HTTPS und Website-Sicherheit

What Is HTTPS und Website-Sicherheit?

HTTPS bedeutet, dass die Verbindung zwischen Ihrem Browser und einer Website verschlüsselt ist, es garantiert jedoch nicht, dass die Website selbst legitim ist. Diese Übung führt Sie zu mehreren Websites, auf denen Sie bewerten müssen, ob die Verbindung wirklich sicher ist. Auf einer Site wird ein Vorhängeschlosssymbol angezeigt, es wird jedoch ein abgelaufenes Zertifikat verwendet. Ein anderer hat ein gültiges Zertifikat, das für eine völlig andere Organisation ausgestellt wurde. Ein dritter Schritt löst die Warnseite Ihres Browsers aus und Sie müssen entscheiden, ob Sie weiterklicken oder weggehen möchten. In der Simulation wird aufgeschlüsselt, was ein TLS-Zertifikat tatsächlich beweist, wer es ausstellt und warum kostenlose Zertifikate von Diensten wie Let's Encrypt dazu führen, dass sogar Phishing-Sites ein Vorhängeschloss anzeigen können. Sie prüfen die Zertifikatsdetails in Ihrem Browser, erkennen nicht übereinstimmende Domänennamen und erkennen die spezifischen Warnmeldungen, die auf einen Man-in-the-Middle-Angriff hinweisen. Das ist der Unterschied zwischen dem Gefühl von Sicherheit und der Sicherheit im Internet.

What You'll Learn in HTTPS und Website-Sicherheit

• Überprüfen Sie das TLS-Zertifikat einer Website, um sicherzustellen, dass die ausstellende Behörde und die Domäne übereinstimmen
• Erkennen Sie den Unterschied zwischen einer verschlüsselten Verbindung und einer vertrauenswürdigen Website
• Identifizieren Sie abgelaufene, selbstsignierte und nicht übereinstimmende Zertifikate mithilfe von Browser-Warnindikatoren
• Treffen Sie die richtigen Entscheidungen, wenn Browser Interstitialseiten mit Zertifikatwarnungen anzeigen
• Verstehen Sie, warum das Vorhandensein eines Vorhängeschlosssymbols allein kein ausreichender Beweis für die Legitimität einer Website ist

HTTPS und Website-Sicherheit — Training Steps

1. Arbeiten in einem Café

   Ihr Internet zu Hause ist seit heute Morgen ausgefallen und Sie müssen noch vor Tagesende eine dringende Gehaltsabrechnung erledigen. Sie sind zu einem nahegelegenen Café gegangen und haben sich mit dessen kostenlosem WLAN-Netzwerk „CafeConnect Free WiFi“ verbunden – einem offenen Netzwerk, für das kein Passwort erforderlich ist.

2. E-Mail von der Personalabteilung

   Es kommt eine neue E-Mail von der Personalabteilung zur jährlichen Überprüfung der Direkteinzahlung.

3. Navigieren zum Gehaltsabrechnungsportal

   Alice klickt auf den Link in der HR-E-Mail, um das Gehaltsabrechnungsportal zu öffnen. Sie hat das schon einmal gemacht – es ist eine jährliche Routineaufgabe. Alice weiß nicht, dass ein Angreifer im selben WLAN-Netzwerk des Cafés einen SSL-Strip-Angriff durchführt. Der Angreifer hat Alices Anfrage abgefangen und die Verbindung stillschweigend von HTTPS auf HTTP heruntergestuft. Die Seite wird normal geladen, jedoch ohne Verschlüsselung.

4. Anmelden

   Das Gehaltsabrechnungsportal sieht genauso aus, wie Alice es in Erinnerung hat – das Meridian-Logo, das bekannte blaue Farbschema, das Standard-Anmeldeformular. Ohne zu zögern gibt sie ihre Arbeitszeugnisse ein. Alice bemerkt nicht, dass ihr Passwort-Manager das automatische Ausfüllen nicht anbietet – die Portal-URL stimmt mit keinem gespeicherten Eintrag überein.

5. Bankdaten bestätigen

   Nach der Anmeldung fordert das Portal Alice auf, ihre Bankkontodaten für die Direkteinzahlung zu bestätigen. Das Formular fordert ihre Bankleitzahl und Kontonummer an – Standardinformationen für die jährliche Überprüfung.

6. Zugriff auf ein anderes System

   Bevor sie nach Hause geht, beschließt Alice, noch schnell einen Blick auf das interne Projekt-Dashboard zu werfen, um sich den morgigen Zeitplan anzusehen.

7. Die Warnung beachten

   Anstelle des Dashboards sieht Alice eine deutliche Warnung: „Ihre Verbindung ist nicht privat.“ Sie ist sich nicht sicher, was die Ursache war, aber die Warnung sieht ernst aus. Die Zertifikatwarnung erschien, weil der MITM-Angreifer versuchte, auch diese HTTPS-Verbindung abzufangen, der Browser jedoch das ungültige Zertifikat erkannte und die Seite blockierte. Alice beschließt, nicht fortzufahren.

8. Warnung vor Bankbetrug

   Zwei Tage später setzt sich Alice an ihren Schreibtisch, um den Tag zu beginnen. In ihrem Posteingang wartet eine dringende E-Mail ihrer Bank.

9. IT-Sicherheitswarnung

   Bevor Alice die Bankbetrugswarnung überhaupt bearbeiten kann, trifft eine weitere E-Mail ein – dieses Mal vom IT-Sicherheitsteam von Meridian.

10. Die Punkte verbinden

    Alices Magen dreht sich um. Die nicht autorisierte Bankabhebung. Der verdächtige Login aus der Ukraine. Beides geschah unmittelbar nachdem sie vor zwei Tagen das WLAN des Cafés genutzt hatte. Sie liest die IT-Sicherheitswarnung erneut, diesmal mit wachsender Angst.