Wie Sie prüfen können, ob eine Website sicher ist

Ist eine Website nicht sicher, riskieren Sie bei jedem Besuch die Preisgabe Ihrer persönlichen Daten. Cyberkriminelle tarnen bösartige Websites häufig so, dass sie vertrauenswürdig aussehen.

Dann ist es einfach, in Phishing-Fallen zu tappen oder versehentlich Malware herunterzuladen. In diesem Leitfaden erfahren Sie, wie Sie Warnzeichen erkennen. Sie lernen, wie Sie wichtige Website-Details überprüfen. Zudem stellen wir vor, wie Sie Tools wie Website-Sicherheitsprüfungen, WHOIS-Abfragen und Web-Schutzdienste nutzen können. Dabei ist es egal, ob Sie nur zum

Spaß surfen oder vertrauliche Daten eingeben. Nachfolgende Schritte helfen Ihnen, Betrug, Phishing-Fallen sowie Malware zu vermeiden. Damit haben Sie mehr Kontrolle über Ihre Online-Sicherheit.

Warum Sie die Sicherheit einer Website prüfen sollten, bevor Sie sie öffnen

Die Überprüfung der Sicherheit einer Website hilft, Ihre Daten, Ihre Privatsphäre sowie Ihr Gerät zu schützen. Unsichere Websites können Malware, Phishing-Betrug oder gefälschte Angebote enthalten. Sie sollen Sie dazu verleiten, persönliche oder finanzielle Informationen preiszugeben.

Häufige Risiken von unsicheren Websites

• Malware-Infektionen: Websites können ohne Ihr Wissen Viren, Ransomware oder Spyware auf Ihrem Gerät installieren.
• Phishing-Betrug: Gefälschte Anmeldeseiten und Formulare können Sie dazu verleiten, Passwörter, Kreditkartennummern oder andere vertrauliche Informationen zu exponieren.
• Datendiebstahl: Unsichere Websites haben häufig keine Verschlüsselung, sodass Angreifer leichter abfangen können, was Sie eingeben oder hochladen.
• Browser-Hijacking: Möglicherweise werden Sie auf zweifelhafte Websites umgeleitet, sehen ständig Pop-up-Fenster oder Ihre Homepage wird geändert.
• Finanzbetrug: Betrügerische Websites können sich als seriöse Geschäfte oder Dienstleistungen ausgeben. Dabei wollen Sie Ihr Geld durch gefälschte Transaktionen stehlen.
• Identitätsdiebstahl: Die von Ihnen bereitgestellten Daten können verwendet werden, um sich als Sie auszugeben. Möglicherweise lassen sich auch Konten in Ihrem Namen eröffnen.
• Adware und unerwünschte Software: Einige Websites forcieren Downloads oder überfluten Sie mit bösartiger Werbung, die Ihr System verlangsamt.

Beispiele für Online-Betrug in der Realität

Online-Betrug kommt in vielen Formen. Unsichere Websites spielen dabei oft eine zentrale Rolle. Ein gängiges Beispiel ist die gefälschte PayPal-Anmeldeseite. Diese Websites sehen genau wie die echte Seite aus. Sie sind oft mit Phishing-E-Mails kombiniert, die vor verdächtigen Aktivitäten in Ihrem Konto warnen. Sobald Sie Ihre Anmeldedaten eingeben, stehlen sie Angreifer sofort.

Eine andere Taktik ist die Erstellung gefälschter Versionen ganzer Websites, inklusive der Domain. Ein Beispiel: Betrüger haben es zunehmend auf KI-Plattformen abgesehen. Dazu gehört auch ChatGPT. Jüngste Berichte zur Cybersicherheit enthüllen, dass etwa 1 von 25 neu registrierten Domains, die ChatGPT imitieren, gefälscht und bösartig sind.

Solche Websites versprechen oft einen kostenlosen oder frühzeitigen Zugang zu dem Tool. Stattdessen liefern sie aber Malware oder Phishing-Formulare. Vielleicht werden Sie auch aufgefordert, schädliche Browser-Erweiterungen zu installieren. Da sie oft ein überzeugendes Branding sowie ähnliche URLs verwenden, kann man sie einfach mit der echten Seite verwechseln. Das gilt insbesondere, wenn sie in Anzeigen oder Suchergebnissen erscheinen.

