Wie vermeide ich die „Nicht sicher“-Meldung in Chrome?

Wie Google mit HTTP-Webseiten umgeht und wie man die "Nicht sicher" Meldung auf der Webseite entfernen kann

Wie vermeidet man die „Nicht sicher“-Meldung in Chrome und was kann man dagegen machen. Webseiten ohne TLS/SSL werden ab 2019 von Chrome als nicht sicher angezeigt und wir zeigen wie man dies vermeidet.

Der Umgang von Google Chrome mit HTTP-Webseiten hat sich Anfang des Jahres drastisch geändert. Als erster Schritt von vielen wird seither die Verschlüsselung der eigenen Webseite mittels TLS/SSL verlangt. Um die Sicherheitsstandards im Netz zu verbessern und auf Sicherheitslücken aufmerksam zu machen, zeigt Googles Chrome-Browser nun, wenn dieses Zertifikat nicht vorhanden ist, eine Meldung an, die den Nutzer zutiefst verunsichern kann: „Dies ist keine sichere Verbindung“.

Sicherheitsmeldung aktiviert
Quelle: eigene Abbildung

Dieser Schritt ist nachvollziehbar. Ohne TLS/SSL-Verschlüsselung können Passwörter und Kreditkarteninformationen leicht von Dritten ausgelesen werden. Deshalb geht der zweite Schritt auf Googles Weg zu mehr Sicherheit bei Google Chrome noch weiter. Seit Ende Oktober ist die Version 62 des beliebten Browsers im Umlauf und enthält zwei wichtige Updates. Das erste sorgt dafür, dass alle Seiten, die unverschlüsseltes HTTP verwenden, im Inkognito-Modus des Browsers als „nicht sicher“ markiert werden. Diese Meldung erscheint in roter Schrift in der Adresszeile. Die zweite Änderung betrifft auch das reguläre Surfen mit Google Chrome: Befindet man sich auf einer HTTP-Seite und beginnt mit der Eingabe von Informationen, zeigt Chrome ebenfalls das „Nicht sicher“-Emblem in der Adresszeile an..[1]

Warum macht Google das? Emily Schechter vom Google Security Blog erklärt das Vorgehen: „Wenn Chrome-Nutzer den Inkognito-Modus verwenden, erwarten sie eine größere Privatsphäre. HTTP kann das jedoch nicht gewährleisten, für andere Nutzer im selben Netzwerk ist das eigene Surfen nicht geschützt. Daher werden ab Version 62 des Chrome-Browsers Nutzer gewarnt, wenn Sie eine HTTP-Seite im Inkognito-Modus aufrufen.“[2] Außerdem sei auch beim regulären Surfen nicht gewährleistet, dass Daten auf HTTP-Webseiten nicht von Dritten abgegriffen werden. Schechter erklärt zudem, dass nicht nur Passwörter und Kreditkarteninformationen geheim bleiben sollten. Alles, was Nutzer auf Webseiten eingeben, solle für andere im selben Netzwerk nicht einsehbar sein. Des Weiteren werden noch mehr Veränderungen angekündigt: „Auf lange Sicht planen wir, die „Nicht sicher“-Meldung auf allen HTTP-Seiten anzuzeigen – auch außerhalb des Inkognito-Modus.“[3]

Behandlung von HTTP Seiten im Inkognito Modus
Quelle: https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure, Abruf: 21.12.2017

Diesen finalen Schritt bestätigt auch das Chromium-Projekt, auch wenn zuvor noch weitere Zwischenschritte angekündigt sind.[4] Faktisch implementiert Google damit einen neuen Standard für Web-Sicherheit: Wer ohne HTTPS unterwegs ist, wird die Sicherheit abgesprochen. Potentielle Kunden werden durch die Meldung abgeschreckt. Der Effekt einer solchen Ausgrenzung ist dabei enorm, schließlich erfolgt in Deutschland laut einer Bloggerinitiative jeder vierte Seitenaufruf bereits durch den aktuellen Chrome-Browser in Version 62.[5] Plausibel erscheint das besonders vor dem Hintergrund, dass Chrome weltweit einen Marktanteil von knapp 60% vorweisen kann – Tendenz steigend![6] Google dominiert mit Chrome den Browser-Markt und kann dadurch faktisch Standards vorgeben. Wann sich daher HTTPS als solcher etabliert, bleibt nur eine Frage der Zeit.

