30.11.2017

Warum Markenreputation schon in der Browserleiste beginnt – Vol. 1

Einige Branchen zeichnen sich täglich durch höchste Sicherheitsstandards in der Luft, am Boden und online aus. Die Webseite des Luftfahrtkonzerns Lufthansa ist aber "nicht sicher".


Im vergangenen Jahr transportierte die Lufthansa insgesamt 110 Millionen Fluggäste sicher von einem Ort an den anderen. Während über einer Million Flüge gab es keine nennenswerten Sicherheitsprobleme – die Sicherheit der Passagiere ist das höchste Gut einer jeden Airline. Probleme in der Luft untergraben das Vertrauen der Fluggäste, das Vertrauen kann jeodch schon zerstört werden, noch bevor sich der Fluggast überhaupt in die Maschine gesetzt hat – nämlich beim Buchen des Tickets über die Webseite.
Als wir heute auf der Webseite von Lufthansa Flugtickets für unsere anstehende Konferenz buchen wollten, fiel unser Blick direkt auf die Browserleiste: "Die Verbindung zu dieser Webseite ist nicht sicher." (Stand: 30.11.2017, 10:18 Uhr).

Lufthansa Webseite wird als "nicht sicher" gekennzeichnet

Eigentlich hat der Online-Auftritt von Lufthansa ein gültiges SSL-Zertifikat, dass sich wahrlich sehen lassen kann: ein Extended Validation Zertifikat, das sogar den Unternehmensnamen im Browser anzeigt.

 

Umso ärgerlicher, wenn es dann aber nicht durchgehend auf der gesamten Webseite angezeigt wird und sich der potenzielle Kunde stattdessen auf einer "nicht sicheren" Webseite wiederfindet. Das Vertrauen des Kunden ist erst einmal dahin und die Marke Lufthansa erleidet einen empfindlichen Imageschaden, denn kein Kunde will "nicht sicher" und lufthansa.com in einer Zeile lesen. Im schlimmsten Fall springt dieser dann ab aus Angst, auf einer solchen Seite Kreditkartendaten oder sonstige empfindliche Daten preisgeben zu müssen.

Das Extended Validation Zertifikat bringt leider nichts, wenn es falsch eingebunden ist. Da in diesem Fall kein automatischer 301-Redirect von HTTP auf HTTPS vorliegt, wird die Lufthansa von dem weltweit meistgenutzten Browser Google Chrome abgestraft. Mit der Einrichtung eines 301-Redirects könnten die Piloten das Steuer ganz schnell herumreißen.

 

Reicht ein Standard-SSL-Zertifikat…

Mit einem Standard-SSL-Zertifikat erhält man einen allgemeinen Basis-Schutz. Standard SSL-Zertifikate werden häufig sogar kostenlos zur Verfügung gestellt und gelten heutzutage als weltweiter Sicherheitsstandard für Webseiten. Aktuell werden über den Browser Firefox zwei Drittel aller Webseiten HTTPS-verschlüsselt geladen. In der Browserleiste wird dies bei allen Browsern mit einem Schloss-Symbol gekennzeichnet, das teilweise in grün und dem Zusatz "sicher" angezeigt wird. Die URL beginnt mit "HTTPS" und verweist damit darauf, dass die Inhalte verschlüsselt übertragen werden – ein Basic, das aufgrund der Google-Ranking-Kriterien jede Webseite haben sollte.

 

…oder sollte es lieber ein Extended-Validation-SSL-Zertifikat sein?

Zu einem professionellen Internet-Auftritt eines seriös operierenden Unternehmens gehört aber ein Extended-Validation-SSL-Zertifikat (EV-Zertifikat). Dieses zeichnet sich durch einen hohen Validierungsgrad aus, für den auf mehreren Ebenen die Echtheit des Unternehmens geprüft wird. In der Browserleiste ist dies durch das Schloss-Symbol und die markante Grünfärbung zu erkennen. Außerdem ist das Zertifikat auf den jeweiligen Unternehmensnamen ausgestellt. Online-Betrüger werden immer raffinierter und machen das Erkennen von betrügerischen Webseiten immer schwieriger. Die Besucher und potenziellen Kunden wollen aber auf einen Blick sehen, ob die besuchte Seite vertrauenswürdig ist oder nicht. Ein Standard-SSL-Zertifikat verschlüsselt lediglich die Daten zwischen dem User und der HTTPS-Webseite, es garantiert aber keinen Schutz vor betrügerischen Webseiten. Mit EV-Zertifikaten können Kunden hingegen direkt auf ein geprüftes Unternehmen schließen. Vor allem auf Seiten, auf denen Kunden Kreditkartendaten oder andere hochsensible Daten eingeben, sollte ein sofortiger Beweis über die Identität und die Verschlüsselung ersichtlich sein. Ein solcher Beweis für die Vertrauenswürdigkeit einer Webseite führt zu mehr Transaktionen und kann den Umsatz steigern. Ein EV-Zertifikat erhält nämlich nicht jedes x-beliebige Unternehmen: Das CA/Browser Forum stellt hohe Sicherheitsansprüche. Zum Beispiel müssen Einrichtungen, die ein EV-Zertifikat wollen, zunächst bei einer offiziellen Registrierungsstelle ihrer Zuständigkeit registriert und zugelassen sein.

Der Global Player hätte dieses Missgeschick mit dem Optimierungs-Tool PROCEED von InterNetX leicht verhindern können. PROCEED implementiert SSL-Zertifikate vollautomatisch und richtet auch 301-Redirects automatisch ein. 

In Teil 2 unserer Artikel-Serie erfahren Sie, warum Kondomhersteller "Durex" seine Browserleiste besser im Blick haben sollte.


comments powered by Disqus