(Zu) Viele Versicherungs-Websites sind unsicher

740px 535px
Schon seit einiger Zeit hat sich im Internet durchgesetzt, dass Webseiten per HTTPS abgesichert sind. Alle Daten, die mit einer solchen Seite ausgetauscht werden, gehen über eine verschlüsselte Verbindung. Diese Neuerung haben aber einige Versicherer offensichtlich verpasst - viele Anbieter-Websites laufen noch ohne diese Sicherheitszertifikate. Jan Oelze, IT-Experte von , erklärt im Expertengespräch, warum die Absicherung per HTTPS-Protokoll so wichtig ist.

Ein stichprobenartiger Test mehrerer Websites von namhaften Versicherern hat ergeben, dass fast 50 Prozent der getesteten Seiten keine Absicherung per HTTPS integriert hatten, sondern noch das unsicherere HTTP-Protokoll verwenden. Von 29 getesteten Seiten hatten zwölf Seiten keine Verschlüsselung per HTTPS-Protokoll auf der Startseite integriert. Bei vielen Versicherern sorgte das ssl-Zertifikat immerhin auf datensensiblen Unterseiten für mehr Sicherheit. Doch selbst wenn die Versicherer teilweise keine Login-Funktion auf ihrer Startseite anbieten, eine Sicherheitslücke ist das fehlende "S" dennoch.

Auch sensible Daten sollten verschlüsselt werden
Wenn eine Seite, die sensible Daten wie Kontonummer oder Krankengeschichte verwaltet, nicht ausreichend abgesichert ist, können diese Daten leicht von Angreifern eingesehen werden. Doch nicht nur Seiten, die sensible Daten übertragen, sollten durch das HTTPS-Protokoll verschlüsselt werden. Denn ansonsten ist nicht sichergestellt, dass die Informationen wirklich von diesem Anbieter stammen oder nicht doch von anderer Seite manipuliert wurden.

Bei zwei Versicherern wurde im Test ein besonders bedenklicher Umgang mit Kundendaten festegestellt: Auf einer Versicherungswebsite konnte man ohne jegliche Absicherung durch ein ssl-Zertifikat eine Rechtsschutzversicherung abschließen, auf einer anderen Seite ließen durch die Eingabe des persönlichen Einkommens Tarife berechnen, ebenfalls komplett ohne Absicherung. Dies ist mehr als bedenklich. Kunden, die ihre Daten im Internet eingeben, sollten immer darauf achten, dass eine Seite, auf der man persönliche Daten eingibt, per HTTPS-Protokoll abgesichert ist. Eine sichere Seite erkennt man hierbei leicht am Schlüsselsymbol, das vor der URL steht.





"Das Risiko ist schon seit Jahren nicht mehr haltbar"
Jan Oelze, IT-Experte der Versicherungs-Plattform transparent-beraten.de, hält ein fehlendes HTTPS-Protokoll gerade im Versicherungsbereich für eine grobe Fahrlässigkeit.

Wieso ist es so wichtig, eine Seite per HTTPS-Protokoll zu verschlüsseln?
Eine Verschlüsselung per HTTPS-Protokoll gewährleistet grundlegende Sicherheit in der Übermittlung von vertraulichen Daten. Das klingt im ersten Moment nach einem Anwendungsfall für Banken, Behörden und IT-Firmen, ist aber schon lange auch für mittlere bis kleine Unternehmen relevant. Es gibt de facto keinen nicht-sensitiven Datenverkehr zwischen Website-Besucher und Website-Betreiber mehr. Bei jedem Website-Aufruf werden Meta-Daten übermittelt, die in den Händen von Dritten bestenfalls nur Nutzer-identifizierend sind.

Der implizite Integritäts-Vertrag zwischen Nutzer und Website-Betreiber wird durch das Ausliefern über unverschlüsseltes HTTP teilweise auf Netzwerkanbieter, Website-Hoster, Hersteller des WLAN-Routers, den man zu hause hat, und viele weitere beteiligte Parteien übertragen. Das Risiko ist seit Jahren schon nicht mehr haltbar.

Mozilla Firefox hat vor kurzem angekündigt alle Websites, die über eine unverschlüsselte Verbindung aufgerufen werden und ein Passwortfeld auf der Website enthalten, als unsicher zu markieren und warnt Nutzer bei der Verwendung. Der Schritt verdeutlicht den Ernst der Lage und zeigt, dass Versicherer, die noch das HTTP-Protokoll verwenden, schnellstens auf HTTPS umstellen sollten.

Einige Anbieter-Seiten von großen Versicherern sind nicht mit HTTPS verschlüsselt. Sind diese Seiten damitfür den Verbraucher unsicher?
Wenn über die rohe HTTP-Verbindung vertrauliche Daten wie Versicherungsnummer, Passwörter oder Ähnliches übermittelt werden: Ja, massiv unsicher. In Website-Bereichen, die keine identifizierenden Informationen halten, stehen keine sensiblen Daten auf dem Spiel. Bewegungsprofile und Browserinformationen sind für technisch versierte aber ebenfalls eine tiefhängende Frucht und geben
durch die richtige Analyse weitreichende Einblicke in Nutzerverhalten und Meta-Daten.

Wichtig ist auch zu wissen, dass nicht jede Website, die ein HTTPS-Protokoll besitzt, automatisch sicher ist. Auch hier tun sich regelmäßig viele Angriffsvektoren auf. Aber ein Grundgefühl für den technischen Stand einer Website bekommt man durch den Blick auf das Grüne Schloss-Icon in der Browserleiste durchaus.

Beieinzelnen Versicherern konnte man im Test sogar sensible Daten wie Kontonummer, Adresse etc. ohne jegliche Absicherung eingeben. Was könntehierbei schlimmstenfalls passieren?
In der Realität muss angenommen werden, dass diese Daten nun nicht mehr privat sind und Passwörter, PINs und ähnliche Daten ausgetauscht werden sollten. Gerade Websites der Versicherungs- und Finanzbranche halten teilweise extrem vertrauliche Daten über Arbeitgeberverhältnisse und Krankheiten und sollten in unverschlüsselter Form rigoros gemieden werden, da dies für Angreifer extrem wertvolle Datensätze sind.

Um das Szenario in die richtige Perspektive zu rücken: Durch den Ashley Madison Hack gingen Ehen in die Brüche und es gab vereinzelte Suizide. Sonys Hack führt dazu, dass Mitarbeiter Opfer von Identitätsdiebstahl wurden, Erpressungen und Bedrohungen statt fanden.

Wie aktiviere ich eine SSL-Verschlüsselung für meine Website?
Viele Web-Hosting-Anbieter (etwa DomainFactory, Strato, 1und1 und viele andere) erlauben das Zubuchen von SSL-Zertifikaten und führen meistens Hilfe-Dokumente, die den Prozess erleichtern. Der Vorgang ist dann mit wenigen Klicks erledigt. Für Websites, die auf eigenen Servern betrieben werden, sollten Entwickler hinzugezogen werden, die mit der entsprechenden Technologie vertraut sind.

Bildquelle: © bygimmy/Fotolia.com

Autor(en): Juliane Weiß

Alle Branche News