Was ist eigentlich HTTPS?

Auch wenn sich Google mit der Förderung von HTTPS bei einigen unbeliebt macht, so rütteln sie doch nicht am Konzept des Hypertext Transfer Protocol (HTTP). Denn HTTPS basiert auf HTTP: Es ist das gleiche Protokoll zur Datenübertragung – ergänzt um eine zusätzliche Verschlüsselung zur Datensicherheit. Diese heißt „Transport Layer Security“ (TLS) oder früher „Secure Socket Layer“ (SSL). Genauer gesagt wird TLS/SSL verwendet, um die Verbindung zwischen Web-Servern und Clients zu verschlüsseln. Dadurch wird verhindert, dass die dabei übertragenen Informationen von Dritten eingesehen werden können. Dazu gehören alle Daten, die auf einer Website eingegeben werden: Namen, Passwörter, Kreditkarteninformationen und vieles mehr.

Die Verbindung zu dieser Webseite ist nicht sicher
Quelle: Eigene Abbildung

Aus diesem Grund kaufen Unternehmen TLS/SSL-Zertifikate, die erzwingen, dass beim Aufruf einer Webseite die Kommunikation zwischen Client bzw. Nutzer und Server ausschließlich über HTTPS erfolgt. Für Webseitenbetreiber ist dies die einfachste Möglichkeit, eine sichere Übertragung aller Daten zu gewährleisten und den Zugriff Dritter auszuschließen.

Mehr dazu: SEO Grundlagen – Was ist HTTPS?

Warum braucht meine Website HTTPS?

Vereinfacht gesagt: Damit Ihren Kunden bei der Passworteingabe niemand über die Schulter schaut. Auch wenn es an dystopische Kinofilme erinnert: Das Abgreifen von Daten über schlecht gesicherte Webseiten passiert jeden Tag. Keine Frage: Cyberkriminalität ist lukrativ und der Markt wächst stetig. Allein im Jahr 2015 verzeichnete Google einen Anstieg von 180 Prozent bei der Zahl der nachweislich gehackten Websites.[7]

Um das zu verhindern setzt der Suchmaschinenanbieter auf eine bessere Sicherung von Websites. HTTPS ist dafür das Mittel der Wahl, schließlich lässt sich eine HTTP-Seite meist unkompliziert aufrüsten. t3n beispielsweise erklärt das Vorgehen für WordPress-Websites. Um das zu erreichen, setzt Google auf Zuckerbrot und Peitsche. Über Chrome werden HTTP-Seiten als „Nicht sicher“ markiert, die hauseigene Suchmaschine verschafft HTTPS-Seiten hingegen ein besseres Ranking.[8]

Wie kann ich meine Website sicherer machen?

HTTPS wird der neue Standard. Wenn Google sich die Websicherheit auf die Fahne schreibt, gibt es für andere kaum die Möglichkeit, diesem Trend nicht zu folgen. Das heißt aber noch lange nicht, dass Sie einen komplett neuen Webauftritt brauchen. In drei für Laien durchführbaren Schritten finden Sie heraus, was zu tun ist.

Schritt 1: Überprüfen Sie, welches Protokoll Sie benutzen

Wir gehen zunächst ganz einfach vor: Die Neuerungen in Chrome nutzen wir zu unserem Vorteil und geben einfach die eigene URL in die Adresszeile des Browsers ein. Erscheint ein kleines grünes Schloss vor dem Wort „Sicher“, nutzen Sie schon HTTPS. Ihre Website ist sicher, wird von Google bevorzugt gerankt und Sie müssen sich keine Gedanken um die Datensicherheit Ihrer Kunden machen. Leuchten die Worte „Nicht sicher“ rot vor der URL, sollten Sie definitiv weiterlesen, denn Sie nutzen HTTP. Ihrer Homepage fehlt die TLS/SSL-Verschlüsselung.

