Wer eine eigene Website betreibt – etwa einen Blog, einen Onlineshop oder einfach ein Webangebot -, der muss heute einen verschlüsselten Zugang anbieten. Anderenfalls warnen moderne Browser Besucher schon mal davor, die Webseite überhaupt aufzurufen. Dafür ist ein SSL-Zerfikat nötig. Nicht alle Hosting-Anbieter machen so etwas komfortabel zugänglich.
Wer in öffentlichen WLANs und in Zeiten von CRACK und anderen Hacks sicher bleiben will, sollte ausschließlich per SSL surfen. Nur: Welche Seite unterstützt HTTPS und kann über eine sichere Verbindung aufgerufen werden? Dabei hilft Smart HTTPS.
Das ist ein kostenloses Add-On für den beliebten Firefox-Browser. Im Gegensatz zur weiter verbreiteten Erweiterung HTTPS Everywhere ist Smart HTTPS wirklich intelligent. Denn dieses Add-On lernt automatisch dazu und speichert die Einstellungen für bereits besuchte Pages.
Beim ersten Besuch einer Webseite versucht Smart HTTPS, eine sichere und verschlüsselte Version der angesteuerten Adresse aufzurufen. Klappt dies, wird diese SSL-Seit zukünftig sofort geladen. Gibt es keine SSL-Version, wird auch dies in den Optionen gespeichert. So wrden lange Wartezeiten beim Testen auf eine HTTPS-Variante besuchter Seiten vermieden.
https://addons.mozilla.org/de/firefox/addon/smart-https-revived/
Am 7. Februar 2017 ist Safer Internet Day: Wer im Internet unterwegs ist, will, dass die eigenen Daten geschützt und die Privatsphäre gewahrt bleibt. Verschlüsselung spielt da eine wichtige Rolle. Mit einem nützlichen Add-On lässt sich das Surfen im Web besser absichern.
Die Erweiterung heißt HTTPS Everywhere und lässt sich in Firefox, Chrome und im Opera-Browser nutzen. Sie sorgt dafür, dass beim Besuch einer nicht verschlüsselten Webseite automatisch gecheckt wird, ob eine HTTPS-Version verfügbar ist. Falls ja, erfolgt eine sofortige Weiterleitung dorthin.
HTTPS Everywhere macht das, was die Anbieter selbst tun sollten. Denn heute spielt es eine große Rolle, ob man sich im Web sicher fühlen kann oder nicht – besonders, wenn man in öffentlichen WLANs unterwegs ist.
https://www.eff.org/Https-everywhere
Auch im Internet lässt sich sicher surfen. Aber nur über HTTPS-Websites. Ob die Verbindung wirklich sicher ist, verrät ein Blick aufs Zertifikat. Da steht zum Beispiel drin, wer es an wen ausgestellt hat. Oder, wie lange es gilt.
Details zu SSL-Zertifikaten kann man mit jedem Browser anzeigen lassen. Meist klickt man dazu oben auf das Schloss-Symbol. Dann auf Details oder Zertifikat einblenden klicken. Schon wird der Browser richtig gesprächig – und verrät allerlei Daten über die Website.
Bei der Google-Website sieht das zum Beispiel so aus:
Nicht alle Links sind sicher. Damit man nicht bei jedem Link manuell einen Blick in die Statusleiste des Browsers werfen muss, gibt’s jetzt ein kostenloses Firefox-Add-On. Es markiert HTTPS-Links, die auf verschlüsselte Seiten führen, mit einer entsprechenden Umrandung.
Nach der Installation von Secure or Not, die einen Neustart des Firefox-Browsers einschließt, klickt man mit der rechten Maustaste auf eine freie Stelle der aktuell geladenen Website und wählt aus dem Kontextmenü den Eintrag „Secure or Not“.
Schon werden alle Links, die mit https beginnen, grün eingerahmt, wie im Bild zu sehen.
Zu den praktischsten Kommandos an einem Linux- und Mac-Computer zählt der Befehl „curl“, mit denen sich Web-Anfragen jeder Art an Webserver senden lassen. In Windows ist dieser Befehl normalerweise nicht verfügbar. Man kann ihn allerdings nachinstallieren.
Einige Entwicklertools installieren den curl-Befehl automatisch. Ob er auf dem eigenen Computer eingerichtet ist, findet man heraus, indem zunächst gleichzeitig [Win]+[R] gedrückt, dann cmd eingetippt und auf „OK“ geklickt wird. In der Eingabeaufforderung dann einfach curl [Enter] eintippen.
Sieht man dann nur eine Fehlermeldung, kann man curl von der Website https://www.confusedbycode.com/curl/ gratis herunterladen. Nach dem Download wird der MSI-Installer per Doppelklick gestartet und richtet dann curl systemweit als Befehl ein.
