VerSICHERer im Internet? Vielen Anbietern fehlt das „s“

Foto von Munkhjin Enkhsaikhan
veröffentlicht am

Die Verwendung von HTTPS soll zur Herstellung von Vertraulichkeit und Sicherheit im Internet sorgen. Attribute, die einige namhafte Versicherer offensichtlich für unwichtig halten. Experten des Chip Magazin und vom Chaos Computer Club erklären, warum HTTPS für Websites sinnvoll ist.

HTTPS-Protokoll sorgt für mehr Sicherheit beim Datenaustausch

Da Versicherer eigentlich für die Sicherheit der Menschen sorgen sollen, kann man eine gewisse Ironie darin erkennen, dass viele große Versicherungsanbieter ihre Webseiten noch nicht auf HTTPS umgestellt haben. Bei drei Anbietern konnten sogar sensible Daten ohne HTTPS-Absicherung eingegeben werden. Das Protokoll ist schon seit einigen Jahren auf den meisten seriösen Seiten integriert und mittlerweile eine Grundvoraussetzung für Sicherheit im Internet, denn es sorgt für eine abhörsichere Datenübertragung und dient dem Schutz vor Malware. Mittlerweile sind die Websites von nahezu allen seriösen Anbietern HTTPS-verschlüsselt. Denn nicht nur Seiten, die Logins anbieten oder bei denen sensible Daten übertragen werden, benötigen einen solchen Schutz. Das HTTPS-Protokoll sorgt nicht nur dafür, dass Daten verschlüsselt werden, sondern auch, dass diejenigen Daten, die vom Server abgesendet werden, auch beim Benutzer ankommen. Der Empfänger der Daten kann somit sicher sein, dass die Informationen auch wirklich vom angegeben Server stammen.

Viele Versicherer verzichten auf Sicherheitsprotokoll

Bei einem stichprobenhaften Test einiger großer Versicherungsanbieter stellte sich heraus, dass ein Großteil der getesteten Versicherer auf ihren Websites noch kein HTTPS-Protokoll eingerichtet hat. Von 29 getesteten Versicherern hatten 10 nicht das HTTPS-Protokoll auf der Startseite und teilweise auch nicht bei datensensiblen Unterseiten integriert. Bei vielen Versicherern ist die Startseite unter dem unsicheren HTTP-Protokoll zu erreichen, sobald man auf eine datensensible Unterseite wechselt, ändert sich das Protokoll zu HTTPS. Selbst wenn die Versicherer teilweise keine Login-Funktion auf ihrer Seite anbieten, eine Sicherheitslücke stellt das fehlende „S“ dennoch dar. Die Internetseiten sind auf diese Weise nicht vor Angriffen von Außen geschützt. Der Leser kann somit nicht sicher sein, ob die Informationen wirklich von dem Anbieter stammen. Vereinzelt kam es bei einigen Versicherern sogar vor, dass sensible Daten wie Kontonummer und Adresse ohne abgesichertes Protokoll eingegeben werden konnten.

Welche Anbieter benutzen offen ersichtlich HTTPS auf der Startseite?

Hinweis: Die Angaben in der folgenden Tabelle wurden 2021 aktualisiert. So sind Sie auf dem neuesten Stand: Mittlerweile haben alle Versicherer, die vor unserem Test noch kein HTTPS-Protokoll verwendeten, auf diese Sicherheitslücke reagiert und ihre Webseite entsprechend mit HTTPS abgesichert.

Die restlichen Informationen in diesem Artikel stammen jedoch noch von unserer Berichterstattung von 2015.

