Die Verwendung von HTTPS auf Websites
Die Verwendung von HTTPS soll zur Herstellung von Vertraulichkeit und Sicherheit im Internet sorgen. Attribute, die einige namhafte Versicherer offensichtlich für unwichtig halten. Experten des Chip Magazins und vom Chaos Computer Club erklären, warum HTTPS für Websites sinnvoll ist.
HTTPS-Protokoll sorgt für mehr Sicherheit beim Datenaustausch
Viele große Versicherer achten nicht genug darauf, ihre Webseiten auf HTTPS umzustellen. Bei drei Anbietern konnten sogar sensible Daten ohne HTTPS-Absicherung eingegeben werden. Das Protokoll ist schon seit einigen Jahren auf den meisten seriösen Seiten integriert und mittlerweile eine Grundvoraussetzung für Sicherheit im Internet, denn es sorgt für eine abhörsichere Datenübertragung und dient dem Schutz vor Malware.
Mittlerweile sind die Websites von nahezu allen seriösen Anbietern HTTPS-verschlüsselt. Denn nicht nur Seiten, die Logins anbieten oder bei denen sensible Daten übertragen werden, benötigen einen solchen Schutz. Das HTTPS-Protokoll sorgt zum einen dafür, dass Daten verschlüsselt werden. Zum anderen auch, dass diejenigen Daten, die vom Server abgesendet werden, auch beim Benutzer ankommen. Der Empfänger der Daten kann somit sicher sein, dass die Informationen auch wirklich vom angegebenen Server stammen.
Viele Versicherer verzichten auf Sicherheitsprotokoll
Bei einem stichprobenhaften Test einiger großer Versicherungsanbieter stellte sich 2015 heraus, dass ein Großteil der getesteten Versicherer auf ihren Websites noch kein HTTPS-Protokoll eingerichtet hat. Von 29 getesteten Versicherern hatten 10 nicht das HTTPS-Protokoll auf der Startseite und teilweise auch nicht bei datensensiblen Unterseiten integriert. Bei vielen Versicherern ist die Startseite unter dem unsicheren HTTP-Protokoll zu erreichen, sobald man auf eine datensensible Unterseite wechselt, ändert sich das Protokoll zu HTTPS.
Selbst wenn die Versicherer teilweise keine Login-Funktion auf ihrer Seite anbieten, eine Sicherheitslücke stellt das fehlende „S“ dennoch dar. Die Internetseiten sind auf diese Weise nicht vor Angriffen von Außen geschützt. Der Leser kann somit nicht sicher sein, ob die Informationen wirklich von dem Anbieter stammen. Vereinzelt kam es bei einigen Versicherern sogar vor, dass sensible Daten wie Kontonummer und Adresse ohne abgesichertes Protokoll eingegeben werden konnten.
Welche Anbieter benutzen offen ersichtlich HTTPS auf der Startseite?
Hinweis: Die Angaben in der folgenden Tabelle wurden 2021 aktualisiert. So sind Sie auf dem neuesten Stand: Mittlerweile haben alle Versicherer, die vor unserem Test noch kein HTTPS-Protokoll verwendeten, auf diese Sicherheitslücke reagiert und ihre Webseite entsprechend mit HTTPS abgesichert.
Die restlichen Informationen in diesem Artikel stammen jedoch noch von unserer Berichterstattung von 2015.
| Anbieter | HTTPS? |
|---|---|
| AachenMünchener | ja |
| Allianz | ja |
| Alte Oldenburger | ja |
| ARAG | ja |
| Axa | ja |
| Barmenia | ja |
| Die Bayerische | ja |
| Central | ja |
| Concordia | ja |
| Continentale | ja |
| Degenia | ja |
| Deutscher Ring | ja |
| DEVK | ja |
| ERGO | ja |
| Gothaer | ja |
| GVO | ja |
| Hallesche | ja |
| HanseMerkur | ja |
| Helvetia | ja |
| Inter | ja |
| Interlloyd | ja |
| Janitos | ja |
| Nürnberger | ja |
| Provinzial | ja |
| R+V | ja |
| Signal Iduna | ja |
| Swiss Life | ja |
| Zurich | ja |
Gefahren ohne HTTPS
Dass Inhalte auf Seiten ohne HTTPS-Protokoll manipuliert werden, kommt häufiger vor, als man denkt. Einige Netzbetreiber schleusen zusätzliche Cookies in die Übertragung ein, womit sie dann das Verhalten des Nutzers analysieren. In öffentlich zugänglichen WLANs kann Malware in die Übertragung eingeschleust werden. Da gewöhnliche Verbindungen nicht die Echtheit der übertragenen Daten gewährleisten, sollte ein HTTPS-Protokoll integriert werden.
„Geradezu eine Einladung an kriminelle Hacker“
Benjamin Hartlmaier, Redakteur des Chip Magazin im Ressort Test und Technik, hält ein fehlendes HTTPS-Protokoll gerade im Versicherungsbereich für eine grobe Fahrlässigkeit. Er beantwortet im Experteninterview die wichtigsten Fragen zum Thema HTTPS-Verschlüsselung von Webseiten.
Herr Hartlmaier, Einige Anbieter-Seiten von großen Versicherern verschlüsseln ihre Internetseite nicht über HTTPS. Sind diese Seiten dadurch für den Verbraucher unsicher?
