Es ist wohl jedem schon passiert: Von der Bank erhält man eine Mail mit der Mitteilung, die Kreditkarte sei gesperrt worden. Für die Aufhebung soll man sich auf der verlinkten Webseite einloggen. Doch stammt diese Nachricht wirklich von der Bank? Manchmal sind solche Phishing-Versuche so stümperhaft gemacht, dass sie jeder halbwegs intelligente Mensch sofort durchschaut: Orthographische und grammatikalische Fehler machen den Betrug offensichtlich. Nicht selten schauen die Logos und die graphische Gestaltung aber täuschend echt aus und die Adresse in der Domain-Zeile entspricht derjenigen der vertrauten Bank. Wie also soll man sich verhalten? Abgesehen davon, dass wohl kaum eine seriöse Bank entsprechende Mitteilungen per Mail verschickt, gibt es einige Hinweise, wie man eine vertrauenswürdige Webseite erkennen kann. Einen ersten Unterschied macht der kleine Buchstabe s, der für secure steht: Die Kombination https:// (Hypertext Transfer Protocol Secure) vor der Adresse, ergänzt durch ein kleines Schloss-Signet, garantiert eine verschlüsselte Verbindung mit dem Server. Die Zeichen lassen darauf schliessen, dass die Seite über ein sogenanntes SSL-Zertifikat verfügt – anders als jene, die lediglich ein http vor der Adresse führen. Dennoch sollte man sich dabei nicht in falscher Sicherheit wiegen. Ein einfaches SSL-Zertifikat gewährleiste lediglich, dass zwischen User und Betreiber niemand zwischengeschaltet ist und die Daten verändern kann, erklärt Bernhard Tellenbach vom ZHAW-Institut für Angewandte Informationstechnologie. „Wer aber hinter der Webseite steckt und was die Person mit den Daten anstellt, ist damit noch lange nicht geklärt“, betont der Informatik-Dozent. Denn die Zertifizierungsstellen prüfen lediglich, ob der Antragsteller die Hoheit über die Domäne hat, indem sie zum Beispiel verlangen, dass er eine Information darauf platziert. Mehrere Stellen bieten solche Zertifikate kostenlos an und die Installation dauert meist nur wenige Minuten.

Mehr Sicherheit gewährleisten sogenannte Extended-Validation-Zertifikate. Diese erkennt man daran, dass hinter dem Schlösschen zusätzlich der Name der Firma oder Person angezeigt wird, welche das Zertifikat beantragt hat. Die Angabe garantiert, dass hinter der Webseite eine reale juristische Person steckt, die berechtigt ist, ein Zertifikat einzuholen. Die meisten Browser lassen rund 150 verschiedene Zertifizierungs-Agenturen zu. Viele davon sind staatlicher Natur.

Über ein Extended-Validation-Zertifikat verfügen vor allem Organisationen mit erhöhten Anforderungen an die Sicherheit. Dies ist zum Beispiel der Fall, wenn es um Geld-Transfers, persönliche Daten oder sonstige vertrauliche Informationen geht. Andere Webseiten-Inhaber sparen sich häufig die Kosten dafür. Denn auch ein erweitertes Zertifikat sagt noch nichts über die Vertrauenswürdigkeit der dahinterstehenden Person aus. Bekannte Firmen und Organisationen können in diesem Punkt auf ihre Reputation setzen.

Auch heute noch sind aber viele Seiten in keiner Art und Weise zertifiziert. So etwa vertrauenswürdige Anbieter wie die offizielle Wetterseite des Bundes MeteoSchweiz oder das Newsportal von „20 Minuten“. Sie führen lediglich das http vor der Domainadresse auf. Bernhard Tellenbach findet dies bedenklich: „In einem öffentlichen WLAN könnte jemand die Daten manipulieren.“ So ist es etwa den ZHAW-Informatikern gelungen, einer Versuchsperson beim Aufrufen von 20min.ch einen falschen Artikel unterzujubeln, indem sie diesen passend in den Datenstrom zwischen Portal und User einfügten. Dennoch müssten gewöhnliche Leute nicht übermässig Angst haben vor Datenraub oder bösartiger Software, relativiert der Sicherheitsexperte. Mit wenigen einfachen Regeln könne man das Risiko minimieren: Auf ungesicherten Webseiten keine Daten eingeben oder Programme herunterladen. Bei SSL-gesicherten Seiten dies nur tun, wenn man den Betreiber kennt und ihm vertraut.

Lange galten Passwörter als sicher, die möglichst kompliziert sind. Neben Gross- und Kleinbuchstaben fordern die meisten Webseiten-Betreiber auch Zahlen und Sonderzeichen. So auch die ZHAW, welche sich an den Vorgaben des Kantons orientiert. Diese sind aber nicht zielführend. Die Sicherheit hängt nicht von der Komplexität des Passwortes ab, sondern in erster Linie von dessen Länge. Denn Hacker arbeiten heutzutage mit Programmen, welche bei weniger als zehn Zeichen sämtliche Kombinationen durchprobieren können. Während ein einzelner Rechner für ein sechsstelliges Konstrukt gut vier Tage braucht, würde es bei elf Zeichen bereits 29 Millionen Jahre dauern. Mit einem einfachen Satz von 20 oder mehr Zeichen fährt man deshalb besser als mit den üblichen kurzen, komplizierten Passwörtern. Wichtig ist aber, dass man dabei selber eine Wortfolge kreiert und etwas Ausgefallenes wählt – und nicht etwa ein bekanntes Filmzitat oder eine Songzeile. Denn Hacker verfügen auch über Listen mit mehreren Millionen Beispielen von häufig verwendeten Sätzen.

Autorin: Andrea Söldi