AnbieterHTTPS?
AachenMünchenerja
Allianzja
Alte Oldenburgerja
ARAGja
Axaja
Barmeniaja
Die Bayerischeja
Centralja
Concordiaja
Continentaleja
Degeniaja
Deutscher Ringja
DEVKja
ERGOja
Gothaerja
GVOja
Hallescheja
HanseMerkurja
Helvetiaja
Interja
Interlloydja
Janitosja
Nürnbergerja
Provinzialja
R+Vja
Signal Idunaja
Swiss Lifeja
Zurichja
  Stand: Update vom 03.06.2021

3 Versicherer besonders kritisch

Drei größere Versicherer gingen besonders kritisch mit den Daten ihrer Kunden um: Bei ihnen wurden nicht einmal Kontaktformulare oder Vergleichsrechner per HTTPS abgesichert. Das ist mehr als bedenklich, denn in diesem Fall handelt es sich um sensible, persönliche Daten, die nicht ungeschützt ins Internet gelangen dürfen. Auf der Homepage eines Anbieters konnten im Test sogar Bankdaten ohne jegliche Absicherung eingegeben werden. Dies stellt eine besonders riskante Sicherheitslücke dar, denn die Daten stehen ohne die Verwendung eines HTTPS-Protokolls ohne jegliche Absicherung im Internet.

Gefahren ohne HTTPS

Dass Inhalte auf Seiten ohne HTTPS-Protokoll manipuliert werden, kommt häufiger vor als man denkt. Einige Netzbetreiber schleusen zusätzliche Cookies in die Übertragung ein, womit sie dann das Verhalten des Nutzers analysieren. In öffentlich zugänglichen WLANs kann Malware in die Übertragung eingeschleust werden. Da gewöhnliche Verbindungen nicht die Echtheit der übertragenen Daten gewährleisten, sollte ein HTTPS-Protokoll integriert werden.

„Geradezu eine Einladung an kriminelle Hacker“

Benjamin Hartlmaier, Redakteur beim Chip Magazin

Benjamin Hartlmaier, Redakteur des Chip Magazin im Ressort Test und Technik, hält ein fehlendes HTTPS-Protokoll gerade im Versicherungsbereich für eine grobe Fahrlässigkeit. Er beantwortet im Experteninterview die wichtigsten Fragen zum Thema HTTPS-Verschlüsselung von Webseiten.

Herr Hartlmaier, Einige Anbieter-Seiten von großen Versicherern verschlüsseln ihre Internetseite nicht über HTTPS. Sind diese Seiten dadurch für den Verbraucher unsicher?

„Spätestens seit den Snowden-Enthüllungen gehören HTTPS-Verschüsselungen nicht nur zum guten Ton im Netz, sondern sind Pflicht für Unternehmen, die seriös im Web auftreten wollen. Wer seine Seite nicht mit dieser Transportverschlüsselung absichert, riskiert, dass die sensiblen Daten seiner Kunden auf dem Weg durch das Web von jedem mitgelesen werden können, der ein wenig technisches Geschick mitbringt. Gerade in einem so heiklen Umfeld wie dem einer Versicherung ist es geradezu fahrlässig, HTTPS nicht einzusetzen.“

Was sind die generellen Vorteile von Seiten mit HTTPS-Protokoll?

„Der entscheidende Vorteil von HTTPS ist, dass die Daten auf dem Weg vom Kunden zum Server des Seitenbetreibers verschlüsselt übertragen werden. Das heißt, Angreifer wie kriminelle Banden oder Geheimdienste müssen größere Anstrengungen unternehmen, um an die Daten zu kommen. Das ist zwar nach wie vor möglich, zum Beispiel durch einen Man-in-the-Middle-Angriff mit gefälschten Sicherheitszertifikaten oder einer Schadsoftware auf dem Rechner. Die Wahrscheinlichkeit, dass Daten auf so eine Art mitgelesen werden, ist jedoch im Vergleich zu ungeschützter Datenübertragung um ein Vielfaches geringer. Die Sicherheit von HTTPS hängt auch davon ab, welche Version des TLS-Protokolls dafür verwendet wird, und ob es sauber implementiert wurde.“

Bei vereinzelten Anbietern laufen sogar die Bereiche, in denen Bankdaten etc. eingegeben werden nicht über ein abgesichertes Protokoll. Was kann hier schlimmstenfalls passieren?