Wollen Sie Chrome nicht extra installieren, falls Sie es nicht benutzen, überprüfen Sie einfach, ob sich „http://“ oder „https://“ vor Ihrer WWW-Adresse einblendet. Noch ein Tipp für Chrome-Nutzer: Stellen Sie vorweg sicher, dass Sie die aktuelle Version des Browsers nutzen. Ein Update auf Chrome 62 ist schnell gemacht und nur so erhalten sie die „Nicht sicher“-Warnung, wenn Sie HTTP-Seiten aufrufen.

Schritt 2: Reden Sie mit Ihrem IT- oder Web-Team bzw. Dienstleister

Manchmal gehen Details, wie das Chrome-Update, im Alltag verloren. Reden Sie daher mit Ihren Experten und stellen Sie sicher, dass sich alle der Neuerungen bewusst sind, die das Update mit sich bringt. Vielleicht haben Sie schon Pläne für Anpassungen, vielleicht stoßen Sie sie aber auch erst auf das Problem. Nutzen Sie noch http, sollten die Verantwortlichen darüber bereits informiert worden sein: Mitte August wurden per Google Search Console alle Betreiber von HTTP-Seiten mit Dateneingabemöglichkeit benachrichtigt. Mit Verweis darauf lässt sich leicht ein Gespräch eröffnen.

Sie haben jedoch keine Garantie, dass Ihre Website bei Googles Check bereits aufgefallen ist. Ist sich Ihr Team der Sache nicht bewusst, finden Sie hier ein paar Informationen um Sie zu briefen. Zuerst von Chrome selbst, hier folgenden die nächsten Schritte und beim Chromium-Projekt, dem Open-Source-Ableger von Chrome, finden sich die einzelnen Phasen der Security-Neuerungen in der Übersicht.

Folgende Fragen sollten in Zuge dessen geklärt werden:

  • Wie steht Ihr Unternehmen zum Thema Web-Sicherheit?
  • Wer ist für den Inhalt, die Aktualisierung und die Sicherheit der Website(s) verantwortlich?
  • Welche internen Projekte laufen bereits zum Thema Cyber Security?
  • Wer ist für die Implementierung und Pflege von TLS/SSL-Zertifikaten zuständig?
  • Welche Sicherheitsstandards muss das Marketing bei der Pflege der Unternehmenswebsite beachten?
  • Wie werden neue Technologien und Plugins geprüft, bevor sie auf der Website implementiert werden?
  • Welche externen Dienste und Plattformen greifen auf Ihre Website zu?

Schritt 3: Überprüfen Sie Ihre Plug-Ins und Dienstleister

Auch wenn Sie alles getan haben, um Ihre Website(s) bestmöglich abzusichern, haben Sie nur Einfluss auf die Inhalte, die Sie selbst verwalten. Die allermeisten Webauftritte kommen jedoch nicht ohne die Einbindung von Diensten Dritter aus. Meist geschieht dies in Form so genannter Plug-Ins. Viele Dienste laufen über Plug-Ins, ohne dass es dem technisch weniger versierten Nutzer auffällt. E-Mails werden manchmal über Plug-Ins abgewickelt, Ihre Marketing-Tools lesen wahrscheinlich über Plug-Ins die Daten auf Ihrer Seite aus und auch Ihr Content-Management-System greift über Plug-Ins auf Ihre Website zu. All dies sind Dienste Dritter, deren Sicherheitsstandards Sie nicht kontrollieren können. Prüfen Sie daher, wie Ihre Plug-ins mit den Daten umgehen und welche Sicherheitssysteme Sie einsetzen.

