Safari: Verwenden von Verschlüsselung und sicheren Verbindungen

Wann ist die Verwendung einer sicheren Verbindung angebracht?

Häufig wird Ihnen die Entscheidung über die Verwendung einer sicheren Verbindung abgenommen, zum Beispiel wenn Sie einen neuen Account auf einer gewerblich orientierten Web-Site erstellen. Da Sie dabei in der Regel persönliche Informationen, z.B. Ihre Adresse und Kontodaten, angeben, sollte sich die Verbindung bei der Erstellung des Accounts in eine sichere Verbindung ändern. (Weiter unten in diesem Artikel wird beschrieben, woran Sie erkennen können, ob es sich um eine sichere Verbindung handelt.) Im Allgemeinen sollten Web-Sites automatisch den sicheren Modus aktivieren, wenn sensible Informationen oder Daten abgefragt bzw. angezeigt werden.

Manchmal überlässt Ihnen die Web-Site die Entscheidung selbst. Dies geschieht in den meisten Fällen dadurch, dass Web-Sites Ihnen Optionen für eine standardmäßige und eine sichere Anmeldung bieten. Sie sollten sich immer für die sichere Anmeldung entscheiden, wenn Sie die Wahl haben. Beispiele für beliebte Web-Sites, die sowohl eine sichere als auch eine standardmäßige Anmeldung erlauben, sind Yahoo, eBay und Amazon. Web-Sites, die in großem Maße sensible Informationen verarbeiten, bieten häufig nur eine sichere Anmeldung an. Viele Web-Sites erlauben die standardmäßige Anmeldung für ältere Browser, die nicht in der Lage sind, sichere 128Bit-Verbindungen herzustellen.

Tipp: Sie sollten sensible Informationen nie auf einem Formular eingeben, das nicht über eine sichere Verbindung angezeigt wird. Wenn eine seriöse Organisation sensible Informationen auf einem nicht sicheren Formular abfragt, sollten Sie in Betracht ziehen, die Organisation stattdessen per Telefon zu kontaktieren.

Tipp: Achten Sie beim Anmelden auf einer Web-Site auf Auswahlmöglichkeiten wie "Standard" und "SSL". "Standard" steht für eine nicht sichere Anmeldung. Mit SSL wird eine sichere Anmeldung bezeichnet. (SSL steht für Secure Sockets Layer, das im Web verwendete Verschlüsselungsprotokoll.)

Warum eine sichere Anmeldung?

Durch die sichere Anmeldung wird verhindert, dass andere, unbefugte Personen ohne erkennbare Probleme Ihren Namen und Ihr Kennwort abfangen können. Aus diesem Grund empfiehlt sich eine sichere Anmeldung auch dann, wenn Ihr Account auf einer Web-Site keine sensiblen Informationen enthält. Mit Ihren Anmeldeinformationen können Unbefugte Ihre Identität auf dieser Web-Site oder auf einer anderen Web-Site einnehmen, auf der Sie dieselben Anmeldeinformationen nutzen. Es ist hilfreich, auf besuchten Web-Sites mindestens zwei verschiedene Kennwörter zu verwenden, und zwar ein Kennwort für sichere Seiten und ein weiteres Kennwort für nicht sichere Seiten. Wenn Sie auf allen Web-Sites dasselbe Kennwort benutzen, besteht die Gefahr, dass es in die Hände von Unbefugten gelangt und anschließend in böswilliger Art und Weise auf einer sicheren Web-Site genutzt wird.

Tipp: Denken Sie daran, dass unsichere Kennwörter leicht erraten werden können. Im Artikel 106521: "Mac OS X: Festlegen eines sicheren Kennworts" finden Sie Tipps zur Auswahl eines sicheren Kennworts.

Erkennen einer sicheren Verbindung

Es gibt zwei Möglichkeiten, eine sichere Verbindung zu erkennen. Befindet sich oben rechts im Safari Fenster ein Schlosssymbol, deutet dies auf eine sichere Verbindung hin:





Außerdem wird eine sichere Verbindung durch die Verwendung von "https" anstelle von "http" am Anfang der Adresse einer Web-Site angezeigt:





Häufig werden nach einer sicheren Anmeldung nicht sichere Seiten angezeigt. Diese stellen jedoch kein Sicherheitsrisiko dar. In der Regel sind nur Seiten, auf denen sensible Informationen angezeigt werden, gesichert. Ein Beispiel: Eine Seite, auf der Sie Ihre Kreditkarteninformationen angeben, sollte eine sichere Seite sein. Hingegen muss eine Seite, auf der Sie Produktbeschreibungen ansehen, nicht zwingendermaßen sicher sein. Wenn Sie wieder zu einer Seite zurückkehren, auf der sensible Informationen angezeigt oder abgefragt werden, ist in der Regel das Schlosssymbol erneut zu sehen.

