Die Welt der Cybersicherheit ist voll von Akronymen. Sie mögen beängstigend wirken, aber das sollten sie nicht sein. Besonders nicht HTTPS, denn es ist das Gegenteil von beängstigend – es schützt deinen Online-Datenverkehr vor Schnüfflern. Du bist dir dessen vielleicht nicht bewusst, aber zweifellos benutzt du es jeden Tag. Lies weiter, um mehr über HTTPS zu erfahren.
Was ist HTTPS?
Hypertext Transfer Protocol Secure (HTTPS) ist ein Anwendungsprotokoll, das Datenpakete zwischen einem Browser und Website-Servern überträgt. Einfach ausgedrückt: HTTPS hilft dir dabei, Google-Ergebnisse zu erhalten, Social-Media-Seiten zu laden oder Filme zu streamen. HTTPS ist eine sicherere Version von HTTP, dem Protokoll, das ursprünglich für das World Wide Web entwickelt wurde.
Der über HTTPS laufende Datenverkehr wird verschlüsselt. Websites, denen die Sicherheit ihrer Besucher wirklich am Herzen liegt (wie Banken, Online-Shops und NordPass), verwenden daher meist eine HTTPS-Verbindung.
Es ist leicht zu erkennen, welche Websites sicher sind. Schau dir einfach die Adressleiste an. Wenn die Verbindung sicher ist, solltest du neben der Webadresse „https://“ und ein grünes Vorhängeschloss-Symbol oder eines der beiden Symbole sehen. Einige beliebte Webbrowser benachrichtigen dich, wenn du versuchst, auf eine HTTP-Website zuzugreifen, andere hingegen zeigen ein kaputtes rotes Vorhängeschloss oder den Schriftzug „Nicht sicher“ neben der URL an.
HTTP vs. HTTPS
Was ist also der Hauptunterschied zwischen HTTP und HTTPS? Nun, beide Protokolle dienen der gleichen Funktion – sie ermöglichen die Kommunikation zwischen deinen Geräten (auch Clients genannt) und Servern.
Aber warum ist HTTP wichtig? Warum braucht das Internet (und du) es?
- Sicherheit. Daten, die per HTTP übertragen werden, werden als Klartext gesendet, während über HTTPS übertragene Informationen als verschlüsselter Text dargestellt werden. Ihr Internetdienstanbieter (IDA), Regierungen oder andere Akteure, die Datenspionage betreiben, sind deshalb nicht in der Lage, Ihr Internetverhalten nachzuvollziehen. Zudem sind Sie weniger anfällig für Man-in-the-Middle-Angriffe. Das bedeutet, dass niemand Ihren Datenverkehr abfangen und Ihre Passwörter entschlüsseln kann, wenn Sie bei Ihrem Bankkonto angemeldet sind.
- Authentifizierung. Websites mit HTTPS-Protokoll müssen ein sogenanntes TLS/SSL-Zertifikat erwerben, das sie als legitime Website ausweist. Wenn Sie also eine Verbindung zu einer Website mit HTTPS-Protokoll herstellen, werden Sie sicher mit dem richtigen Webserver verbunden. Allerdings können solche Websites leicht gefälscht werden, um Sie an eine andere Website weiterzuleiten. Dabei kann es sich beispielsweise um eine Website handeln, die beim Öffnen auf Ihrem Computer ein Virus installiert.
- Weniger Tracking, Werbung und Schadsoftware. Websites mit HTTP-Protokoll können von IDA oder böswilligen Akteuren ohne Zustimmung des Website-Eigentümers geändert werden. Diese Akteure können Werbeanzeigen oder andere Inhalte einfügen, um Ihr Internetverhalten nachzuverfolgen, oder mit Schadsoftware Ihr System beschädigen.
Wie funktioniert HTTPS?
HTTPS überträgt Datenpakete zwischen dem Client (d.h. deinem Handy, das die Website aufruft) und einem Server, Rechner oder einer Anwendung. Dabei verschlüsselt es deinen Datenverkehr mit asymmetrischer Kryptografie.
Um eine sichere Verbindung herzustellen, müssen du und der Server öffentliche und private Schlüssel austauschen. Einfach ausgedrückt, handelt es sich dabei um eine Reihe von Algorithmen, die für die Verschlüsselung notwendig sind. Der öffentliche Schlüssel wird mit der anderen Partei geteilt und wird benötigt, um dir verschlüsselte Nachrichten zu senden, während der private Schlüssel zum Entschlüsseln dieser Nachrichten verwendet wird und immer privat bleiben sollte.
Doch wie funktioniert das in der Praxis? Durch einen SSL/TLS-Handshake.
Du sendest eine „Hallo“-Anfrage an einen Webserver, mit dem du kommunizieren möchtest.
Der Server antwortet dir mit „Hallo“. Er schickt dir ein TLS/SSL-Zertifikat zusammen mit seinem öffentlichen Schlüssel. Jetzt weißt du, dass die Website seriös ist, und du kannst eine Verbindung herstellen.
Dann verwendest du den öffentlichen Schlüssel des Webservers, um deinen öffentlichen Schlüssel zu verschlüsseln, und schickst ihn wieder zurück an den Server.
Der Server entschlüsselt deinen Schlüssel. Du kannst nun Sitzungsschlüssel erstellen, die für die verschlüsselte Kommunikation verwendet werden.
Sobald die Sitzungsschlüssel ausgetauscht sind, wird deine Verbindung verschlüsselt.
Letzter Ratschlag
Herzlichen Glückwunsch, du weißt jetzt, was HTTPS ist, wie es dich online schützt und wie du eine HTTPS-Website erkennen kannst. Es gehört zu den besten Praktiken, um deine Sicherheit im Internet zu gewährleisten, indem du dich vergewisserst, dass du eine sichere Website besuchst. Man weiß ja nie: Vielleicht ist es das Einzige, was zwischen dir und einem Hacker steht!