elkato-Buchung: Sichere Datenübertragung mit HTTPS

Diese Seite bietet einige Hintergrundinformationen zur sicheren Datenübertragung bei der Nutzung von elkato-Buchung und ergänzt somit die kurzen Hinweise zum Thema in der FAQ-Liste.

Was HTTPS bewirkt

Während Sie mit elkato-Buchung arbeiten, werden Ihre Buchungsdaten zwischen Ihrem PC und dem Buchungsserver durch das Internet gesendet. Dabei passieren die Daten eine Vielzahl von Internet-Verbindungsknoten. Es ist grundsätzlich möglich, daß Personen, die direkten Zugang zu diesen Internetknoten haben (z.B. Administratoren), Ihre Daten mitlesen und diese schlimmstenfalls mißbrauchen. (Das ist insbesondere dann kritisch, wenn Sie dasselbe Passwort wie für den Buchungszugang zugleich für andere Dienste, z.B. Online-Banking, verwenden.)

HTTPS wehrt diese Gefahr ab, indem es Ihre Daten verschlüsselt, bevor sie durchs Internet geschickt werden; dadurch werden die Daten für mögliche Spione unlesbar. HTTPS schützt Sie also vor Mißbrauch Ihrer Buchungsdaten, insbesondere der Zugangsinformationen (Login-Name und Passwort). Wir, die elkato-Buchung-Betreiber, empfehlen Ihnen daher ausdrücklich, HTTPS zu verwenden.

Sicherheitswarnungen

HTTPS dient ja dazu, Ihre durchs Internet fließenden Informationen vor fremden Blicken zu schützen. Dazu gehört nicht nur die Verschlüsselung, also Unlesbarmachung, der Daten im Netz, sondern auch, daß der Server, dem Sie die Daten schicken, sich Ihnen gegenüber als der richtige Empfänger legitimiert (sonst könnte ein Datenspion Ihre Kommunikation mit z.B. dem Buchungsserver abfangen, sich Ihnen gegenüber als Buchungsserver ausgeben - sodaß Sie den Schwindel nicht bemerken - und dann Ihre Daten lesen). Damit das wirklich sicher funktioniert, braucht der Server ein von einer Authentifizierungsstelle ausgestelltes Zertifikat, das hier quasi die Rolle eines unfälschbaren Personalausweises spielt.

Anders als Personalausweise können HTTPS-Zertifikate jedoch nicht nur von einer einzigen Behörde ausgestellt werden; stattdessen gibt es eine Vielzahl von Organisationen, die Zertifikate ausstellen. Natürlich könnte ein solcher Zertifikatsaussteller selbst mit Zertifikaten Mißbrauch betreiben (so ähnlich, wie wenn ein Händler sein eigenes Geld drucken könnte). Daher sind nur einige etablierte Zertifikatsaussteller allgemein als vertrauenswürdig anerkannt, darunter z.B. Deutsche Telekom, Verisign und Thawte; alle Browser vertrauen Zertifikaten, die von einer dieser Firmen ausgestellt worden sind.

Das Zertifikat von elkato-Buchung hingegen wurde von CAcert Inc. ausgestellt - einem relativ neuen, noch nicht allgemein als vertrauenswürdig anerkannten Aussteller. (Das hat verschiedene Gründe; die Kosten für ein Zertifikat sind einer davon.) Infolgedessen bringt ein Browser beim Aufruf von elkato-Buchung über HTTPS eine Warnung: Das Zertifikat des Servers ist zwar gültig, aber der Aussteller noch nicht als vertrauenswürdig eingestuft - Sie müssen entscheiden, ob Sie der Buchungs-Website trotzdem vertrauen oder nicht.

Vermeiden der Sicherheitswarnungen

Sie können dafür sorgen, daß diese Sicherheitswarnungen in Zukunft nicht mehr angezeigt werden. Hierzu müssen Sie Ihrem Browser mitteilen, daß Sie dem Aussteller des elkato-Zertifikats ab jetzt immer vertrauen wollen. Technisch gesprochen: Sie müssen das Root-Zertifikat unseres Zertifikatsausstellers in Ihren Browser installieren. Lesen Sie hier, wie das genau gemacht wird - es geht einfacher, als es klingt.

Dieses "ausgesprochene Vertrauen" gilt nur für den Computer und den Browser, in dem Sie den Vorgang durchgeführt haben. Sobald Sie einen anderen Browsertyp oder einen anderen Rechner benutzen, werden die Sicherheitswarnungen wieder erscheinen, und Sie können Ihr Vertrauen erneut "aussprechen". Dasselbe gilt, nachdem Sie Ihren Computer von Grund auf neu installieren.

In einem Computer, den Sie nicht selbst verwalten, z.B. in einem Internet-Café, können Sie dieses "Dauervertrauen" dagegen nicht aussprechen. Dort werden Sie bei jedem Aufruf von elkato-Buchung über HTTPS die Sicherheitswarnung bekommen.