Die Zertifikate einer verschlüsselten Internetseite sind wie elektronische Ausweise – sie ermöglichen uns Menschen die Prüfung, ob wir auch mit der gewünschten Internetseite verbunden sind. Denn die Zeiten, dass Betrüger selbst nur unverschlüsselt arbeiten, sind schon lange vorbei.
Genaugenommen muss man sich also bei jedem Besuch einer Webseite den „Ausweis“ und den Fingerprint der Seite zeigen lassen – das wäre ganz schön lästig (eine Zahlungsverkehrssoftware macht dies automatisch).
Ein Sicherheitsprogramm kann diese Aufgabe übernehmen, sie kennt die meisten Zertifikate bereits und prüft diese auf Korrektheit. Dumm nur, wenn die Zertifikate aktualisiert werden, die Datenbank in der Sicherheitssoftware aber nicht auf dem aktuellen Stand ist und dann Warnmeldungen fürVerwirrung und Verunsicherung sorgen.
Für Panik gibt es – meistens – keinen Grund, man muss aber genau hinsehen. Die Verschlüsselung ist ja nicht gefährdet, sie ist genausogut abgesichert, wie vorher. Nur der Ausweis des Servers oder der Seite ist so neu, dass der „Türsteher“, die Sicherheitssoftware, hier etwas Hilfe benötigt.
In diesem Fall muss man das Zertifikat manuell prüfen: Stimmt der Aussteller und der Fingerprint mit dem Unternehmen überein? Hat man dies erledigt, kann man das Zertifikat auch der Security-Software als „in Ordnung“ kennzeichnen, damit man dies nicht permanent machen muss.
Wie man dies im Browser macht, habe ich hier beschrieben. Die Zertifikatsinformationen sollte man bei einer Bank in den Sicherheitsinformationen nachlesen können.
Einige Security-Suiten bieten die Möglichkeit, über eine Ausnahmeregel das bisher unbekannte Zertifikat zu bestätigen, andere möchten das kollektive Wissen der User anzapfen und freuen sich über eine Bestätigung über die Webseite. Leider sind die Möglichkeiten zu unterschiedlich und die Varianten zu vielfältig, als dass ich diese hier alle auflisten könnte.
Wichtig! Ein korrektes Zertifikat schützt nicht vor durch Schadsoftware manipulierte Inhalte. Wenn sich beispielsweise ein Schadprogramm bereits im Browser eingenistet hat, stammt der Inhalt des Browsers nicht mehr unbedingt von der Bank oder dem Server, sondern der Inhalt könnte komplett von Betrügern manipuliert sein. Security-Programme sollen die Manipulation zwar verhindern, einen 100%igen Schutz gibt es aber auch bei den besten Schutzprogrammen nicht. Aufmerksam zu sein ist also auch hier nötig. Ein Airbag schafft zwar mehr Sicherheit, kann aber keine Unfälle verhindern.