Sichere Webseiten erkennen: Merkmale und Prüfmethoden
Nicht jede Webseite mit Schloss-Symbol ist sicher. Dieser Artikel erklärt, welche technischen und inhaltlichen Merkmale eine sichere Website ausmachen, wie man Phishing-Seiten erkennt und welche Browser-Tools bei der Prüfung helfen.
Inhaltsverzeichnis (5 Abschnitte)
Eine sichere Webseite zu erkennen klingt einfach: Schloss-Symbol im Browser, URL beginnt mit "https" - fertig. Die Realität ist komplexer. Das Schloss-Symbol zeigt lediglich an, dass die Verbindung zwischen Browser und Server verschlüsselt ist. Es sagt nichts darüber aus, ob die Seite vertrauenswürdig ist, ob sie Malware enthält oder ob es sich um eine Phishing-Seite handelt. Phishing-Seiten nutzen routinemäßig gültige TLS-Zertifikate - das Schloss erscheint, die Seite ist dennoch gefährlich.
Was das Schloss-Symbol wirklich bedeutet
Das Vorhängeschloss-Symbol im Browser-Adressfeld zeigt an, dass die Verbindung zur Website über HTTPS (TLS) verschlüsselt ist. Das bedeutet:
- Die Kommunikation zwischen Browser und Server ist verschlüsselt (kein Mitlesen im Netzwerk)
- Der Server besitzt ein gültiges TLS-Zertifikat für die angezeigte Domain
- Die Datenintegrität ist gewährleistet (keine Manipulation unterwegs)
Das Schloss bedeutet nicht, dass die Seite legitim ist, nicht, dass der Betreiber vertrauenswürdig ist und nicht, dass die eigenen Daten sicher sind. Konkret: phishing-paypal.example.com kann ein gültiges TLS-Zertifikat haben und ein Schloss anzeigen und trotzdem eine Phishing-Seite sein.
Let's Encrypt stellt kostenlose Zertifikate ohne Identitätsprüfung aus. Jeder kann in Minuten ein gültiges TLS-Zertifikat erhalten. Domain-Validation (DV)-Zertifikate bestätigen nur, dass der Antragsteller die Domain kontrolliert - nicht wer der Betreiber ist. Phishing-Seiten nutzen DV-Zertifikate routinemäßig.
| Zertifikatstyp | Prüfung | Aussage |
|---|---|---|
| DV (Domain Validation) | Domain-Kontrolle | Nur: "Diese Domain ist kontrolliert" |
| OV (Organisation Validation) | Domain + Unternehmen | Unternehmensname im Zertifikat |
| EV (Extended Validation) | Strenge manuelle Prüfung | Rechtliche Existenz und Adresse geprüft |
Zehn Prüfpunkte für eine sichere Webseite
Prüfpunkt 1: Domain genau prüfen. Phishing-Domains nutzen Homoglyphen (paypai.com statt paypal.com, kleines "l" statt "i"), Subdomains mit bekannten Markennamen (paypal-login.com, secure-paypal.com) oder verschachtelte Strukturen wie paypal.com.eingeloggt.net - hier ist paypal.com nur eine Subdomain. Die Adressleiste muss vollständig gelesen werden, nicht nur der Anfang. Bei bekannten Marken: direkt die Startseite aufrufen, nie über Links aus E-Mails.
Prüfpunkt 2: TLS-Zertifikat prüfen. Auf das Schloss-Symbol klicken und das Zertifikat anzeigen. Ausgestellt für muss mit der aufgerufenen Domain übereinstimmen. Ausgestellt von sollte eine bekannte CA sein (Let's Encrypt, DigiCert, Sectigo, GlobalSign). Warnsignale: Zertifikat auf andere Domain ausgestellt, abgelaufenes Zertifikat, selbst-signiertes Zertifikat außerhalb von Intranet oder Testumgebungen, unbekannte CA.
