In der Ära der Digitalisierung ist es nicht nur hilfreich, illegitime Websites erkennen zu können – es ist absolut notwendig für den Selbstschutz im Internet. Wer in betrügerischer Absicht aufgesetzte Websites erkennt, schützt seine private und dienstliche Identität, seine Finanzdaten und seine Anmeldedaten für E-Mail-Dienste und die sozialen Medien.

Im Zuge der Corona-Pandemie nehmen Betrug und Identitätsdiebstahl zu. Das US-Ministerium für Gesundheitspflege und soziale Dienste warnt vor Betrugsmaschen, bei denen das Coronavirus in Anrufen, SMS, Social-Media-Mitteilungen oder auf Websites als Köder genutzt wird. Zwar gewöhnen wir uns langsam an ein neues Leben nach diesem Virus, doch der Online-Betrug wird dadurch nicht aufhören, sondern eher zunehmen. Deshalb sollte jeder zu seinem eigenen Schutz wissen, wie er oder sie legitime Websites von Nachahmungen unterscheiden kann. Auch in Zukunft wird dieses Wissen vonnöten sein.

So erkennen Sie, ob eine Website echt ist

Auf Schreibfehler in der URL achten

Gefälschte Websites verraten sich am häufigsten durch alternative Schreibweisen in der URL. Oft ändern die Betrüger die URL nur minimal ab, z. B. zu amaz0n.com, oder sie verwenden eine andere Domainerweiterung, z. B. amazon.org statt amazon.com.

Auf Website-Siegel achten

Website-Siegel belegen die Authentizität einer Website. Im Regelfall können Sie mit einem Klick darauf mehr über die Website und ihre Verifizierung erfahren. Passiert beim Anklicken eines Siegels nichts, spricht das gegen seine Glaubwürdigkeit. Wahrscheinlich handelt es sich um eine unzulässige Kopie.

Auf das Schloss achten

Trägt eine Website das Vorhängeschloss-Symbol, heißt das, dass sie durch ein TLS/SSL-Zertifikat geschützt ist, mit dem Benutzerdaten verschlüsselt werden. Suchen Sie das Schloss oben links in der Adressleiste. Es gibt drei Varianten von TLS-Zertifikaten, die durch ein Schloss symbolisiert werden: Domainvalidierung (DV), Unternehmensvalidierung (OV) und Extended Validation (EV).

• DV-Zertifikat: Bestätigt die Eigentümerschaft über die Domain. Allerdings bieten DV-Zertifikate keine identifizierenden Informationen zum Unternehmen. Sie sollten daher nicht für gewerbliche Zwecke genutzt werden.
• OV-Zertifikat: Unternehmen und Organisationen werden von der jeweiligen Zertifizierungsstelle (Certificate Authority, CA) mittels offiziellen Registern authentifiziert. Gewerbliche oder öffentliche Websites sollten diesen Standardzertifikatstyp nutzen.
• EV-Zertifikat: Erfordert zusätzliche Validierungsschritte und bietet eine striktere Überprüfung des Antragstellers, um Ihre Marke und Ihre Kunden optimal zu schützen. Zertifizierungsstellen prüfen die geschäftlichen Informationen in EV-Zertifikaten mittels bestimmten Unterlagen und im persönlichen Kontakt nach. Diese Zertifikate werden von weltweit führenden Unternehmen verwendet, damit die Website-Besucher die beruhigende Gewissheit haben, dass die Website auch tatsächlich echt ist und derjenigen juristischen Person gehört, mit der sie in Transaktion treten.

Fehlt einer Website das Schloss, warnen die meisten Browser, dass die Seite nicht sicher sei. Früher reichte es, nach dem Vorhängeschloss Ausschau zu halten, doch angesichts immer intensiveren Online-Betrugs müssen Sie auch noch auf andere Anzeichen achten.