Tipp: In einigen Fällen kann es vorkommen, dass eine sichere Anmeldung auf einer zuverlässigen Seite zunächst nicht sicher scheint. Eventuell sehen Sie auf einer nicht sicheren Seite eine Taste, die Sie zur Anmeldung am sicheren Server der Web-Site auffordert. Eine sichere Verbindung wird unter Umständen angezeigt, nachdem Sie in diese Taste geklickt haben. Wenn Sie sich nicht sicher sind, wie eine Site funktioniert, machen Sie einen einfachen Test: Geben Sie "Gast" als Benutzernamen und Kennwort ein. Beobachten Sie dann, ob Sie nach dem Klicken in die entsprechende Taste über eine sichere Verbindung mit der Web-Site verbunden sind.

Was bedeutet "sichere Verbindung"?

"Sicher" bedeutet zwei Dinge. Zum einen heißt es, dass Ihre Daten während der Übertragung verschlüsselt werden, sodass sie von Unbefugten nicht ohne weiteres gelesen werden können. Auf diese Weise können Anmeldeinformationen, Kreditkartennummern, Adressen oder andere sensible Informationen geschützt werden.

Zum anderen bedeutet es auch, dass die Besitzer der entsprechenden Web-Site auch wirklich diejenigen sind, die sie vorgeben zu sein, basierend auf einem Zertifizierungssystem eines Drittanbieters. Safari führt diese "Identifikationsüberprüfung" durch, indem das Sicherheitszertifikat der fraglichen Web-Site überprüft wird. Dieses muss von einem zuverlässigen Dritten (einer Zertifizierungsbehörde) bewilligt oder genehmigt sein. Das Schlosssymbol wird nur angezeigt, wenn auf diese Weise sichergestellt ist, dass es sich um eine vertrauenswürdige Seite handelt. Besitzt die Web-Site kein zuverlässiges Zertifikat, wird eine Warnmeldung angezeigt, dass die Identität nicht bestätigt werden konnte. Eine solche Warnmeldung sieht wie in etwa wie in der folgenden Abbildung aus:





Wenn Sie eine solche, nicht als vertrauenswürdig identifizierte Web-Site trotzdem öffnen, sprechen Sie der Seite nur für diese eine Sitzung Ihr "Vertrauen" aus. Wenn Sie Safari beenden und anschließend das Programm neu öffnen, wird die Warnmeldung erneut angezeigt.

Tipp für fortgeschrittene Benutzer: Einige Benutzer möchten möglicherweise wissen, von welcher "Behörde" das Zertifikat einer Seite bestätigt wurde. Sie können im Programm "Terminal" mithilfe des Befehls "curl" und der Option "-v" (verbose) diese Informationen abrufen. Zur Überprüfung des Zertifikats des Apple Store geben Sie beispielsweise folgenden Befehl ein:

# curl https://store.apple.com -v

Vermeiden gefälschter "sicherer" Web-Sites

Es ist nicht nur wichtig zu wissen, wie Sie eine sichere Verbindung identifizieren können. Auch das Erkennen angeblich sicherer Seiten ist von zentraler Bedeutung, um den Schutz Ihrer persönlichen Informationen zu gewährleisten. Identitätsdiebe sind darauf aus, Namen, Kennwörter und andere Informationen zu sammeln, indem sie den Besuchern vorgaukeln, dass sie eine sichere Seite verwenden. Durch die Einhaltung von zwei einfachen Regeln können Sie sich vor den meisten dieser Tricks wirksam schützen:

Regel 1: Vertrauen Sie nur den oben beschriebenen Indikatoren für eine sichere Verbindung.

Der Grund für diese Regel ist denkbar einfach: Einige Web-Sites verwenden gefälschte Schlosssymbole und andere Sicherheitsinformationen im Text einer jeweiligen Seite. Alle diese Zusicherungen im Text selbst sind völlig gegenstandslos. Die Verbindung ist erst dann sicher, wenn ein Schlosssymbol angezeigt wird und die Adresse der Web-Site mit "https" beginnt.

Regel 2: Melden Sie sich nicht an oder geben Sie keine persönlichen Informationen an, nachdem Sie in einen Link geklickt haben, der in einer E-Mail enthalten war.

Öffnen Sie stattdessen ein neues Fenster in Ihrem Browser und geben Sie die Adresse der Web-Site manuell ein. So können Sie sicherstellen, dass Sie keine automatisch ausgefüllte Adresse verwenden. Alternativ können Sie auch ein Lesezeichen verwenden. Melden Sie sich dann wie gewohnt an und sehen Sie nach, was sich auf Ihrem Account getan hat.

