Websites, die nicht über verschlüsselte Verbindungen erreichbar sind, werden seit kurzer Zeit vom Google Chrome-Browser als «nicht sicher» beziehungsweise «not secure» bezeichnet. Google möchte mit der Förderung von HTTPS-Verschlüsselung die Sicherheit im Internet verbessern. Wer keine HTTPS-Verschlüsselung verwendet, vernachlässigt eine der Grundlagen für Privatsphäre und Sicherheit auf Websites.
«Why No HTTPS?» führt eine Liste von beliebten Websites, die keine HTTPS-Verschlüsselung verwenden. In der Schweiz sind unter anderem 20min.ch, rts.ch, meteocentrale.ch und six-swiss-exchange.com betroffen.
Wie steht es um die HTTPS-Verschlüsselung bei Anwaltskanzleien in der Schweiz?
Bei Anwaltskanzleien, die als «Top Anwaltskanzleien 2018» im Technologie- und Telekommunikationsrecht gelten, dürfen Mandanten und andere Website-Besucher die Verwendung von HTTPS-Verschlüsselung erwarten. Wer als Rechtsanwalt in diesem Bereich tätig ist, empfiehlt seinen Mandanten die Verwendung von HTTPS-Verschlüsselung einerseits aus rechtlichen Gründen und andererseits mit Blick auf den Hinweis in Google Chrome.
«Top»-Anwaltskanzleien im Technologie- und Telekommunikationsrecht: 45 % verwenden noch keine ausschliessliche HTTPS-Verschlüsselung
Überraschenderweise zeigt ein Blick auf die betreffenden und einige andere Websites, dass noch nicht alle Anwaltskollegen die Notwendigkeit erkannt haben, ausschliesslich HTTPS-Verschlüsslung zu verwenden. Im Moment sind rund 45 Prozent der betreffenden Anwaltskollegen noch nicht über Websites mit ausschliesslich HTTPS-Verschlüsselung erreichbar.
Im Ergebnis fällt auf, dass vor allem – aber nicht nur – kleinere Anwaltskanzleien ihre Websites noch nicht über SSL- / TLS-verschlüsselte Verbindungen anbieten. Bei Anwaltskanzleien in anderen Rechtsgebieten haben vermutlich noch weniger den Umstieg auf HTTPS-Verschlüsselung geschafft.
Eigentlich ermöglichen die gängigen Hoster bereits seit einiger Zeit, eine Website ohne zusätzliche Kosten auf HTTPS-Verschlüsselung umzustellen. Bei grösseren Websites kann die Umstellung zu Aufwand führen, doch ist HTTPS-Verschlüsselung kein neues Thema und für Google Chrome wurde die nun erfolgte Kennzeichnung als «nicht sicher» vor bald zwei Jahren angekündigt …
In jedem Fall wichtig: Websites sind nicht allein dadurch sicher, dass man sie über eine verschlüsselte Verbindung abrufen kann. Auch betrügerische oder anderweitig unsichere Websites können HTTPS-Verschlüsselung nutzen.
Siehe (höre) auch: HTTPS – und nun? (Chaosradio).
Die Verwendung unverschlüsselter Verbindungen ist auch in anderen Sparten immer noch üblich. So versenden z. B. Amtsstellen, Betriebe und kirchliche Einrichtungen Personalakten (Bewerbungen, Führungsberichte etc.) unverschlüsselt als Attachements von Mails.
Aber auch manche Arztpraxen und Spitäler versenden Untersuchungsergebnisse und andere heikle Personendaten unverschlüsselt an die Patienten, weil es so am bequemsten ist und man sogar noch das Porto sparen kann…
Bei Reklamationen folgt das grosse Staunen und man bekommt oft zu hören: «Wir machen dies immer so. Sie sind der Erste der reklamiert!»
@M. W. Dreher:
Bei E-Mail ist daran zu denken, dass die Verbindungen zwischen Nutzern und Servern sowie zwischen Servern heute standardmässig verschlüsselt sind. Das ist vergleichbar mit Websites, die HTTPS-Verschlüsselung verwenden.
Bei E-Mail steht man ausserdem vor dem Problem, dass es keine nutzerfreundlichen Möglichkeiten für E-Mail-Verschlüsselung gibt. S/MIME ist unsicher (und der Umgang mit den Zertifikaten mühsam), GPG / PGP ist in der Handhabung sehr anspruchsvoll.
Mit einem Instant Messaging-Dienst, der Ende-zu-Ende-Verschlüsselung anbietet, ist man sofort sicherer unterwegs, insbesondere mit Signal, aber auch iMessage und WhatsApp stehen besser da als E-Mail.
Siehe auch: https://www.digitale-gesellschaft.ch/messenger/bewertung.html