Das Wichtigste vorab: Sobald auf einer Webseite irgendwelche persönlichen Daten eingegeben werden müssen, Anmeldedaten erforderlich sind oder die übertragenen Daten nicht für die Augen der ganzen Weltbevölkerung gedacht sind, immer dann müssen die Daten ausschließlich verschlüsselt übertragen werden. Dazu ist prinzipiell das Protokoll https erforderlich, denn damit werden die übertragenen Daten zwischen Webserver und Endgerät (Browser am PC, Mac oder Handy) verschlüsselt und alle Punkte, über welche die Daten transportiert werden, können die Inhalte nicht entziffern – zumindest nicht einfach so. Zusätzlich wird die Identität des Webservers überprüft, damit Sie sicher sein können, dass Sie sich zum Beispiel tatsächlich gerade bei Ihrer Bank anmelden und nicht etwa bei einem Betrüger.
Hier eine kleine Begriffserklärung:
HTTP – Hypertext Transfer Protocol
Mit diesem Protokoll werden Daten von einem Server zum Client abgerufen – so wie es vor mittlerweile rund 30 Jahren von Sir Tim Berners-Lee und seinem Team damals bei CERN sozusagen erfunden wurde. Der Client – also Browser (Internet Explorer, Chrome, Edge, Firefox, Opera usw.) – schickt eine Anfrage nach Daten in Form einer kurzen Nachricht an den Webserver und dieser antwortet mit einer ebenfalls kurzen Nachricht über den Status und zusätzlich den Daten – sofern durchführbar. Die gesamte Kommunikation erfolgt unverschlüsselt als Klartext. Nachdem der Weg eines Datenpakets über mehrere Server führt und einfach immer nur weitergereicht wird, kann an jeder Stelle zumindest der beteiligte Server die gesendeten Daten einfach mitlesen, kopieren und sogar verändern – ohne dass es Server oder Client mitbekommt.
HTTPS – Hypertext Transfer Protocol Secure
Das HTTPS wird dazu verwendet um die Kommunikation zwischen Server und Client zu verschlüsseln und gleichzeitig die Identität des Servers zu bestätigen. Es wird technisch gesehen dazu genutzt, um den Datentransfer von HTTP ein eine sichere Hülle einzubetten. Wenn nun Daten übertragen werden sollen und es ist HTTPS als Protokoll ausgewählt, dann werden zwar prinzipiell immer noch die Methoden und das Protokoll von HTTP genutzt, aber vor der Übertragung kommt noch die Hülle von HTTPS darüber – und damit ist der übertragene Inhalt sozusagen gegenüber neugierigen Blicken abgeschirmt.
SSL/TLS
Die Kommunikation im Internet erfolgt in Form von Datenpaketen. Diese beinhalten zumindest immer Absender und Empfänger einer Nachricht, das verwendete Protokoll und meistens auch eine Nachricht. Damit die Nachricht korrekt übertragen und an die jeweils zuständigen Programme bei Server und Client zugestellt werden können, müssen zur eigentlichen Botschaft also noch Informationen angehängt werden. Die Nachricht wird sozusagen verpackt. Die einzelnen Verpackungsschritte werden Schichten bezeichnet – vom lesbaren Text oder Bild in der Anwendung bis zu den Spannungsspitzen im LAN-Kabel. SSL/TLS steht für Secure Socket Layer / Transport Layer Security und bezeichnet sozusagen eine Zwischenschicht beim Übertragen von Datenpaketen die sicherstellen soll, dass die übertragenen Dateninhalte für unbefugte nicht lesbar bzw. veränderbar sind.