„Bereiche in denen Bankdaten eingegeben werden nicht zu verschlüsseln, kann man nur als grob fahrlässig bezeichnen. Das ist geradezu eine Einladung an kriminelle Hacker. Wenn Kreditkartendaten abgefangen werden, kann der Angreifer damit einkaufen gehen. Sollte ein Login-Passwort abgefangen werden, das der Nutzer auch noch bei anderen Accounts wie E‑Mail oder Facebook verwendet, könnte ein Angreifer damit sogar den User aus seinem digitalen Leben aussperren. Szenarien wie Erpressung sind damit Tür und Tor geöffnet.

Es muss noch einmal gesagt werden: Eine Versicherung ohne HTTPS-Verschlüsselung ist unseriös. Es mag zwar sein, dass gerade Versicherungen das Risiko eines Angriffs sehr genau kalkulieren können und die zu erwartenden Schadenskosten gegen die Investitionskosten für eine HTTPS-Verschlüsselung Ihrer Seite aufrechnen. Ich würde aber nicht mit einer Versicherung im Netz kommunizieren wollen, die Ihre Seite nicht verschlüsselt.“

So erkennt man eine sichere Website

Eine sichere Website ist leicht zu erkennen: Wenn oben in der Adresszeile vor dem www ein HTTPS steht, dann ist man buchstäblich auf der sicheren Seite. Denn dann besitzen die Betreiber der Internetseite ein Zertifikat, dass der Identifizierung der Website dient. Dieses Zertifikat ist meistens durch ein kleines Schlosssymbol zu erkennen. Wenn man sich auf einer Seite befindet, die kein HTTPS verwendet, kann man sie in der Regel manuell in eine sichere Seite umwandeln, indem man einfach ein https vor das www setzt.

HTTPS schützt vor Datenmanipulation

Obwohl HTTPS bei vielen seriösen Seiten schon lange angewendet wird, ist die Annahme noch immer weit verbreitet, dass HTTPS nur für Seiten sinnvoll ist, die Logins anbieten oder sensible Daten übertragen. Das stimmt so nicht. HTTPS sorgt nicht nur dafür, dass Daten sicher übertragen werden sondern auch, dass Daten auf dem Übertragungsweg nicht manipuliert werden. Bei unverschlüsselter Datenübertragung können Dritte beispielsweise Malware in Webseiten einfügen.  Wenn HTTPS verwendet wird, können beide Seiten die Identität des Verbindungspartners  überprüfen. Hierdurch sollen beispielsweise Man-in-the-middle aber auch Phishing-Angriffe verhindert werden.

Wie bei Versicherern, so auch bei Vermittlern

Die Verwendung von sicheren Websites ist natürlich nicht nur für die Versicherungsanbieter wichtig, sondern auch für den Internetauftritt von Versicherungsvermittlern und Maklern. Denn auch bei diesen sollte sowohl die Sicherheit der Kundendaten als auch die verschlüsselte Übertragung von Daten an erster Stelle stehen. Bei dem Besuch der Webpräsenz sollte den Kunden ein sicheres Gefühl vermittelt werden.

Gesellschaft muss auf Sicherheitsrisiken aufmerksam werden

Falk Garbsch vom Chaos Computer Club (CCC) gibt in diesem Zusammenhang zu Bedenken, dass ein mangelndes Bewusstsein für Sicherheit im Internet ein generelles Problem in unserer Gesellschaft sei. Er kritisiert eine fehlende Sensibilisierung der Gesellschaft für dieses Thema und plädiert für mehr Aufklärung in diesem Bereich. Einrichtungen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder der Verein Deutschland sicher im Netz (DsiN) machen schon seit längerem auf eine „digitale Sorglosigkeit“ vieler Internetnutzer aufmerksam. Für Versicherungs- und auch Vermittlerunternehmen stellt die IT-Sicherheit eine immer ernstzunehmendere Größe dar. Denn auch in der Versicherungswirtschaft geht der Trend in Richtung Digitalisierung. Voraussetzung, um die neuen digitalen Möglichkeiten zu nutzen, ist aber, dass sowohl der Verbraucher als auch die Unternehmen stärker für Gefahren aus dem Internet sensibilisiert werden.