Die sichere Übertragung von Daten ist ein zentrales Thema in der Cybersecurity. Im Web dominieren zwei Protokolle: HTTP (Hypertext Transfer Protocol) und HTTPS (Hypertext Transfer Protocol Secure). Während HTTP traditionell für den Datenaustausch zwischen Browsern und Webservern genutzt wird, setzt HTTPS auf Verschlüsselung und Authentifizierung, um Angriffe zu verhindern.
Grundlagen: HTTP und HTTPS
- HTTP: Unverschlüsseltes Protokoll für den Datenaustausch. Daten werden im Klartext übertragen.
- HTTPS: Erweiterung von HTTP mit TLS/SSL-Verschlüsselung (Transport Layer Security). Alle Daten werden verschlüsselt und die Identität des Servers wird verifiziert.
Sicherheitsrelevante Unterschiede
| Merkmal | HTTP | HTTPS |
|---|---|---|
| Verschlüsselung | Nein | Ja (TLS/SSL) |
| Datenintegrität | Nicht gewährleistet | Manipulationen werden erkannt |
| Authentifizierung | Keine | Zertifikate bestätigen die Server-Identität |
| Angriffsfläche | Hoch | Deutlich reduziert |
| Standard-Port | 80 | 443 |
Relevanz für die Cybersecurity
Man-in-the-Middle-Angriffe (MitM)
Bei HTTP können Angreifer Daten abfangen oder manipulieren, ohne dass der Benutzer es bemerkt.
Praxisbeispiel:
Ein Benutzer öffnet in einem öffentlichen WLAN eine HTTP-Webseite. Ein Angreifer im selben Netzwerk kann Login-Daten oder Cookies mitlesen und sogar den Inhalt der Seite verändern.
Mit HTTPS wird der gesamte Datenverkehr verschlüsselt, sodass selbst bei abgefangenen Daten keine verwertbaren Informationen vorliegen.
Datenintegrität
Bei HTTP kann ein Angreifer zwischen Browser und Server schädlichen Code einschleusen.
Praxisbeispiel:
Ein Angreifer fügt in eine unverschlüsselte Seite JavaScript ein, das Besucher auf eine Phishing-Seite umleitet oder Malware verteilt.
Mit HTTPS erkennt der Browser Manipulationen, da jede Änderung die kryptografische Signatur ungültig macht.
Identitätsdiebstahl
HTTPS verwendet digitale Zertifikate, um sicherzustellen, dass der Benutzer mit dem richtigen Server verbunden ist.
Praxisbeispiel:
- HTTP: Ein Angreifer betreibt eine Fake-Banking-Seite unter ähnlicher Domain.
- HTTPS: Browser prüfen das Zertifikat – gefälschte Seiten lösen Warnmeldungen aus.
Praktische Einsatzbeispiele
- Online-Banking: Aus Sicherheitsgründen ausschließlich HTTPS.
- E-Commerce: Zahlungsinformationen dürfen nur verschlüsselt übertragen werden.
- APIs: Moderne APIs verweigern meist Anfragen über HTTP komplett.
- Unternehmensportale: Login- und Personaldaten sind immer verschlüsselt.
Migration von HTTP zu HTTPS
- TLS/SSL-Zertifikat beschaffen (z. B. Let’s Encrypt)
- Webserver konfigurieren für Port 443
- Automatische Weiterleitung von HTTP zu HTTPS einrichten
- Mixed Content vermeiden (alle Ressourcen über HTTPS laden)
Schreibe einen Kommentar