Immer mehr Menschen speichern ihre Dokumente, Fotos und Musik nicht mehr lokal auf der Festplatte. Heute verhilft Onlinespeicher in der Cloud zu mehr Speicherplatz, den man immer gut gebrauchen kann. Aber – sind Ihre Daten in der Datenwolke auch wirklich sicher?
Wie definiert man Datensicherheit überhaupt? Genügt es, wenn der Zugriff auf Ihre Daten per Kennwort gesichert ist, oder sollten die Daten komplett verschlüsselt gespeichert werden? Hier einige Gesichtspunkte:
Kennwörter lassen sich hacken. Das heißt nicht, alle Kennwörter seien generell unsicher. Sie sind aber anfällig für Angriffe per Wörterbuch oder per Durchprobieren aller Buchstaben-Kombinationen. Bietet Ihr Onlinespeicher-Dienst nur den Schutz per Kennwort, wählen Sie unbedingt ein Kennwort, das in keinem Wörterbuch zu finden ist, und ändern Sie es häufig.
Daten können beim Hoch- oder Herunterladen abgegriffen werden. Zum Glück verschlüsseln die meisten Speicherdienste Ihre Daten beim Transfer, sodass sie nicht gelesen werden können. Achten Sie daher auf das HTTPS-Protokoll in Ihrem Browser, wenn Sie auf die Webseite des Clouddienstes zugreifen.
Die Schwachstelle ist der Mensch. Geben Sie Ihr Kennwort also niemandem, selbst wenn er vorgibt, vom technischen Kundendienst zu sein. Hacker versuchen oft, Vertrauen zum Opfer aufzubauen, sodass der Kunde seine privaten Zugangsdaten freiwillig herausrückt. Echte Support-Mitarbeiter fragen Sie sicher nicht nach Ihrem Kennwort oder sonstigen Zugangsdaten.
Hacker wollen die meisten Informationen für wenig Aufwand. Das heißt, Angriffe werden meist gegen das Rechenzentrum der Onlinefestplatte geführt und weniger gegen einzelne Nutzer. Finden Sie also einen Clouddienst, der dafür bekannt ist, die Accounts und Daten seiner Kunden aktiv zu schützen.
Ihre Daten sind nicht immer immun gegen Durchsuchung und Sichtung durch Regierungen und deren Nachrichtendienste. Zum Beispiel kann in den USA jede Cloudspeicher-Firma einen Durchsuchungsbefehl erhalten und muss die Kundendaten dann zur Durchsuchung herausrücken. Der Kunde darf darüber nicht einmal informiert werden.
Normalerweise gelten Datenverbindungen, die per SSL verschlüsselt werden, als ausgesprochen sicher. Sender und Empfänger tauschen ihre Daten verschlüsselt aus. Abhören unmöglich, so das Konzept. Doch jetzt das: Experten haben ein erhebliches Sicherheitsleck in OpenSSL entdeckt. Hacker können über das Sicherheitsleck in Computer einbrechen und dort nicht nur die Schlüssel stehlen, sondern auch Daten aus dem Speicher auslesen. Benutzernamen, Passwörter, Kreditkartendaten, sensible Daten – alles, was man aus gutem Grund verschlüsselt, steht den Cyberdieben dann im Klartext zur Verfügung.
Ein absoluter GAU, denn OpenSSL wird nahezu überall eingesetzt. Web-Server, Datenbanken, E-Mail-Programme, Bank-Software: Viele Programme verwenden OpenSSL, um sichere Datenverbindungen zu ermöglichen. Es gibt zwar Alternativen, aber OpenSSL ist besonders beliebt, weil eigentlich sehr stabil, verlässlich und OpenSource, also kostenlos verfügbar.
Betroffen ist ausnahmslos jeder, der das Internet nutzt. Denn OpenSSL kommt ständig zum Einsatz: Beim Login, beim Übertragen sensibler Daten, bei der Fernsteuerung eines anderen Rechners – OpenSSL ist garantiert im Einsatz. Egal, ob man mit PC, Tablet, Smartphone oder Smart-TV online geht.
Das Sicherheitsproblem ist längst gestopft. Jetzt muss aber überall, wo OpenSSL verwendet wird, das Update eingespielt werden, in jeder einzelnen Software. Das kann dauern, bis das Sicherheitsleck überall gestopft ist. Selbst prominente Seiten hatten das Sicherheitsproblem, und nicht alle haben schnell reagiert und das Leck gestopft.
Internetbenutzer müssen in den nächsten Tagen auch ihre Software aktualisieren, etwa Betriebssystem, Browser, E-Mail-Software oder Banking-Programme. Auch Smartphones werden aktualisiert werden müssen. Da kommt was auf die Benutzer zu. Außerdem sollte man die Passwörter der wichtigsten Onlinekonten erneuern.
