Vertrauliche Daten über sichere Verbindungen abrufen und versenden

Wo immer vertauliche Daten auf Webseiten eingegeben werden sollte man dringend auf eine sichere Verbindung achten. Das gillt vor allem für Homebanking, aber auch für Soziale Netzwerke, Emails etc. Bei einer ungesicherten Verbindung kann jeder, der sich an einem Knotenpunkt zwischen Ihnen und dem Zielserver oder z.B im gleichen WLAN Netz befindet die Inhalte und Benutzerdaten mitlesen. Das standard Prokotoll zur sicheren Datenübertragung im Internet ist SSL (Secure Sockets Layer), mittlerweile weiterentwickelt unter dem Namen TLS (Transport Layer Security). Bei einer SSL-Verbindung werden die Daten verschlüsselt übertragen. Außerdem identifiziert sich der Server gegenüber dem Client durch ein von einer unabhängigen Zertifizierungsstelle ausgestelltes Zertifikat. Im Klartext heißt das, bei einer SSL-Verbindung kann niemand Ihre Daten mitlesen (Verschlüsselung) und Sie können sicher sein auch wirklich mit dem richtigen Server verbunden zu sein und nicht etwa mit einer gefälschten Seite die Ihre Daten klauen will (Zertifizierung). Die meisten Seiten auf denen sensilbe Daten eingegeben werden müsse sorgen automatisch dafür, dass der Zugriff nur über eine gesicherte Verbindung erfolgt. Leider tun das nicht alle. Ein Negativbeispiel diesbezüglich ist GMX.

Erkennen können Sie eine gesicherte Verbindung mit Firefox daran, dass in der Adresszeile des Browsers https anstatt http steht, sowie an einer blauen Einfärbung des Seitensymbols links neben der Adresszeile im Falle von normalen SSL-Zertifikaten oder einer grünen Einfarbung mit Namen der Seite bei den teureren und selteneren EV-SSL-Zertifikaten.

Verbindung über SSL:

Ein Beispiel in Bildern soll das eben Beschriebene leichter verständlich machen:

gmxhttp.gif

Das Bild zeigt die Adresse der standardmäßigen Loginseite von GMX. Da hier nur http steht, ist die Verbindung also weder verschlüsselt noch zertifiziert. So sollten Emailpasswörter und andere vertrauliche Daten niemals eingegeben werden. Fügen sie jetzt einmal ein kleines s in die Adresszeile hinter http ein und drücken Sie anschließend die Return Taste.

gmxhttps.gif

Neben der Adresszeile erscheint jetzt der Name des Zertifikatinhabers (in diesem Fall natürlich GMX) mit einem grünen Hintergrund. An diesem grünen Hintergrund können Sie erkennen, dass sich GMX sein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle signieren lassen hat. Sie sind also ganz sicher mit GMX verbunden und die Übertragung ist ab jetzt verschlüsselt. Wenn Sie mit dem Mauszeiger auf die grüne Fläche klicken, erhalten Sie nähere Informationen zur der Seite und dem Zertifikat.

gmxzert.gif

1.2 Selbst signierte Zertifkate:

Das Signieren bei einer Zertifizierungsstelle kostet Geld. Einige Anbieter signieren deshalb ihre Zertifikate selbst, was die Überprüfung der Echtheit deutlich erschwert. Firefox warnt Sie deshalb in diesem Fall.

warnung.gif

Lesen Sie diese Warnung aufmerksam und fügen Sie nicht unbedacht eine Ausnahme hinzu. Seriöse Email Provider oder Online Banken sollten eigentlich immer gültige Zertifikate haben. Wenn Sie dennoch die Identität des Anbieters prüfen wollen, und das sollten Sie bevor Sie auf einer Webseite irgendwelche vertraulichen Daten eingeben, wie z.B. Passwörter, bleibt nur folgender komplizierter Weg: Klicken Sie Ausnahme hinzufügen und anschließend auf Zertifikat herunterladen. Danach klicken Sie auf Ansehen. Darauf hin werden Ihnen alle verfügbaren Informationen zu dem Zertifikat angezeigt. Unter anderem auch die sogenannten Fingerabdrücke. Diese Fingerabdrücke sind nach einem bestimmten algorithmischen Verfahren erstellte Prüfsummen des Zertifikats. Das bedeutet, dass jede noch so kleine Änderung des Zertifikats (Fälschung) eine völlig andere Prüfsumme zur Folge hätte. Um jetzt die Echtheit des Zertifikats überprüfen zu können müssen Sie über einen anderen Kanal als das Internet z.B. per Telefon Kontakt zum Anbieter der Seite aufnehmen und sich die Fingerabdrücke des Zertifikats mitteilen lassen. Nur wenn die Fingerabdrücke die Ihnen telefonisch mitgeteilt werden mit den im Browser angezeigten identisch sind, können Sie sicher sein, auch tatsächlich mit dem richtigen Zielserver verbunden zu sein.

pruef.gif

Das ist enorm umständlich und höchstwahrscheinlich werden mindestens die ersten zwei Menschen, die Sie am Telefon haben auch nicht wissen, was Sie von ihnen wollen. Aber es ist die einzige Möglichkeit bei selbst signierten Zertifikaten die Identität des Ausstellers zu überprüfen.