So überprüfen Sie, ob der Kauf auf einer Website sicher ist (und beweisen, dass Ihre Website sicher ist)

Oct 03, 2023

Im zweiten Quartal 2020 berichtete HelpNet Security, dass täglich durchschnittlich mehr als 18.000 gefälschte Websites erstellt wurden. Basierend auf dieser Berechnung bedeutet dies, dass jährlich durchschnittlich mindestens 6,57 Millionen betrügerische Websites erstellt wurden. Das bedeutet, dass Ihre Mitarbeiter wissen müssen, wie sie überprüfen können, ob der Kauf auf einer Website sicher ist, damit Ihr Unternehmen nicht von einem gefälschten Anbieter betrogen wird.

Versetzen Sie sich jetzt in die Lage Ihrer potenziellen Kunden. Sie versuchen herauszufinden, ob sie mit Ihrem Unternehmen Geschäfte machen sollen. Es gibt mehrere Fragen, die sie möglicherweise zu Ihrer Website stellen:

Lassen Sie uns untersuchen, was aus Benutzersicht eine „sichere“ Website ausmacht und wie Sie feststellen können, ob der Kauf auf einer Website sicher ist. Wir werden auch darüber sprechen, was Website-Administratoren tun können, um Besuchern zu beweisen, dass ihre Websites sicher und legitim sind.

Lassen Sie es uns klären.

Wenn es darum geht, die Sicherheit einer Website zu beurteilen, gibt es bestimmte Dinge, auf die Benutzer achten sollten. In der Vergangenheit haben wir die Leute darauf hingewiesen, im Browser nach dem Sicherheitsschloss-Symbol zu suchen. (Seit Jahrzehnten dient dieses Symbol dazu, zu kommunizieren, dass eine Website sicher ist.) Wie wir jedoch kürzlich in einem anderen Blog-Beitrag mitgeteilt haben, wird das sichere Vorhängeschloss-Symbol in Chrome mit der Einführung der Chrome-Version 117 (irgendwann etwa im September 2023) den Weg des Dodo-Vogels gehen. Warum? Weil die Leute eine sichere Website fälschlicherweise mit einer sicheren verwechselten. Aber wie wir etwas später besprechen werden, sind diese Begriffe nicht synonym.

Wenn Websites das HTTPS-Protokoll verwenden, bedeutet dies, dass die Website Verschlüsselung verwendet, um die Daten zu sichern, die zwischen dem Client und dem Server übertragen werden. Grundsätzlich verschlüsselt der Browser des Website-Besuchers die Daten mit einem Verschlüsselungsschlüssel und der Empfängerserver entschlüsselt sie mit einem Entschlüsselungsschlüssel. Möglich wird dies durch ein SSL/TLS-Zertifikat.

Anstelle des sicheren Vorhängeschloss-Symbols sehen Sie stattdessen ein „Tune“-Symbol, das so aussieht:

Aber die bloße Aussage, dass eine Website sicher ist, gibt Ihnen noch kein vollständiges Bild darüber, ob eine Website sicher ist …

Aber nur weil etwas verschlüsselt ist, heißt das nicht automatisch, dass es sicher ist. Dies ist einer der beiden Hauptgründe, warum das Google Chrome-Sicherheitsteam sagt, dass es beschlossen hat, das Sicherheitsvorhängeschloss ganz abzuschaffen:

Obwohl es in der Branche viele Wörter gibt, die wir gerne synonym verwenden, sollten „sicher“ und „sicher“ nicht zwei davon sein. Warum? Denn auch wenn sie oberflächlich betrachtet so klingen, als wären sie dasselbe, ist die Wahrheit, dass sie es nicht sind.

Asicher Website bedeutet, dass die Website eine verschlüsselte Verbindung verwendet, um Daten vor Abhörangriffen zu schützen. Zu dieser Art von Angriffen kommt es, wenn ein Angreifer (also ein Mann in der Mitte) versucht, zwischen zwei Kommunikationsparteien zu gelangen, um deren Daten während der Übertragung zu lesen, zu ändern oder zu stehlen.