Die Einhaltung dieser Regel schützt Sie vor einer Vielzahl von Methoden, bei denen eine E-Mail allem Anschein nach von einer zuverlässigen Web-Site gesendet wurde und Sie auffordert, sich bei Ihrem Account anzumelden, um die Accountinformationen zu überprüfen. Diese E-Mails können Sie auf täuschend echte Fälschungen der entsprechenden Web-Site führen, um Ihre Informationen für illegale Zwecke auszuspionieren. Manchmal kann nur ein erfahrener Internet-Benutzer oder ein Webmaster diese Fälschungen von echten E-Mails unterscheiden. Es ist deshalb wichtig, diese Regel immer zu befolgen, wenn Sie Zweifel bezüglich der Herkunft einer Nachricht haben.

Unabhängig davon, wie die irreführende E-Mail funktioniert, das Ziel ist immer, die tatsächliche Adresse der gefälschten Web-Site zu verschleiern und sie so erscheinen zu lassen, als handele es sich um die richtige Web-Site. Im Folgenden finden Sie drei häufige Tricks:

• Eine bewusst verwirrende Adresse
  
  Sie sehen möglicherweise eine Adresse, die ähnlich wie die im folgenden Beispiel gezeigte aussieht:
  
  http://cgi.apple.com.jl234.5j209.50k20.95h02.3a84.38.aa28@169.09.19.35/useraccount/verify=
  
  Diese ungewöhnliche URL-Syntax soll Ihnen vortäuschen, dass es sich um eine Seite von "apple.com" handelt. Tatsächlich aber weist diese Adresse auf einen Server mit der IP-Adresse 169.09.19.35 hin. Alles, was vor dem "@"-Zeichen steht, ist der Name eines Benutzer-Accounts für diesen Server.
   
• Bild eines Links
  
  Manchmal wird möglicherweise eine Bilddatei (ein Bildschirmfoto von einem Text) gezeigt, die aussieht wie ein Text-Link. Diese Bilddatei ist mit der gefälschten Web-Site verknüpft. Sie können überprüfen, ob es sich um ein Bild handelt, indem Sie versuchen, den Text zu kopieren. Lässt sich der Text in einer E-Mail nicht auswählen und kopieren, handelt es sich unter Umständen nicht um Text.
   
• Unsichtbare Links
  
  Sie sehen eine Adresse, die völlig normal aussieht, zum Beispiel:
  
  https://store.apple.com/
  
  Durch die Verwendung von HTML oder einem in die E-Mail eingebetteten Skript kann der Sender hingegen erreichen, dass der Link zu einem anderen Ort führt. Sie können die echte Zieladresse nur bestimmen, indem Sie den Quellcode der E-Mail anzeigen. Dieser ist in der Regel im HTML- oder RTF-Format verfügbar. Dieser Trick macht sich gängige Vorstellungen über E-Mails zu Nutze. Die meisten E-Mail-Programme verfügen über eine Funktion, mit der Web-Adressen nach der Eingabe automatisch als aktive Links dargestellt werden, ohne das eine HTML-Formatierung erforderlich ist, die normalerweise Voraussetzung für diesen Effekt ist. Aus diesem Grund können wir nur schwer zwischen einem einfachen Text-Link, der durch eine Programmfunktion aktiv wird, und einem echten HTML-Link unterscheiden, der seine Zieladresse im Quellcode festlegt. Einfach gesagt bedeutet dies, dass ein Link zu einer Web-Adresse nicht unbedingt zu der Adresse führt, die er angibt. Ein Absender kann Sie in die Irre führen, indem er eine andere Zieladresse im Quellcode angibt. Ein Hinweis auf diese Taktik ist die Tatsache, dass im Safari Fenster eine andere Adresse als in der E-Mail angezeigt wird.

Die Nennung von Web-Sites von Drittanbietern dient ausschließlich Informationszwecken und stellt keine Werbung dar. Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Informationen oder Produkten, die auf Web-Sites von Drittanbietern genannt werden. Diese Angaben dienen nur der Information. Apple hat die Informationen auf diesen Web-Sites nicht überprüft und übernimmt keine Gewähr für deren Richtigkeit bzw. Zuverlässigkeit. Die Verwendung von Informationen oder Produkten aus dem Internet birgt stets Gefahren in sich und auch hierfür übernimmt Apple keinerlei Verantwortung. Bitte beachten Sie, dass die Web-Site eines Drittanbieters unabhängig von Apple ist, und dass Apple keinen Einfluss auf den Inhalt dieser Web-Sites hat.