In der Ära der Digitalisierung ist es nicht nur hilfreich, illegitime Websites erkennen zu können – es ist absolut notwendig für den Selbstschutz im Internet. Wer in betrügerischer Absicht aufgesetzte Websites erkennt, schützt seine private und dienstliche Identität, seine Finanzdaten und seine Anmeldedaten für E-Mail-Dienste und die sozialen Medien.
Im Zuge der Corona-Pandemie nehmen Betrug und Identitätsdiebstahl zu. Das US-Ministerium für Gesundheitspflege und soziale Dienste warnt vor Betrugsmaschen, bei denen das Coronavirus in Anrufen, SMS, Social-Media-Mitteilungen oder auf Websites als Köder genutzt wird. Zwar gewöhnen wir uns langsam an ein neues Leben nach diesem Virus, doch der Online-Betrug wird dadurch nicht aufhören, sondern eher zunehmen. Deshalb sollte jeder zu seinem eigenen Schutz wissen, wie er oder sie legitime Websites von Nachahmungen unterscheiden kann. Auch in Zukunft wird dieses Wissen vonnöten sein.
Gefälschte Websites verraten sich am häufigsten durch alternative Schreibweisen in der URL. Oft ändern die Betrüger die URL nur minimal ab, z. B. zu amaz0n.com, oder sie verwenden eine andere Domainerweiterung, z. B. amazon.org statt amazon.com.
Website-Siegel belegen die Authentizität einer Website. Im Regelfall können Sie mit einem Klick darauf mehr über die Website und ihre Verifizierung erfahren. Passiert beim Anklicken eines Siegels nichts, spricht das gegen seine Glaubwürdigkeit. Wahrscheinlich handelt es sich um eine unzulässige Kopie.
Trägt eine Website das Vorhängeschloss-Symbol, heißt das, dass sie durch ein TLS/SSL-Zertifikat geschützt ist, mit dem Benutzerdaten verschlüsselt werden. Suchen Sie das Schloss oben links in der Adressleiste. Es gibt drei Varianten von TLS-Zertifikaten, die durch ein Schloss symbolisiert werden: Domainvalidierung (DV), Unternehmensvalidierung (OV) und Extended Validation (EV).
Fehlt einer Website das Schloss, warnen die meisten Browser, dass die Seite nicht sicher sei. Früher reichte es, nach dem Vorhängeschloss Ausschau zu halten, doch angesichts immer intensiveren Online-Betrugs müssen Sie auch noch auf andere Anzeichen achten.
Das Vorhängeschloss signalisiert, dass die Informationen der Website verschlüsselt sind und der Browser die Website als sicher einstuft. Dass sie einen sicheren Kaufvorgang oder Hafen für Ihre eigenen Informationen bietet, heißt das heutzutage aber leider nicht unbedingt. Auch Websites, die in betrügerischer Absicht gestaltet wurden, können ein Vorhängeschloss haben. Untersuchungen haben ergeben, dass beinahe jede zweite für das Phishing eingerichtete Website schon ein Vorhängeschloss aufweist.
Die Betrüger nutzen vor allem DV-Zertifikate, also niedrigschwellige TLS-Zertifikate, die einige Zertifikatsstellen kostenlos anbieten. Sie müssen also nur nachweisen, dass sie die Eigentümer der Websites sind, dann erhalten diese ein Schloss. DV-Zertifikate erfordern keinen Legitimitätsnachweis für das Unternehmen. Manchmal kommen auch OV- oder EV-Zertifikate zum Einsatz, doch da diese nicht so leicht zu beschaffen sind – unter anderem müssen der Handelsregistereintrag belegt, das Zertifikat mit einer gültigen Kreditkarte bezahlt und Fragen der Zertifizierungsstelle beantwortet werden –, lassen sich die meisten Kriminellen nicht darauf ein.
Website-Fälscher mit TLS-Zertifikaten werden in der Regel erwischt, doch bis dahin können sie mit ihren Zertifikaten viel Schaden anrichten.
Verlassen Sie sich nicht nur auf das Schloss, klicken Sie einmal darauf, um sich die Informationen dahinter anzeigen zu lassen. Dann erhalten Sie die allgemeine Authentifizierungsinformation „Zertifikat (gültig)“ und darunter „Zertifikat ausgestellt für [Firmenname]“. Leider funktioniert das so nur in Desktop-Browsern. Doch egal, ob Sie den Browser Ihres Mobil- oder Ihres Desktop-Geräts benutzen, in beiden Fällen gilt: Um festzustellen, ob eine Website wirklich sicher ist, zählt mehr als das Schloss.
Sollten Sie Zweifel an der Sicherheit einer Website beschleichen, nutzen Sie einen Website-Checker. Die Sicherheitsprüfung zeigt etwaige Schwachstellen der Website auf, ebenso ob sie Verschlüsselung nutzt und wie umfangreich die Verifizierung ist.
Wenn Sie nach einem Schloss und Website-Siegel geschaut und die URL in einen Website-Checker eingegeben haben, können Sie die Website auch auf die folgenden vertrauensbildenden Eigenschaften abklopfen:
Halten Sie sich stets von Angeboten fern, die zu gut klingen, um wahr zu sein, denn das sind sie meist auch.
Wenn Sie auf einer gefälschten Website gelandet sind, geben Sie keinesfalls sensible Informationen heraus wie Kontodaten, Anmeldedaten (z. B. für Facebook), Bestätigungscodes oder gar Ihren Namen und Ihre Kontaktdaten. Geben Sie einfach nichts an, wenn Ihnen Zweifel kommen. Klicken Sie außerdem nicht auf Links in E-Mails, Online-Beiträgen oder Direktnachrichten von Unbekannt. Wer erkennen kann, ob eine Website gefälscht ist, ist beim Online-Shopping sicherer.
Melden Sie gefälschte Websites bei Google Safe Browsing und schließen Sie sofort das Browserfenster.