Kritisch wird es auch, wenn Sie auf die Seiten Ihrer Dienstleister und Partner verlinken. Den Besuchern Ihrer Seite ist unter Umständen nicht bewusst, dass Sie Ihre Seite verlassen haben und für die Inhalte nicht mehr verantwortlich sind. Verlinken Sie daher nur auf Seiten, die HTTPS als Protokoll verwenden, um unnötige Irritationen zu vermeiden. Eine solche Überprüfung der Links kann noch weitere Vorteile haben: Oft findet man so genannte „tote Links“, die auf Webseiten verweisen, die schon lange nicht mehr existieren. Solche Links ins Nichts können durch eine regelmäßige Linkprüfung vermieden und überflüssige Links aussortiert werden. Nach Angaben der Wirtschaftsuniversität Athen sind bereits nach vier Jahren 40 bis 50 % der URLs nicht mehr erreichbar.[9]

Und wenn all das nicht geholfen hat?

Sie haben immer noch zwei Möglichkeiten.

Erstens: Lassen Sie einfach alles so, wie es ist.

Sie sind nicht der Einzige. Von den 100 meistbesuchten Websites in Deutschland setzen 2017 erst 71 auf HTTPS.[10] Zwar ist das der Löwenanteil, aber dennoch wird deutlich, dass es auch unter den bekanntesten Seiten noch zahlreiche HTTP-basierte gibt. Zudem nutzt bei Weitem nicht jeder Chrome und erhält damit auch die „Nicht sicher“-Warnung. Vielleicht setzen gerade Ihre Kunden eher auf den Apple-Browser Safari. Je nach Zielgruppe, gibt es auch hier unterschiedliche Präferenzen.

Zweitens: Rüsten Sie auf.

Beauftragen Sie Ihr Team mit der Sicherung Ihrer Website oder legen Sie selbst Hand an, denn große IT-Kenntnisse sind dafür gar nicht von Nöten. Mit etwas Glück hat sogar Ihr Hosting-Anbieter eigene Zertifikate im Angebot oder kann Sie vermitteln, sodass Sie unkompliziert eine Zertifizierung erhalten können. 1&1 beispielsweise bietet SSL-Zertifikate bereits für 0,99 € im Monat an und auch Strato hat über den Partner Symantec Zertifikate im Angebot. Wer es sogar noch günstiger haben will, der kann auch auf von Let’s Encrypt ein kostenloses Zertifikat bekommen.

Fazit

Google macht HTTPS im Alleingang zum neuen Standard in der Websicherheit. Aber lassen Sie sich nicht verunsichern: Zum einen nutzt lange nicht jeder Chrome und bekommt eine „Nicht sicher“-Meldung angezeigt, wenn er eine Seite ohne TLS/SSL-Verschlüsselung aufruft. Zum anderen lässt sich HTTPS leicht nachrüsten – auch ohne IT-Kenntnisse.

Quellen

[1] https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure
[2] https://security.googleblog.com/2017/04/next-steps-toward-more-connection.html
[3] ebenda
[4] https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure
[5] https://www.browser-statistik.de/statistiken/
[6] https://de.statista.com/statistik/daten/studie/157944/umfrage/marktanteile-der-browser-bei-der-internetnutzung-weltweit-seit-2009/
[7] https://webmaster-de.googleblog.com/2016/05/so-sind-wir-2015-gegen-webspam.html
[8] https://www.heise.de/newsticker/meldung/HTTPS-Verschluesselung-verbessert-Google-Ranking-2287896.html
[9] https://www.spinellis.gr/pubs/jrnl/2003-CACM-URLcite/html/urlcite.html
[10] https://www.heise.de/security/meldung/Google-Transparenzbericht-HTTPS-Traffic-nimmt-weltweit-zu-3870427.html

Thomas Barsch ist Dozent für Marketing, Vertrieb und Innovation an mehreren Hochschulen. Als Unternehmensberater mit dem Schwerpunkt Webseiten & DIGITAL SALES EXCELLENCE greift er auf einen über 25-jährigen Erfahrungsschatz im Marketing & Vertrieb zurück. Er bloggt seit dem 7. Januar 2012.

Die Kommentarfunktion ist geschlossen.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More