AsicherEine Website hingegen bedeutet, dass Sie nicht nur eine sichere Verbindung zum Senden und Empfangen von Daten verwenden, sondern auch wissen, wer am anderen Ende der Verbindung Ihre sensiblen Daten erhält.

Eine sichere Website ohne überprüfbare Identität vermittelt ein falsches Sicherheitsgefühl. Selbst wenn Sie den besten Verschlüsselungsalgorithmus verwenden, nützt es Ihnen nichts, wenn die Person am anderen Ende (also die Person mit dem Entschlüsselungsschlüssel) nicht vertrauenswürdig ist.

Nachdem wir nun den Unterschied zwischen „sicher“ und „sicher“ kennen, ist es an der Zeit, schnell einige Möglichkeiten zur Überprüfung der Authentizität und Sicherheit einer Website zu erkunden.

Wenn Sie etwas auf einer Website kaufen möchten, ist es immer eine gute Idee, die Domain der Website oder bestimmte URLs durch einen Website-Scanner laufen zu lassen, bevor Sie darauf klicken. Diese Vorgehensweise kann Ihnen helfen, eine Infektion Ihres Computers oder Mobilgeräts mit Malware zu vermeiden.

Geben Sie beispielsweise die URL einer Website in das URL-Prüftool von VirusTotal.com ein, um zu sehen, ob besorgniserregende Ergebnisse angezeigt werden. Als Beispiel haben wir bösartigewebsitetest.com verwendet:

Wenn Sie einen Link erhalten, der eine verkürzte URL enthält (z. B. bit.ly, tinyurl, goo.gl usw.), können Sie auch ein URL-Expander-Tool verwenden, um kurze URLs in ihre Vollversionen zu analysieren. Beispielsweise haben wir die verkürzte URL https://bit.ly/3ME9e3D genommen und sie zu https://thesslstore.com/blog erweitert.

Für Verbraucher und Mitarbeiter ist es heute wichtiger denn je, die digitale Identität einer Website und des Unternehmens, dem sie gehört, zu bewerten. Warum? Denn wenn Sie nicht wissen, mit wem Sie sich verbinden, könnten Sie Opfer eines Identitätsdiebstahls, betrügerischer Einkäufe oder einer schwerwiegenderen Datenschutzverletzung werden.

Sobald Sie sich auf einer Website befinden, können Sie die SSL/TLS-Zertifikatinformationen der Website überprüfen. Wenn Sie ein Organisationsvalidierungszertifikat (OV) oder ein EV-Zertifikat (Extended Validation) verwenden, wird die validierte digitale Identität Ihrer Organisation an die Domäne gebunden. Das Website-Sicherheitszertifikat von TheSSLstore.com zeigt beispielsweise unseren allgemeinen Namen (CN), den Namen der Organisation (O), den Standort (L), den Bundesstaat (S) und andere Informationen:

Sehen Sie keine Informationen, die so aussehen? Dies bedeutet wahrscheinlich, dass die Website ein Domain-Validierungszertifikat (DV) verwendet. Das bedeutet, dass die Zertifizierungsstelle (CA), die es ausgestellt hat, nur überprüft hat, ob der Zertifikatsanforderer die Kontrolle über die Domäne hat; Es wurden keine Nachforschungen oder zusätzliche Überprüfungen der digitalen Identität des Unternehmens selbst durchgeführt.

Es ist nicht ungewöhnlich, dass seriöse Unternehmen DV-Zertifikate verwenden. Nicht jede Website benötigt ein höheres Maß an Validierung (z. B. Informationswebsites, die keine sensiblen Daten sammeln). Es ist jedoch wichtig zu beachten, dass diese Mindestvalidierungszertifikate auch häufig von Cyberkriminellen verwendet werden, da sie kostenlos sind (oder zu geringen Kosten erworben werden können) und keine geschäftliche Validierung erfordern. Tatsächlich ergab die Analyse von PhishLabs zu Phishing-Websites im ersten Quartal 2021, dass mehr als 94 % der Phishing-Websites domänenvalidierte (DV) SSL/TLS-Zertifikate verwendeten.

