In diesem Artikel widmen wir uns einem Thema, welches 2014 bereits von Google angekündigt wurde und 2017 insbesondere für Website-Betreiber ganz nach oben auf die Agenda gehören sollte: Sicherheit bzw. Verschlüsselung der eigenen Internetpräsenz. Das Motto lautet: Wer künftig nicht verschlüsselt, bekommt Googles Zorn zu spüren. Dieses Thema ist nicht ganz trivial. Aber wir wären nicht ANTWORT:INTERNET, wenn wir nicht alles daran setzen würden, es für jeden verständlich aufzubereiten. Und aus diesem Grund beginnen wir mit einer ziemlich verrückten Geschichte …

Willkommen in Sicherheit

Stellen Sie sich vor, es gäbe ein Unternehmen, welches alle Immobilien in unserem Land, Häuser, Wohnungen, Büros und Geschäfte sicherer machen will. Klingt so weit nicht verkehrt. Aber jetzt stellen Sie sich weiter vor, dieses Unternehmen fordert die Menschen dazu auf, spezielle Schlösser und Riegel an Türen und Fenstern zu installieren, um Einbrüche zumindest zu erschweren (denn einen Einbruch verhindern kann auch dieser Schließmechanismus nicht). Niemand würde zu dieser Installation gezwungen, aber wer sich weigert, hätte mit unschönen Konsequenzen zu rechnen: Das besagte Unternehmen würde nämlich in diesen Fällen dafür sorgen, dass an jedem Objekt, das nicht entsprechend abgesichert ist, Schilder mit der Aufschrift „Dieses Objekt ist nicht sicher“ angebracht werden. Hätten Sie gern so ein Schild an Ihren Türen und Fenstern? Wohl eher nicht. Und zu allem Überfluss wäre es auch noch unmöglich, diese Schilder abzumontieren. Der einzige Ausweg bestünde darin, sich doch noch nachträglich dieses vermaledeite Sicherheitsschloss einbauen zu lassen.

HTTPS und SSL – Googles neues Steckenpferd

OK, Entwarnung. Die eingangs erzählte Geschichte haben wir uns nur ausgedacht. Wir haben auch keine geheimen Quellen, die uns darüber informiert hätten, dass ein solches Unternehmen demnächst gegründet wird und alle Immobilien auf ihren Sicherheitszustand überprüft. Zumindest nicht in der realen Welt. Im Internet jedoch stehen wir kurz davor. Oder besser gesagt, wir sind eigentlich schon mitten drin. Und Hauptdarsteller in dieser Security-Show ist Google. Das US-Unternehmen mit dem Kerngeschäft “Suchmaschine” betreibt u.a. einen Internetbrowser namens “Chrome” mit einem weltweiten Marktanteil von rund 60%. Mehr als die Hälfte der Leser dieses Artikels dürften in diesem Moment also gerade mit Chrome im Netz unterwegs sein. Google hat angekündigt, mit Websites künftig das zu tun, was unser oben beschriebenes, fiktives Unternehmen mit Immobilien getan hat.

Wer als Website-Betreiber keine speziellen Sicherheitsvorkehrungen trifft, wird künftig deutliche Konsequenzen zu spüren bekommen. Mit Sicherheitsvorkehrungen ist übrigens die Verwendung eines Sicherheitszertifikats für Internetseiten, eines sog. SSL-Zertifikats, gemeint. Ein SSL-Zertifikat wird für eine bestimmte Website bzw. Domain ausgestellt und dient zum einen dazu, nachzuweisen, dass der Website-Betreiber tatsächlich der ist, als der er sich ausgibt. Zum anderen sorgt das Zertifikat dafür, dass der Datenaustausch zwischen dem Nutzer und der Website (oder umgekehrt) verschlüsselt stattfindet. Das ist insbesondere dann wichtig, wenn sensible Daten wie Passwörter, Kreditkarten- oder Bankdaten übertragen werden. Würde dies unverschlüsselt stattfinden, wäre es für Datendiebe relativ einfach, die entsprechenden Informationen während der Übertragung abzufischen und zu eigenen Zwecken zu nutzen. Von daher muss man sagen, dass diese SSL-Zertifizierung ihre Berechtigung hat, wenn es einen Datenaustausch zwischen Benutzer und Website gibt. Und daher ist es bisher auch üblich, dass insbesondere z.B. Shops, Bezahl- und Bankingseiten, Webmail-Programme und sonstige Formulareingaben SSL-verschlüsselt werden. Man erkennt entsprechend abgesicherte Websites übrigens daran, dass oben im Browser die Internetadresse mit https:// anstelle von nur http:// beginnt. Bisher wird der Nutzer zudem auch optisch darauf aufmerksam gemacht, wenn ein entsprechendes Zertifikat aktiv ist. Je nach Browser z.B. durch einen entsprechenden Texthinweis (“sicher”) und/oder durch grüne Farbgebung der Adressleiste. Unverschlüsselte Seiten werden bisher neutral dargestellt.

