Betreiber und Kunden wiegen sich in völlig unbegründeter Sicherheit bezüglich HTTPS, aber HTTPS kann keine der oft übersehenen Risiken beheben.
- Sicherheitsexperten sind auch immer wieder erstaunt darüber, dass Menschen - vor allem die leichtgläubigen Deutschen - etwas für sicher halten, nur weil es kompliziert ist und sie es nicht verstehen. Ganz im Gegenteil ist Komplexität ein Risiko, das fast zwangsläufig zu Fehlern führt.
- Das Verhalten mancher Browser-Hersteller, alles, das irgendwie mit HTTPS in Verbindung steht, pauschal als
sicher
zu deklarieren, ist nicht nur ungerechtfertigt, sondern geradezu skandalös irreführend. Man darf gespannt sein, bis es hierzu die ersten Prozesse mit Schadenersatzforderungen gibt. - Die grob fahrlässig im Browser verwendete Farbe Grün für HTTPS sagt somit nicht in Analogie zur Ampel aus, dass man gefahrlos über die Straße gehen kann und blind allem vertrauen darf.
- Kontaktformulare mit HTTPS klingen so vertrauenerweckend. Leider wird jedoch dahinter mit einem - zudem oft schlampig programmierten (= für Hacks anfälligen) - PHP-Script sowieso nur eine unverschlüsselte E-Mail daraus an den Betreiber / Händler generiert. Das ist reine Augenwischerei.
- Kaum hochwertiger ist es, wenn alles in einer Datenbank abgespeichert wird, die dann jedoch eher mäßig geschützt ist. Das betrifft selbst Großkonzerne wie Sony, die regelmäßig Opfer von Angriffen mit Verlust von Millionen Kundendaten werden.
- Und selbst der berechtigte Zugriff der Mitarbeiter auf die sicheren Datenbanken erfolgt oft ungeschützt über das offene Internet. D.h. die Daten werden wieder in Klarschrift vom Server an den Sachbearbeiter geliefert.
- Unter Sicherheitsaspekten ganz unglücklich ist es, wenn die verschlüsselte Bestellung dann anschließend per ungeschützter E-Mail vom Händler bestätigt wird. Schauen Sie einmal bei Bestellungen auf Amazon (auch Marketplace), ebay oder anderen Shops nach. Da trifft Sie der Schlag.
- Selbst die meisten Passwörter werden unverschlüsselt (also per offener E-Mail) übertragen. Hinzu kommt, dass man bei den meisten Systemen dies sogar als Fremder von außen ganz einfach steuern kann, indem man die E-Mail-Adresse in ein Formular beim Anbieter eintippt und sich das Passwort zusenden lässt. Es wird zwar an den korrekten Adressaten versandt, aber eben offen und damit leicht lesbar.
- Betrachten Sie nur einmal die Telefonrechnung / Internet-Rechnung Ihres Netzanbieters. Diese wird i.d.R. als ungeschütztes PDF in Klarschrift verschickt. Da steht so ziemlich alles drin, was Sie jemals in ein Kontaktformular tippen würden.
- Auch wenn alles perfekt ist: Der Internet-Auftritt ist mit HTTPS geschützt, das Kontaktformular sendet nur mittels neuestem TLS an das Ziel, die E-Mail-Abruf aus dem Postfach wird nur mit HTTPS / TLS abgerufen, so wird dennoch alles zerstört, wenn die Firma anschließend alle Inhalte der Anfrage (Ihren Name, Adresse etc. inklusive der Details der Anfrage) in der Antwort-E-Mail an den Kunden wieder unten hinschreibt, wie es bei den meisten E-Mail-Programmen üblich ist. Denn diese Antwort-E-Mail wird öffentlich an Sie verschickt. So geschieht es mir regelmäßig bei Anfragen an fast alle Firmen und Krankenkassen, Behörden und Organisationen. D.h. alles ist dennoch für Dritte einsehbar.
- Daraus folgt, dass ein System nur so sicher ist, wie das schwächstes Glied in der gesamten Kette. Da die normale E-Mail über das Internet jedoch ungeschützt ist und bleibt, muss man hier größte Sorgfalt anwenden. Ansonsten sind alle Sicherheitsmaßnahmen davor sinnlos.
- HTTPS verhindert weder einen Virenbefall des Anbieter-Servers noch eine Virenübertragung an den Nutzer. Immer wieder sind auch mit HTTPS geschützte Internet-Auftritte komplett virenverseucht.
- Es finden sich glaubhafte Berichte, dass manche Viren, welche über manche HTTPS-Versionen verschlüsselt übertragen werden, von manchen Antivirenprogrammen kaum resp. zu spät erkannt werden.
- Im Klartext: HTTPS ist nur sinnvoll, wenn alle anderen (wirklich sämtliche) Kommunikationswege ebenfalls komplett verschlüsselt sind. Das sind sie jedoch selten. Vor allem E-Mail ist fast nie mit PGP sicher verschlüsselt. Das ist den meisten Menschen nämlich zu aufwändig.
- Jeder Nutzer muss inzwischen sogar noch vorsichtiger sein und wirklich alles kontrollieren. Entweder ist die TLD (also die gemeinhin als Ländercode bekannte Endung) anders oder irgendetwas im Domainnamen. Da reicht es bereits aus, wenn auch nur 1 einziger Buchstabe anders ist oder ein Bindestrich eingefügt wurde oder fehlt. Hinzu kommt, dass seit der Erlaubnis der vielen Fremdsprachen im Internet Zeichen existieren, die unseren lateinischen Buchstaben täuschend ähnlich sehen, aber eine andere Adresse darstellen.
Festzuhalten bleibt, dass man das völlig unsichere Gesamtsystem Internet nicht einfach dadurch sicher machen kann, indem man oben drauf oder irgendwie daran ein sicheres Modul (SSL / TLS / HTTPS) befestigt.
Fazit
- Es finden sich unterschiedliche Standards bei HTTPS, die heute noch alle nebeneinander her existieren, die jedoch alle einen anderen Sicherheitsstandard bieten.
- Es finden sich zahlreiche zulässige Möglichkeiten, HTTPS anwenderseitig korrekt zu installieren, die jedoch alle einen anderen Sicherheitsstandard bieten.
- Es finden sich fast unendlich viele Möglichkeiten, HTTPS anwenderseitig falsch zu installieren, die alle irgendwie dennoch funktionieren, aber einen sehr geringen bis keinen Sicherheitsstandard bieten und im Extremfall sogar gefährlicher sind als reines HTTP ohne S.
- Als Nutzer (Browser-Bediener) und weitgehender technischer Laie stehen Ihnen kaum Möglichkeiten zur Verfügung, die meisten der obigen Abweichungen auch nur zu erkennen, geschweige denn deren Gefahren zu umgehen oder gar zu beseitigen.
- Die Befürworter bezeichnen alles im Zusammenhang mit HTTPS als sicher, das bisehr noch nicht veröffentlicht und von mehreren nachgeprüft als geknackt erwiesen ist. Das ist eine sehr kühne Sichtweise. Vor allem, wenn man weiß, dass die Sicherheitsdienste seit Jahrzehnten alles daran setzen, jede vorhandene Verschlüsselung zu dekodieren, und wenn man in Betracht zieht, dass alle bisherigen Verschlüsselungsverfahren binnen weniger Jahre nachweislich entschlüsselt wurden.
- Letztendlich ist das Verschlüsseln und Entschlüsseln ein Hase- und Igel-Spiel. Angesichts der völlig unausgewogenen Kräfteverhältnisse fragt sich allerdings, wer hier der Hase und wer der Igel ist?