Sichere und betrügerische Websites

Das Vorhängeschloss signalisiert, dass die Informationen der Website verschlüsselt sind und der Browser die Website als sicher einstuft. Dass sie einen sicheren Kaufvorgang oder Hafen für Ihre eigenen Informationen bietet, heißt das heutzutage aber leider nicht unbedingt. Auch Websites, die in betrügerischer Absicht gestaltet wurden, können ein Vorhängeschloss haben. Untersuchungen haben ergeben, dass beinahe jede zweite für das Phishing eingerichtete Website schon ein Vorhängeschloss aufweist.

Die Betrüger nutzen vor allem DV-Zertifikate, also niedrigschwellige TLS-Zertifikate, die einige Zertifikatsstellen kostenlos anbieten. Sie müssen also nur nachweisen, dass sie die Eigentümer der Websites sind, dann erhalten diese ein Schloss. DV-Zertifikate erfordern keinen Legitimitätsnachweis für das Unternehmen. Manchmal kommen auch OV- oder EV-Zertifikate zum Einsatz, doch da diese nicht so leicht zu beschaffen sind – unter anderem müssen der Handelsregistereintrag belegt, das Zertifikat mit einer gültigen Kreditkarte bezahlt und Fragen der Zertifizierungsstelle beantwortet werden –, lassen sich die meisten Kriminellen nicht darauf ein.

Website-Fälscher mit TLS-Zertifikaten werden in der Regel erwischt, doch bis dahin können sie mit ihren Zertifikaten viel Schaden anrichten.

Es zählt mehr als das Schloss

Verlassen Sie sich nicht nur auf das Schloss, klicken Sie einmal darauf, um sich die Informationen dahinter anzeigen zu lassen. Dann erhalten Sie die allgemeine Authentifizierungsinformation „Zertifikat (gültig)“ und darunter „Zertifikat ausgestellt für [Firmenname]“. Leider funktioniert das so nur in Desktop-Browsern. Doch egal, ob Sie den Browser Ihres Mobil- oder Ihres Desktop-Geräts benutzen, in beiden Fällen gilt: Um festzustellen, ob eine Website wirklich sicher ist, zählt mehr als das Schloss.

Website von einem Tool prüfen lassen

Sollten Sie Zweifel an der Sicherheit einer Website beschleichen, nutzen Sie einen Website-Checker. Die Sicherheitsprüfung zeigt etwaige Schwachstellen der Website auf, ebenso ob sie Verschlüsselung nutzt und wie umfangreich die Verifizierung ist.

Weitere Tipps zum Prüfen von Websites

Wenn Sie nach einem Schloss und Website-Siegel geschaut und die URL in einen Website-Checker eingegeben haben, können Sie die Website auch auf die folgenden vertrauensbildenden Eigenschaften abklopfen:

• Eine Datenschutzerklärung
• Rückgabebedingungen
• Kontaktdaten des Unternehmens, z. B. Telefonnummer und Anschrift
• Korrekte Schreibung und Grammatik
• Online-Bewertungen (suchen Sie im Internet einfach nach „Bewertungen von [Name der Website]“, um sich danach umzuschauen)

Halten Sie sich stets von Angeboten fern, die zu gut klingen, um wahr zu sein, denn das sind sie meist auch.

Was sollten Sie tun, wenn Sie einer gefälschten Website begegnen?

Wenn Sie auf einer gefälschten Website gelandet sind, geben Sie keinesfalls sensible Informationen heraus wie Kontodaten, Anmeldedaten (z. B. für Facebook), Bestätigungscodes oder gar Ihren Namen und Ihre Kontaktdaten. Geben Sie einfach nichts an, wenn Ihnen Zweifel kommen. Klicken Sie außerdem nicht auf Links in E-Mails, Online-Beiträgen oder Direktnachrichten von Unbekannt. Wer erkennen kann, ob eine Website gefälscht ist, ist beim Online-Shopping sicherer.

Melden Sie gefälschte Websites bei Google Safe Browsing und schließen Sie sofort das Browserfenster.