Ihr seid doch alle unsicher!

Google will aber mehr und setzt einen immer stärkeren Fokus auf die Verschlüsselung. Ungesicherte Websites sollen pauschal sanktioniert werden, ganz egal, ob eine Verschlüsselung überhaupt notwendig ist oder nicht. Das bedeutet, dass auch von einer einfachen Webvisitenkarte, bei der der Nutzer gar keine Eingabe von Daten vornehmen kann, zukünftig eine Verschlüsselung erwartet wird. Die erste Daumenschraube setzt Google wie immer dort an, wo es dem Websitebetreiber i.d.R. am meisten schmerzt, beim stets hart umkämpften Google-Ranking, also jenem heiligen Gral, der darüber entscheidet, an welcher Stelle bei den Suchergebnissen eine Website auftaucht.

Das Fachmagazin t3n berichtete im September 2016: “ (…) Es heißt, dass SSL-Websites in Zukunft in den Suchergebnissen bevorzugt behandelt werden sollen, was Websitebetreiber dazu zwingt, ihre Seiten mit den entsprechenden Protokollen zu versehen. Wann Google den Schalter aber umlegt, ist nicht bekannt.” (Quelle: http://t3n.de). Bekannt ist mittlerweile jedoch: Google beginnt bereits damit, Nutzer von Chrome an seine künftige Vorgehensweise zu gewöhnen. Demnach werden Chrome-Nutzer künftig sehr deutlich darauf hingewiesen, wenn sie sich auf einer Website befinden, die unverschlüsselt ist. Dieses Browser-Verhalten läßt sich bereits mit der aktuellen Chrome-Version (Version 55.0, Stand Januar 2017) testen. Dazu ist lediglich eine kleine Änderung an der Browser-Konfiguration notwendig. Für die, die es gern mal testen wollen, haben wir am Ende dieses Artikels eine kleine Anleitung vorbereitet.

Irgendwie verstörend

Ich surfe jetzt seit einiger Zeit mit dieser neuen Browser-Konfiguration, um mal ein Gefühl dafür zu bekommen, wie sich das künftig für die Allgemeinheit anfühlen wird. Ich muss sagen, es irritiert, verstört und verunsichert mich immer wieder aufs Neue, wenn mir selbst bei Websites etablierter und vertrauenswürdiger Seiten groß und breit der Hinweis “NICHT SICHER” ins Auge springt. FAZ, Mercedes, BMW. Hilfe! Alles ist auf einmal unsicher! Selbst der Autohersteller VOLVO, mit dem ich seit meiner Kindheit das Attribut Sicherheit verbinde, NICHT SICHER!