Prüfpunkt 3: Impressum und Kontaktdaten. Deutsche Websites benötigen nach TMG § 5 Name und Anschrift des Betreibers, eine Kontakt-E-Mail-Adresse (nicht nur Formular) sowie bei Unternehmen Rechtsform, Vertretungsberechtigte und Handelsregisternummer. Stimmt das Unternehmen im Impressum mit dem erwarteten Betreiber überein? Gibt es eine Datenschutzerklärung (Pflicht nach DSGVO)?
Prüfpunkt 4: HTTPS erzwungen / HSTS. Bei Eingabe von http:// sollte automatisch auf https:// weitergeleitet werden. HSTS (HTTP Strict Transport Security) sorgt dafür, dass der Browser sich diese Einschränkung merkt. Prüfung über SSL Labs (ssllabs.com/ssltest) oder securityheaders.com.
Prüfpunkt 5: Aktualität des Inhalts. Warnsignale: Copyright-Jahresangabe mehrere Jahre alt, letzte Blog-Posts aus 2018 auf einer angeblich aktiven Unternehmensseite, tote Links oder fehlende Bilder, offensichtlich maschinell übersetzte Texte schlechter Qualität.
Prüfpunkt 6: Kontaktinformationen verifizieren. Telefonnummer über unabhängige Quelle (Google, Gelbe Seiten) prüfen. E-Mail-Domain muss zur Website-Domain passen. Suche nach Unternehmensname plus "Erfahrungen", "Betrug" oder "Fake". Prüfung auf Bewertungsplattformen (Trustpilot, Google Reviews).
Prüfpunkt 7: Sprache und Texte. Warnsignale: zahlreiche Rechtschreibfehler oder grammatikalisch falsche Texte, Mischung verschiedener Sprachen, übermäßig dringliche Sprache ("Nur heute!", "Sofort handeln!"), unrealistische Versprechen ("100% Rendite garantiert").
Prüfpunkt 8: Zahlungsmethoden und Anfragen. Warnsignale: nur Vorkasse, Kryptowährungen oder Überweisung ins Ausland akzeptiert, keine Käuferschutz-Zahlungsoptionen (PayPal, Kreditkarte), Anfragen nach Login-Daten, Passwörtern oder TANs per E-Mail oder Formular, Anfragen nach Ausweiskopien ohne erkennbaren legitimen Zweck.
Prüfpunkt 9: Suchergebnisse und externe Quellen. Domain in Suchmaschine eingeben: Gibt es negative Berichte? WHOIS-Abfrage (who.is): Wann wurde die Domain registriert? Eine sehr neue Domain mit professionellem Aussehen ist ein Warnsignal. URLhaus (urlhaus.abuse.ch), VirusTotal (virustotal.com) und PhishTank (phishtank.org) prüfen auf bekannte Malware und Phishing.
Prüfpunkt 10: Social-Engineering-Warnsignale. Typische Phishing-Taktiken: "Ihr Konto wird gesperrt, wenn Sie nicht sofort handeln", "Sie haben gewonnen - klicken Sie hier zur Bestätigung", "Bitte verifizieren Sie Ihre Identität durch Eingabe Ihrer Zugangsdaten", kopierte Logos bekannter Marken bei falscher URL, unerwartete E-Mails, die auf dringende Handlung drängen.
Browser-interne Sicherheitsindikatoren
Google Safe Browsing (Chrome, Firefox, Safari, Edge) gleicht URLs mit einer Liste bekannter Phishing- und Malware-Seiten ab und warnt vor gefährlichen Seiten. Die Liste wird mehrmals täglich aktualisiert. Datenschutzhinweis: Chrome sendet einen Hash der URL an Google.
Firefox Phishing- und Malware-Schutz nutzt Google Safe Browsing mit Enhanced Tracking Protection und lokalen Prüflisten für bekannte Bedrohungen.