Hartlmaier: Spätestens seit den Snowden-Enthüllungen gehören HTTPS-Verschüsselungen nicht nur zum guten Ton im Netz, sondern sind Pflicht für Unternehmen, die seriös im Web auftreten wollen. Wer seine Seite nicht mit dieser Transportverschlüsselung absichert, riskiert, dass die sensiblen Daten seiner Kunden auf dem Weg durch das Web von jedem mitgelesen werden können, der ein wenig technisches Geschick mitbringt. Gerade in einem so heiklen Umfeld wie dem einer Versicherung ist es geradezu fahrlässig, HTTPS nicht einzusetzen.
Was sind die generellen Vorteile von Seiten mit HTTPS-Protokoll?
Hartlmaier: Der entscheidende Vorteil von HTTPS ist, dass die Daten auf dem Weg vom Kunden zum Server des Seitenbetreibers verschlüsselt übertragen werden. Das heißt, Angreifer wie kriminelle Banden oder Geheimdienste müssen größere Anstrengungen unternehmen, um an die Daten zu kommen. Das ist zwar nach wie vor möglich, zum Beispiel durch einen Man-in-the-Middle-Angriff mit gefälschten Sicherheitszertifikaten oder einer Schadsoftware auf dem Rechner. Die Wahrscheinlichkeit, dass Daten auf so eine Art mitgelesen werden, ist jedoch im Vergleich zu ungeschützter Datenübertragung um ein Vielfaches geringer. Die Sicherheit von HTTPS hängt auch davon ab, welche Version des TLS-Protokolls dafür verwendet wird, und ob es sauber implementiert wurde.
Bei vereinzelten Anbietern laufen sogar die Bereiche, in denen Bankdaten etc. eingegeben werden, nicht über ein abgesichertes Protokoll. Was kann hier schlimmstenfalls passieren?
Hartlmaier: Bereiche, in denen Bankdaten eingegeben werden nicht zu verschlüsseln, kann man nur als grob fahrlässig bezeichnen. Das ist geradezu eine Einladung an kriminelle Hacker. Wenn Kreditkartendaten abgefangen werden, kann der Angreifer damit einkaufen gehen. Sollte ein Login-Passwort abgefangen werden, das der Nutzer auch noch bei anderen Accounts wie E‑Mail oder Facebook verwendet, könnte ein Angreifer damit sogar den User aus seinem digitalen Leben aussperren. Szenarien wie Erpressung sind damit Tür und Tor geöffnet.
Es muss noch einmal gesagt werden: Eine Versicherung ohne HTTPS-Verschlüsselung ist unseriös. Es mag zwar sein, dass gerade Versicherungen das Risiko eines Angriffs sehr genau kalkulieren können und die zu erwartenden Schadenskosten gegen die Investitionskosten für eine HTTPS-Verschlüsselung Ihrer Seite aufrechnen. Ich würde aber nicht mit einer Versicherung im Netz kommunizieren wollen, die Ihre Seite nicht verschlüsselt.
So erkennt man eine sichere Website
Eine sichere Website ist leicht zu erkennen: Wenn oben in der Adresszeile vor dem www ein HTTPS steht, dann ist man buchstäblich auf der sicheren Seite. Denn dann besitzen die Betreiber der Internetseite ein Zertifikat, dass der Identifizierung der Website dient. Dieses Zertifikat ist meistens durch ein kleines Schlosssymbol zu erkennen.
HTTPS schützt vor Datenmanipulation
Obwohl HTTPS bei vielen seriösen Seiten schon lange angewendet wird, ist die Annahme noch immer weit verbreitet, dass HTTPS nur für Seiten sinnvoll ist, die Logins anbieten oder sensible Daten übertragen. Das stimmt so nicht. HTTPS sorgt nicht nur dafür, dass Daten sicher übertragen werden, sondern auch, dass Daten auf dem Übertragungsweg nicht manipuliert werden. Bei unverschlüsselter Datenübertragung können Dritte beispielsweise Malware in Webseiten einfügen. Wenn HTTPS verwendet wird, können beide Seiten die Identität des Verbindungspartners überprüfen. Hierdurch sollen beispielsweise Man-in-the-middle, aber auch Phishing-Angriffe verhindert werden.
Wie bei Versicherern, so auch bei Vermittlern
Die Verwendung von sicheren Websites ist natürlich nicht nur für die Versicherer wichtig, sondern auch für den Internetauftritt von Versicherungsvermittlern und Maklern. Denn auch bei diesen sollte sowohl die Sicherheit der Kundendaten als auch die verschlüsselte Übertragung von Daten an erster Stelle stehen. Bei dem Besuch der Webpräsenz sollte den Kunden ein sicheres Gefühl vermittelt werden.
Gesellschaft muss auf Sicherheitsrisiken aufmerksam werden
Falk Garbsch vom Chaos Computer Club (CCC) gibt in diesem Zusammenhang zu Bedenken, dass ein mangelndes Bewusstsein für Sicherheit im Internet ein generelles Problem in unserer Gesellschaft sei. Er kritisiert eine fehlende Sensibilisierung der Gesellschaft für dieses Thema und plädiert für mehr Aufklärung in diesem Bereich. Einrichtungen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder der Verein Deutschland sicher im Netz (DsiN) machen schon seit Längerem auf eine „digitale Sorglosigkeit“ vieler Internetnutzer aufmerksam.
Besonders in der Versicherungsbranche wichtig
Für Versicherungs- und auch Vermittlerunternehmen stellt die IT-Sicherheit eine immer ernstzunehmende Größe dar. Denn auch in der Versicherungswirtschaft geht der Trend in Richtung Digitalisierung. Voraussetzung, um die neuen digitalen Möglichkeiten zu nutzen, ist aber, dass sowohl der Verbraucher als auch die Unternehmen stärker für Gefahren aus dem Internet sensibilisiert werden.