Nachdem Sie diese ersten Prüfungen durchgeführt haben, besteht der nächste Schritt darin, die Inhalte der Website kritisch zu betrachten. Lesen Sie den Inhalt, überprüfen Sie die Produkte und Preise und fragen Sie sich: Passt das zusammen?

Eine weitere gute Möglichkeit, um festzustellen, ob eine Website sicher ist, besteht darin, die Bewertungen anderer zu lesen. Dies ist natürlich nicht narrensicher, da Kriminelle gefälschte Bewertungen online veröffentlichen oder Leute damit beauftragen können, dies für sie zu tun. Es handelt sich jedoch immer noch um eine zusätzliche Verifizierungsmethode, da jemand, der betrogen wird, unweigerlich negative Bewertungen auf Websites wie Yelp, Trustpilot, Consumer Reports, Angie's List und anderen veröffentlicht.

Sie können auch auf Websites wie dem Better Business Bureau (BBB) ​​nachsehen, ob in den letzten Jahren Beschwerden gegen die Website oder das Unternehmen eingereicht wurden.

Immer noch nicht genug? Sie können sogar noch weiter gehen und die Legitimität des Domaininhabers überprüfen. In den USA können Sie dies tun, indem Sie die Aufzeichnungen des Staates überprüfen, in dem das Unternehmen angeblich registriert ist. Beispielsweise können wir die Datenbank der Division of Corporations und des Commercial Code des Bundesstaates Utah nach Informationen über die Zertifizierungsstelle DigiCert, Inc. durchsuchen .:

Weitere Informationen dazu, wie Sie feststellen können, ob eine Website gefälscht oder betrügerisch ist, finden Sie in unserer anderen verwandten Ressource.

Jetzt ist es an der Zeit, das Drehbuch umzudrehen und die Dinge aus der Perspektive von Website-Eigentümern und -Administratoren zu betrachten. Wenn Sie nach Möglichkeiten suchen, Ihre Website authentischer zu gestalten, dann ist digitales Vertrauen der beste Weg, dies zu erreichen.

Digitales Vertrauen ist die Grundlage der Internetsicherheit und basiert in erster Linie auf der Public-Key-Infrastruktur (PKI). Dazu gehört alles von den Standards, Prozessen, Zertifizierungsstellen, digitalen Zertifikaten und kryptografischen Schlüsseln, aus denen das PKI-Ökosystem besteht. Aber warum ist es so wichtig, digitales Vertrauen aufzubauen? Folgendes berücksichtigen.

Untersuchungen des Baymard Institute zeigen, dass die durchschnittliche Abbruchrate von Online-Einkäufen im Jahr 2023 bei 69,99 % liegt. Bedenken Sie nun, dass andere Untersuchungen von Baymard zeigen, dass 18 % der Verbraucher ihren Warenkorb während des Bezahlvorgangs abbrechen, wenn sie der Website ihre Kreditkarteninformationen nicht anvertrauen. Das bedeutet, dass fast jeder fünfte Kunde weggeht, wenn er sich bei der Nutzung Ihrer Website nicht sicher fühlt.

Wie können Sie also digitales Vertrauen nutzen, um die Authentizität und Sicherheit Ihrer Website nachzuweisen?

Der erste Schritt, den Sie unternehmen können, besteht darin, ein SSL/TLS-Zertifikat zur Unternehmensvalidierung zu kaufen und auf Ihrem Webserver zu installieren. Dadurch wird sichergestellt, dass die Verbindung zwischen Ihrer Website und dem Webclient des Besuchers sicher und verschlüsselt ist. Auf diese Weise sind die sensiblen Daten während der Übertragung vor Abhörangriffen und Kompromittierung geschützt.