Microsoft Defender SmartScreen (Edge) ergänzt eine Microsoft-eigene Datenbank und prüft die Reputation von Downloads.
HTTPS-Only-Modus steht in allen modernen Browsern zur Verfügung und warnt bei Seiten ohne HTTPS: Firefox über Einstellungen → Datenschutz → HTTPS-Only-Modus, Chrome über Einstellungen → Sicherheit → Immer sichere Verbindungen.
Was Browser nicht erkennen: neue, noch nicht in Safe-Browsing-Listen erfasste Phishing-Seiten, legitime Seiten mit kompromittierten Inhalten (gekaperte WordPress-Seiten) und Seiten mit gültigem TLS-Zertifikat, die trotzdem betrügerisch sind.
Erweiterte Prüftools für Profis und IT-Abteilungen
SSL Labs (ssllabs.com/ssltest): Detaillierte TLS-Konfigurationsprüfung mit Bewertung A+ bis F. Zeigt Zertifikatsdetails, unterstützte Cipher Suites und bekannte Schwachstellen (POODLE, BEAST, Heartbleed etc.).
SecurityHeaders.com: Prüft HTTP-Sicherheits-Header (Content-Security-Policy, HSTS, X-Frame-Options, Referrer-Policy) mit Bewertung A+ bis F.
Google Safe Browsing Check: transparencyreport.google.com/safe-browsing/search prüft ob eine URL als unsicher bekannt ist.
VirusTotal (virustotal.com): URL-Prüfung bei über 70 Antivirus-Engines, erkennt Malware-Verteiler und Phishing.
URLVoid (urlvoid.com): Aggregiert mehrere Blacklisten und liefert WHOIS-Informationen.
Shodan (shodan.io): Zeigt offene Ports und Dienste auf einem Server, kann auf unsichere Konfigurationen hinweisen.
PhishCheck / PhishTank: Spezifische Phishing-Datenbanken mit Community-basierten Meldungen.
Praktische Checkliste für den Alltag
Sofort erkennbar (10 Sekunden):
- HTTPS in der Adressleiste (Schloss-Symbol vorhanden)?
- Domain korrekt geschrieben (keine Homoglyphen, keine verdächtigen Subdomains)?
- Browser zeigt keine Sicherheitswarnung?
Kurze Prüfung (1-2 Minuten):
- Impressum vorhanden und plausibel?
- Datenschutzerklärung vorhanden?
- Texte professionell und fehlerfrei?
- Kontaktdaten vollständig und plausibel?
- Domain nicht erst wenige Tage alt (WHOIS prüfen)?
Vor Dateneingabe (bei sensiblen Daten):
- Für Banking oder Shopping: URL manuell eintippen, nie aus E-Mail klicken
- Zertifikat auf OV/EV geprüft (bei Banken und Behörden erwünscht)?
- Zahlungsmethode mit Käuferschutz (Kreditkarte, PayPal)?
- Webseite bei VirusTotal / URLVoid geprüft?
Mitarbeiter-Training:
- Regelmäßige Phishing-Simulationen durchführen
- "Wenn in Zweifel - nicht klicken"-Kultur etablieren
- Meldewege für verdächtige E-Mails kommunizieren
Das Schloss-Symbol ist ein notwendiges, aber kein hinreichendes Sicherheitsmerkmal. Wer sichere Webseiten zuverlässig erkennen möchte, muss mehrere Prüfpunkte kombinieren: technische Merkmale, inhaltliche Qualität und Plausibilitätsprüfungen. Besonders bei unerwarteten E-Mails mit Links gilt: Direkt die Startseite des bekannten Dienstes aufrufen, anstatt dem Link zu folgen.
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.
10 Publikationen
- Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
- Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
- IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
- Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
- Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
- Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
- Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
- IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
- Sicherheitsforum Online-Banking - Live Hacking (2021)
- Nipster im Netz und das Ende der Kreidezeit (2017)
