HTTP vs. HTTPS: Der Unterschied einfach erklärt

In der Adresszeile des Browsers steht vor jeder Webadresse ein kleines Kürzel: meist https, gelegentlich nur http. Was auf den ersten Blick wie ein technisches Detail wirkt, entscheidet darüber, ob Ihre Daten sicher übertragen werden oder offen mitgelesen werden können. Der Unterschied zwischen HTTP und HTTPS ist deshalb für jeden Internetnutzer relevant. Dieser Artikel erklärt verständlich, was hinter den beiden Kürzeln steckt.

Was ist HTTP?

HTTP steht für Hypertext Transfer Protocol. Es ist das grundlegende Protokoll, über das Webbrowser und Webserver miteinander kommunizieren. Immer wenn Sie eine Webseite aufrufen, fordert Ihr Browser per HTTP die entsprechenden Inhalte vom Server an, und dieser liefert sie zurück. HTTP regelt also den Austausch von Texten, Bildern und anderen Webinhalten.

Das Protokoll wurde Anfang der 1990er-Jahre entwickelt und hat das World Wide Web überhaupt erst möglich gemacht. Allerdings hat es einen entscheidenden Schwachpunkt: Die Daten werden im Klartext übertragen.

Das Problem mit unverschlüsseltem HTTP

Klartext bedeutet, dass alle Informationen unverschlüsselt durch das Netzwerk geschickt werden. Wer den Datenverkehr abfängt – etwa in einem ungesicherten öffentlichen WLAN – kann mitlesen, was übertragen wird. Das betrifft im schlimmsten Fall:

• Eingegebene Passwörter und Benutzernamen
• Persönliche Daten wie Adressen oder Geburtsdaten
• Zahlungsinformationen bei Online-Einkäufen
• Den Inhalt von Formularen und Nachrichten

Zudem lässt sich bei reinem HTTP nicht zuverlässig prüfen, ob die aufgerufene Seite tatsächlich vom echten Anbieter stammt. Angreifer könnten Inhalte manipulieren oder gefälschte Seiten unterschieben, ohne dass der Nutzer es bemerkt.

Was ist HTTPS?

HTTPS steht für Hypertext Transfer Protocol Secure. Das angehängte S für secure (sicher) markiert den entscheidenden Unterschied: Die übertragenen Daten werden verschlüsselt. HTTPS ist im Grunde das gewohnte HTTP, kombiniert mit einer zusätzlichen Sicherheitsschicht namens TLS (Transport Layer Security), früher als SSL bekannt.

Dadurch erfüllt HTTPS drei zentrale Schutzziele:

• Vertraulichkeit: Die Daten sind verschlüsselt und damit für Dritte unlesbar.
• Integrität: Manipulationen während der Übertragung werden erkannt.
• Authentizität: Ein Zertifikat bestätigt, dass die Seite wirklich zum angegebenen Anbieter gehört.

Wie funktioniert die Verschlüsselung?

Beim Aufruf einer HTTPS-Seite handeln Browser und Server zunächst in einem sogenannten Handshake aus, wie sie sicher miteinander kommunizieren. Der Server weist sich dabei mit einem digitalen Zertifikat aus, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Der Browser prüft dieses Zertifikat automatisch.

Ist alles in Ordnung, einigen sich beide Seiten auf einen geheimen Schlüssel, mit dem die folgende Kommunikation verschlüsselt wird. Selbst wenn jemand die Datenpakete abfängt, sieht er nur unverständlichen Zeichensalat. Dieser ganze Vorgang läuft in Sekundenbruchteilen ab, ohne dass der Nutzer etwas davon mitbekommt.

Das Schloss-Symbol im Browser

Eine gesicherte HTTPS-Verbindung erkennen Sie am Schloss-Symbol links neben der Adresse. Es signalisiert, dass die Verbindung verschlüsselt ist. Wichtig zu wissen: Das Schloss bestätigt nur die sichere Übertragung, nicht die Seriosität des Anbieters. Auch betrügerische Webseiten können HTTPS nutzen. Das Symbol ersetzt also nicht die eigene Wachsamkeit.

Warum HTTPS heute Standard ist

Inzwischen ist HTTPS zur Norm geworden. Moderne Browser kennzeichnen reine HTTP-Seiten ausdrücklich als nicht sicher und warnen den Nutzer. Es gibt mehrere Gründe, warum sich HTTPS durchgesetzt hat:

• Der Schutz sensibler Daten ist heute selbstverständlich und vielfach gesetzlich gefordert.
• Suchmaschinen wie Google bevorzugen verschlüsselte Seiten in ihren Ergebnissen.
• Zertifikate sind durch Initiativen wie Let's Encrypt kostenlos und einfach erhältlich geworden.
• Nutzer vertrauen Seiten mit Schloss-Symbol eher.

Für Betreiber einer Webseite führt heute praktisch kein Weg mehr an HTTPS vorbei.

Was bedeutet das für Sie als Nutzer?

Als Anwender sollten Sie vor allem bei der Eingabe sensibler Daten darauf achten, dass die Verbindung verschlüsselt ist. Geben Sie Passwörter, Bankdaten oder persönliche Informationen nur auf Seiten ein, die HTTPS verwenden. In öffentlichen Netzwerken ist diese Vorsicht besonders wichtig. Erscheint eine Warnmeldung über ein ungültiges Zertifikat, sollten Sie die Seite im Zweifel verlassen.

Fazit

Der Unterschied zwischen HTTP und HTTPS liegt in einem einzigen Buchstaben, hat aber große Auswirkungen auf Ihre Sicherheit. Während HTTP Daten ungeschützt im Klartext überträgt, sorgt HTTPS durch Verschlüsselung dafür, dass Informationen vertraulich bleiben, nicht manipuliert werden und vom echten Anbieter stammen. Da HTTPS heute der Standard für seriöses Surfen ist, lohnt sich ein kurzer Blick auf das Schloss-Symbol, bevor Sie persönliche Daten eingeben. So bewegen Sie sich deutlich sicherer im Netz.

Mehr zum Thema findest du in unserer Übersicht: Netzwerk-Grundlagen: Alle Artikel im Überblick.

Verwandte Artikel

• Wie sehe ich, wer in meinem WLAN ist?
• Was ist ein WLAN-Gastnetzwerk?
• Was ist ein Proxy-Server?
• Was ist eine Firewall und wie schützt sie?
• Was ist SSL/TLS und wofür braucht man es?