Was ich zu diesem Test fairerweise noch erwähnen muss: Die oben genannten unsicheren Beispiele zeigen jeweils die Startseite des Unternehmens. Navigiert man von dort zu einer Unterseite, auf der man tatsächlich Dateneingaben vornehmen kann, schalten auch diese Seiten meist in einen verschlüsselten Modus und alles ist gut. Doch ich denke, der erste Eindruck zählt, und hier wird dann auch die zweite Daumenschraube sichtbar, die Google bei den Website-Betreibern ansetzt. Wer nämlich künftig nicht verschlüsselt, der hinterlässt bei seinen Besuchern einen unsicheren, vielleicht sogar dubiosen Eindruck. Stellen Sie sich vor, Sie präsentieren Ihr Unternehmen im Internet und Ihre Besucher werden mit dem Hinweis “NICHT SICHER” konfrontiert. Man muss kein Psychologe sein, um sich vorstellen zu können, dass das irgendwie im Kopf des Betrachters hängen bleibt: Die Firma Blabla GmbH -NICHT SICHER! Da kaufe ich lieber nicht. Firma Blubblubb AG – UNSICHER!. Boah, die wollen bestimmte meine Daten klauen. Firma Lalala GbR -NICHT SICHER! Ui, nee! Lieber mal schauen, ob der Mitbewerber seriöser ist. Ich würde also mal davon ausgehen, dass Google über kurz oder lang sein Ziel erreichen und etliche Webseiten-Betreiber dazu bringen wird, ihre Domains per SSL zu verschlüsseln, selbst wenn es eigentlich nichts zu verschlüsseln gibt.

Gerne würde ich noch thematisieren, was Googles Beweggründe sind, diese “Sicherheitspolitik” so flächendeckend voranzutreiben, aber das würde den Rahmen dieses Artikels sprengen. Heben wir uns das also für ein anderes Mal auf.

Nicht verzagen. Nach SSL fragen?

Als Internetagentur haben wir leider keinen Einfluss auf Googles Politik. Das ist schade, aber wir müssen die Dinge so nehmen, wie sie sind, und werden unsere Kunden optimal beraten und sie bei der Umsetzung notwendiger Maßnahmen unterstützen. Mit diesem Artikel wollten wir Sie auf Googles Vorgehen hinweisen. Gerne werden wir uns Ihre persönliche Situation anschauen und dann gemeinsam entscheiden, wie Sie am besten vorgehen. Vielleicht haben Sie ja schon längst ein SSL-Zertifikat? In diesem Fall freuen und entspannen Sie sich. Haben Sie noch kein SSL oder sind sie unsicher, ob Sie so etwas haben, dann wenden Sie sich vertrauensvoll an unser Team, damit wir mit Ihnen über die mögliche Integration einer SSL-Verschlüsselung für Ihre Website sprechen können.

Anleitung zum Chrome-Selbstest

Unseren Selbstversuch machen wir mit Chrome unter der aktuellen Version Version 55.0. (Betriebssystem Mac OS 10.12.).

So werfen Sie einen Blick in die Zukunft:

1) Öffnen Sie Chrome und geben in der Adressleiste chrome://flags/ ein.

Lesen Sie dort bitte unbedingt vorher den Warnhinweis oben auf der Seite. Nicht, weil der so nett geschrieben ist, sondern weil Sie hier wirklich ans Herz von Chrome rangehen und bei unsachgemäßen Änderungen einiges zerschießen können. Warnhinweis von Chrome:

„Vorsichtig, diese Experimente können gefährlich sein!
Warnung Diese experimentellen Funktionen können sich jederzeit ändern, abstürzen oder deaktiviert werden. Wir übernehmen keinerlei Gewährleistung für die Folgen der Aktivierung eines dieser Experimente. Es ist sogar möglich, dass Ihr Browser spontan in Flammen aufgeht. Spaß beiseite: Es ist möglich, dass Ihr Browser alle Ihre Daten löscht. Möglicherweise werden auch Ihre Sicherheits- und Datenschutzeinstellungen auf unerwartete Weise manipuliert. Alle von Ihnen aktivierten Experimente werden für alle Nutzer dieses Browsers aktiviert. Seien Sie also vorsichtig, wenn Sie fortfahren. Interessiert an coolen neuen Chrome-Funktionen? Testen Sie unsere Betaversion unter chrome.com/beta.“

2) Scrollen Sie zur Einstellung “Nicht sicheren Ursprung als nicht sicher markieren”.

3) Aktivieren Sie in dem dortigen Dropdown die Option “HTTP immer als aktiv gefährlich markieren”.

4) Bei uns wurden die Änderungen erst nach einem Neustart des Browsers aktiv. Voilá, dann viel Spaß beim Ausprobieren.