Malware over HTTPS beschreibt die Verbreitung von Schadsoftware über verschlüsselte HTTPS-Verbindungen. Das Schloss-Symbol in der Adressleiste des Browsers signalisiert lediglich, dass die Datenübertragung zwischen Browser und Server verschlüsselt erfolgt — es sagt nichts darüber aus, ob die aufgerufene Webseite vertrauenswürdig ist oder ob die übertragenen Inhalte sicher sind. Über 80 Prozent des gesamten Malware-Traffics laufen mittlerweile über HTTPS, da Angreifer die Verschlüsselung gezielt nutzen, um Sicherheitssysteme zu umgehen.
HTTPS verschlüsselt den Datenverkehr zwischen Client und Server mit TLS. Genau diese Verschlüsselung macht es für klassische Sicherheitslösungen schwierig, den Inhalt des Traffics zu inspizieren. Firewalls und Intrusion-Detection-Systeme, die auf Paketinspektion setzen, können verschlüsselte Datenströme nicht ohne Weiteres analysieren. Angreifer nutzen diesen blinden Fleck gezielt aus: Sie hosten Phishing-Seiten, Malware-Downloads und Command-and-Control-Server hinter gültigen SSL-Zertifikaten.
Die Beschaffung eines SSL-Zertifikats ist dabei trivial. Domain-Validated-Zertifikate (DV) werden automatisiert ausgestellt — der Antragsteller muss lediglich nachweisen, dass er die Domain kontrolliert. Eine Identitätsprüfung findet nicht statt. Dadurch können Angreifer innerhalb von Minuten ein gültiges Zertifikat für eine beliebige Domain erhalten und ihre schädlichen Inhalte hinter dem vertrauten Schloss-Symbol verbergen.
Der Unterschied zwischen den Zertifikatstypen ist für das Verständnis von Malware over HTTPS entscheidend. Ein Domain-Validated-Zertifikat bestätigt ausschließlich die Kontrolle über eine Domain. Es enthält keine Angaben zur Identität des Betreibers. Organization-Validated-Zertifikate (OV) und Extended-Validation-Zertifikate (EV) hingegen erfordern eine Prüfung der antragstellenden Organisation durch die Zertifizierungsstelle.
Für Webseitenbetreiber, die das Vertrauen ihrer Besucher stärken möchten, bieten OV- und EV-Zertifikate einen echten Mehrwert: Sie weisen die Identität des Unternehmens nach. Bei einem DV-Zertifikat fehlt diese Zuordnung vollständig — weshalb es für Angreifer das Mittel der Wahl ist. Wer ein Webhosting-Projekt professionell betreibt, sollte den Zertifikatstyp daher bewusst wählen und nicht ausschließlich auf kostenlose DV-Zertifikate setzen.
Das Schloss-Symbol allein reicht als Sicherheitsindikator nicht aus. Prüfen Sie die Domain sorgfältig auf Tippfehler oder ungewöhnliche Subdomains. Achten Sie darauf, ob die Webseite ein OV- oder EV-Zertifikat verwendet — diese Informationen lassen sich durch einen Klick auf das Schloss-Symbol im Browser einsehen. Misstrauen Sie E-Mails und Nachrichten, die Sie auf unbekannte HTTPS-Seiten leiten, selbst wenn diese ein gültiges SSL-Zertifikat vorweisen.
Für Unternehmen empfiehlt sich der Einsatz von TLS-Inspection auf der Firewall, um auch verschlüsselten Traffic auf Schadsoftware zu prüfen. DNS-basierte Schutzlösungen können bekannte Malware-Domains blockieren, bevor eine Verbindung zustande kommt. Die Kombination aus technischen Maßnahmen und geschultem Bewusstsein bei Mitarbeitern bildet den wirksamsten Schutz gegen Malware over HTTPS.
Angreifer missbrauchen häufig kompromittierte Server und Hosting-Umgebungen, um Malware über HTTPS auszuliefern. Schlecht gewartete Webserver mit veralteter Software, schwachen Zugangsdaten oder fehlenden Sicherheitsupdates werden zu unfreiwilligen Verteilpunkten für Schadsoftware. Betreiber eines Servers oder VPS tragen die Verantwortung, ihre Systeme aktuell zu halten und Zugänge abzusichern. Regelmäßige Überprüfung der eigenen Domain auf Blacklisting und der Einsatz von Web Application Firewalls reduzieren das Risiko, als Malware-Verteiler missbraucht zu werden.
Die bereitgestellten Informationen dienen ausschließlich der allgemeinen Orientierung. Für Richtigkeit, Vollständigkeit und Aktualität wird keine Gewähr übernommen. Die Inhalte sind nicht rechtsverbindlich und nicht Bestandteil einer Leistungsbeschreibung.