angriffe finden meistens per E-Mail statt und die Websiten, auf die verlinkt wird, sehen einer vertrauenswürdigen Seite (z. B. der eines Kreditinstituts oder eines Online-Shops) zum Verwechseln ähnlich. Meist kommt auch eine URL zum Einsatz, die schwer von der echten Adresse der kopierten Seite zu unterscheiden ist.

Wer sich also ausschließlich auf dieses Symbol bzw. die „https“-Kennzeichnung als Sicherheitsindikator verlässt, könnte Opfer eines Betrugs werden. Manche Browser-Hersteller überlegen deswegen gerade, das grüne Schloss auszublenden.

Die Hälfte aller Phishing-Seiten hat ein grünes Schloss

Das grüne Schloss bedeutet eigentlich, dass der Datenverkehr vom Browser zum Server über HTTPS läuft und per TLS verschlüsselt ist. Dritte können den Traffic auf dem Weg vom Nutzer zur Webseite also nicht abhören, was mittlerweile der Standard im Netz ist. Laut dem Sicherheitsforscher und Journalist Brian Krebs sind mittlerweile sogar mehr als die Hälfte aller Betrüger-Seiten über HTTPS ansprechbar und haben ein grünes Vorhängeschloss. Die Betrüger machen sich die Mühe, den Traffic zu ihren Phishing-Seiten zu verschlüsseln, da viele Nutzer nach wie vor das grüne Schloss als Indikator für die Vertrauenswürdigkeit einer Webseite sehen – ein fataler Trugschluss. Angreifer nutzen diese Verwirrung, um unbedarfte Opfer in Phishing-Fallen zu locken.

Weil das grüne Schloss von vielen Nutzern falsch verstanden wird, sind die Browser-Hersteller – allen voran Google mit Chrome und Mozilla mit Firefox – dabei, dieses Symbol ganz auszumustern. Sie gehen mehr und mehr dazu über, alle Webseiten, die Verbindungen unverschlüsselt über HTTP zulassen, als unsicher zu bezeichnen. Denn unabhängig davon, ob diese Seiten vertrauenswürdig sind oder nicht, der Datenverkehr zu ihnen könnte auf jeden Fall abgehört werden. Ob über HTTPS verschlüsselt aufgerufene Seiten das sind, was sie zu sein vorgeben (und damit als sicher bezeichnet werden können), konnte der Browser allerdings noch nie einschätzen. Somit ändert sich nur die Symbolik; Nutzer müssen nach wie vor selbst wachsam sein, um Phishing-Seiten und andere Betrugsversuche im Netz zu erkennen.

Woran erkenne ich nun eine sichere Website?

Seien Sie wachsam, wenn Sie nach personenbezogenen Daten gefragt werden. Oft kann dahinter ein „schwarzes Schaf“ stecken. In folgenden Fällen sollten bei Ihnen die Alarmglocken läuten:

  • der Internetauftritt ist in schlechtem Deutsch verfasst
  • die Website (sofern der Betreiber in der EU ansässig ist) verfügt über keine Datenschutzerklärung (seit 25. Mai 2018 Pflicht) und kein Impressum auf seiner Website
  • der Link in der Browserzeile passt überhaupt nicht zum Erscheinungsbild der Website (z. B. in der URL steht Feuerwehr-Eschenwalde.de, sie sehen aber einen Onlineshop für Bekleidung)
  • Sie werden nach persönlichen Daten wie EC-Kartennummer, Ausweisnummer etc. gefragt, nachdem Sie auf einen Link in einer E-Mail geklickt haben.
  • Sie erhalten eine E-Mail, in der Sie um die Aktualisierung Ihrer Daten gebeten werden z. B. Passwortänderung
  • Bei einem Online-Shop werden ausschließlich Zahlungen mittels Kreditkarte akzeptiert
  • Stark reduzierte Preise (sodass es schon unglaubwürdig erscheint)

Quelle: heise.de