Durch die Aktivierung von HTTPS kommt Ihr Unternehmen außerdem der Einhaltung branchenspezifischer Sicherheits- und Datenschutzstandards und -vorschriften einen Schritt näher. Dazu gehören Regelungen wie:

Obwohl die Verschlüsselung unabhängig davon, welche Art von SSL/TLS-Zertifikat Sie verwenden, gleich ist, gibt es einen Unterschied in der Ebene der digitalen Identität, die ein Zertifikat bieten kann. Beispielsweise bietet ein DV-Zertifikat das Mindestmaß an Validierung (und Identitätssicherung), während OV- oder EV-Zertifikate ein höheres Maß an Validierung bieten.

Für Unternehmen, die sensible Daten sammeln, ist es wichtig, dass Sie mindestens über ein OV-Zertifikat verfügen. Wenn Ihr Unternehmen hochsensible Daten (z. B. Finanzinformationen, geistiges Eigentum, medizinische oder versicherungsbezogene Informationen) verarbeitet, sind Sie mit einem EV-Zertifikat am besten bedient. Die Verwendung eines EV-Zertifikats zeigt, dass Sie die strengsten Validierungsprüfungen durchlaufen haben, sodass Benutzer sich bei der Geschäftsabwicklung mit Ihrer Website sicherer fühlen können.

Wenn Sie ein SSL/TLS-Zertifikat von großen Marken wie DigiCert und Sectigo erwerben, erhalten Sie auch ein sogenanntes Site-Siegel. Dabei handelt es sich um ein visuelles Sicherheitszeichen, das auf Ihrer Website angebracht wird und dazu beiträgt, das Vertrauen Ihrer Kunden zu stärken. Sie fallen typischerweise in eine von zwei Kategorien.

Hier ist ein Screenshot der verifizierten Informationen, die angezeigt werden, wenn Sie auf das DigiCert Secured Smart Seal von TheSSLstore.com klicken:

Obwohl es Ihnen nicht direkt dabei hilft, zu beweisen, dass der Kauf auf Ihrer Website sicher ist, kann Ihnen die Sicherung von Domains, die mit dem Namen Ihres Unternehmens in Verbindung stehen, dabei helfen, spätere Probleme im Zusammenhang mit Domain-Spoofing-Angriffen zu vermeiden. Sie können diese Look-Alike-Domains erwerben, HTTPS darauf aktivieren und sie so einstellen, dass sie auf die echte Website Ihres Unternehmens weiterleiten.

Warum sollte man sich diese Mühe machen? Cyberkriminelle kaufen häufig ähnliche Domains, um sich als Ihre Marke auszugeben und Kunden vorzutäuschen, es handele sich um Ihre legitime Website. Wenn Sie diese Domains kaufen und sichern, bevor es Bösewichte tun, haben Bösewichte eine Möglichkeit weniger, Ihre Kunden ins Visier zu nehmen und Ihren guten Namen zu beschädigen.

Es ist heute wichtiger denn je, dafür zu sorgen, dass Sie sichere Websites nutzen. Als Benutzer bedeutet dies, nach digitalen Identitätsnachweisen zu suchen und die Online-Shops, bei denen Sie einkaufen, sorgfältig zu prüfen, um festzustellen, ob sie verschlüsselte Verbindungen verwenden.

Als Website-Inhaber bedeutet dies, den Benutzern Möglichkeiten zur Überprüfung der Authentizität Ihrer Website bereitzustellen. Dabei geht es darum, Ihre digitale Identität über vertrauenswürdige Dritte nachweisbar durchzusetzen. Es ist nicht nur im Allgemeinen eine bewährte Methode, HTTPS aus vertrauenswürdiger Sicht zu verwenden, sondern auch eine Compliance-Anforderung.

Wir hoffen, dass Sie diese Informationen nützlich fanden. Wenn Sie weitere Gedanken haben, die Sie einbringen möchten, teilen Sie diese wie immer im Kommentarbereich unten mit.