Unsere Webseite nutzt Cookies und weitere Technologien, um die Benutzerfreundlichkeit für Sie zu verbessern und die Leistung der Webseite und unserer Werbemassnahmen zu messen. Weitere Informationen und Optionen finden Sie in unserer Datenschutzerklärung.
Ok
Weka Plus

HSTS: Webseitensicherheit durch HSTS

Dass Webseiten aus Gründen der Sicherheit vorzugsweise verschlüsselt aufgerufen werden sollten, hat sich inzwischen herumgesprochen. Trotzdem genügt es nicht, wenn Sie Ihren Webauftritt von http:// auf https:// umleiten – genau in dieser Umleitung lauert eine Sicherheitslücke, und zwar bedroht diese die PCs der Webseitenbesucher. Mit HSTS können Sie Ihre Webseite noch sicherer machen.

26.05.2023 Von: Lars Behrens
HSTS

Arbeitshilfen Datenschutz und IT-Recht

Per HTTPS abgesicherte Seite

Heutzutage ist ein Webauftritt ohne eine per SSL verschlüsselte Version undenkbar. Zum einen dient dies der Absicherung der Aufrufe. Ihre Besucher können sicher sein, dass beispielsweise Passwörter eines Logins zu Ihrem Content Management System usw. nicht im Klartext übertragen werden. Zum anderen ergibt sich aus heutigen Datenschutzbestimmungen die Notwendigkeit, personenbezogene Daten, die Besucher Ihrer Webseite etwa beim Ausfüllen des Kontaktformulars preisgeben, vor unbefugtem Zugriff zu schützen - und nach allgemeiner Auffassung gehört dazu eine per HTTPS abgesicherte Seite. Ausserdem honoriert die Suchmaschine Google die Verschlüsselung von Webseiten mit einer etwas besseren Platzierung in den Suchergebnissen.

InformatikPraxis

DIE ultimative Praxislösung für IT-Entscheider!

ab CHF 168.00

Nun können Sie Ihren Webserver so konfigurieren, dass eine Webseite ausschliesslich verschlüsselt abrufbar ist, also nur noch auf https:// hört. Ein Aufruf von http: //weka.ch wird dann vom Server auf https: //weka.ch umgeleitet. Allerdings garantiert auch dies noch keine vollständige Sicherheit. Ein Angreifer könnte mittels einer so genannten Man-in-the-Middle-Attacke den Aufruf der Webseite umleiten, möglicherweise den gesamten HTTP-Datenstrom des Besuchers abhören und diesem sogar eine gefälschte Version einer Webseite präsentieren.

Die Anfragen Ihres Browsers könnten durch einen Hacker manipuliert werden

Diese potentielle Sicherheitslücke entsteht dadurch, dass eine Webseite auch über http:// erreichbar sein sollte - es könnte ja ein Besucher diese URL fest verlinkt haben. Bietet Ihr Webserver nur noch https: //weka.ch und nicht mehr http: //weka.ch an, würde so mancher Besucher, der die unverschlüsselte Version aufruft und nicht auf die verschlüsselte Seite umgeleitet wird, eine Fehlermeldung erhalten und schlimmstenfalls davon ausgehen, dass Ihr Internetauftritt nicht mehr erreichbar ist. In der Regel leitet man also einen Aufruf von http: //weka.ch per Webserver auf https: //weka.ch um. Rufen Sie beziehungsweise Ihr Browser http: //weka.ch auf, kommt vom Server eine Antwort zurück, dass die Seite jetzt auf https: //weka.ch umgeleitet wird. Genau an dieser Stelle in der Kommunikation zwischen Client und Server liegt eine mögliche Gefahr: Die Anfragen Ihres Browsers könnten durch einen Hacker, der sich in den Datenstrom zwischen Ihren PC und den zu besuchenden Webserver einklinkt, manipuliert werden. Ein offenes WLAN wird hier gerne als Einfallstor genommen, beispielsweise in der Hotellounge mit dem formidablen Apéro, der Sie leider auch ein wenig Ihrer Aufmerksamkeit beraubt.

HSTS Header

Dieses Problem lässt sich durch ein recht einfaches Konstrukt lösen. Wenn eine Webseite per HTTP angesprochen wird, könnte ein Webserver, statt wie üblich mit einer Rückmeldung "Fehlernummer 301 - Seite ist umgezogen nach https: //weka.ch" zu antworten, schlicht den Aufruf der Seite per (unverschlüsseltem) HTTP verweigern. Dies wird per so genanntem HSTS Header Ihrem Browser zurückgegeben, wenn dieser versucht, Ihre Anfrage nach http: //weka. ch aufzulösen. Ihr Browser wird nun nur noch https: //weka. ch aufrufen - ganz gleich, mit welcher Hartnäckigkeit Sie http: //weka.ch in die Adresszeile eingeben. Mit anderen Worten: Sie sind bezogen auf die URL entmündigt, aber es dient eben Ihrem und dem Interesse der Sicherheit des gesamten Internets.

Jetzt weiterlesen mit Weka+

  • Unlimitierter Zugriff auf über 1100 Arbeitshilfen
  • Alle kostenpflichtigen Beiträge auf weka.ch frei
  • Täglich aktualisiert
  • Wöchentlich neue Beiträge und Arbeitshilfen
  • Exklusive Spezialangebote
  • Seminargutscheine
  • Einladungen für Live-Webinare
ab CHF 24.80 pro Monat Jetzt abonnieren Sie haben schon ein W+ Abo? Hier anmelden

Seminar-Empfehlungen

Weitere Beiträge zu diesem Thema

Cyberangriffe
/ Cyberangriffe

Wie sich Unternehmen vor Cyberangriffen schützen können
NAT-Typen
/ NAT-Typen

Ist Ihr Netzwerk bedroht?
IT-Dokumentation
/ IT-Dokumentation

Ein wichtiger Aspekt für den IT-Support
Virtual Private Network (VPN)
/ Virtual Private Network (VPN)

Die sichere Verbindung von Mitarbeitern auf Unternehmensnetzwerke
iPhone und iPad
/ iPhone und iPad

Einbindung in ein Unternehmensnetzwerk
Datensicherheit
/ Datensicherheit

Risiken beim Gang in die Cloud
Newsletter W+ abonnieren