Während der COVID-19-Pandemie wurden sogar Websites der öffentlichen Gesundheit und der Regierung gefälscht. Betrüger nutzten sie, um persönliche Daten zu sammeln. Der angegebene Vorwand war, finanzielle Unterstützung oder eine Impfstoffregistrierung anzubieten.

13 Möglichkeiten zu prüfen, ob eine Website sicher ist

Um online geschützt zu bleiben, ist Wachsamkeit erforderlich. Moderne Browser sowie Sicherheitsdienste warnen Sie, wenn eine Website gefährlich ist. Google Safe Browsing schützt etwa Nutzer, indem es bekannte bösartige Websites kennzeichnet. Trotz dieser Schutzmaßnahmen gibt es zahlreiche Betrugsversuche sowie gefälschte Websites. Überprüfen Sie daher eine Website genau, bevor Sie Ihr vertrauen.

1. Achten Sie auf HTTPS- und SSL-Zertifikate

Bitte überprüfen Sie stets, ob das HTTPS-Vorhängeschloss-Symbol in der Adressleiste zu sehen ist. HTTPS bedeutet, dass die Verbindung verschlüsselt ist. Dadurch wird verhindert, dass Unbefugte Ihre Daten während der Übertragung sehen können.

Tatsächlich kennzeichnen Browser wie Chrome Websites ohne HTTPS ausdrücklich als „Nicht sicher". Ein Vorhängeschloss-Symbol oder das Präfix „https://" zeigen an, dass Daten (etwa Passwörter oder Kreditkartendaten) sicher übertragen werden.

Beachten Sie jedoch, dass HTTPS nicht zwingend ein vollständiger Beweis für die Legitimität einer Website ist. Viele betrügerische Websites verwenden mittlerweile ebenfalls Verschlüsselung mit SSL: Eine Studie ergab, dass 83 % der Phishing-Websites ein gültiges SSL-Zertifikat haben.

2. Bitte überprüfen Sie die URL sorgfältig (achten Sie auf Typosquatting)

Überprüfen Sie die URL (Webadresse) der Website sorgfältig. Angreifer registrieren häufig ähnliche Domains (eine Praxis, die man auch Typosquatting nennt). Sie unterschieden sich häufig nur durch einen Buchstaben oder ein Zeichen. Sie fügen etwa einen zusätzlichen Buchstaben hinzu, wie „exaample.com". Vielleicht wird auch ein „l" durch ein kleines „l" ersetzt. Solche gefälschte Domains ähneln absichtlich seriösen Websites.

Beachten Sie, dass eine WWW2-Website nicht automatisch betrügerisch ist. Landen Sie auf einer WWW2-Seite, bedeutet das normalerweise, dass der Hauptserver der Website überlastet ist. Daher wurde der Datenverkehr an einen zweiten Server weitergeleitet.

Führen Sie stets eine URL-Überprüfung durch. Achten Sie besonders auf subtile Tricks: Einige Angreifer verwenden Unicode-Homographen (Zeichen aus anderen Alphabeten, die identisch aussehen). Daher erscheint die URL korrekt, während der Computer etwas anderes sieht. Im Zweifelsfall geben Sie die bekannte korrekte Domain manuell erneut ein oder suchen Sie nach dem offiziellen Namen der Website. Damit stellen Sie sicher, dass Sie nicht auf einer gefälschten Website gelandet sind.

3. Nutzen Sie Tools zur Überprüfung der Website-Sicherheit

Sind Sie sich unsicher, überprüfen Sie die URL mit einem Domain-Reputations-Service oder einem Sicherheits-Scanner. Diese Tools (die häufig von Sicherheitsunternehmen oder Suchmaschinen bereitgestellt werden) aggregieren Daten aus Malware-Blacklists sowie Scan-Engines. Die Statusseite Safe Browsing von Google meldet etwa, wenn eine Website derzeit als gefährlich gekennzeichnet ist oder kürzlich kompromittiert wurde.

Andere Prüfer wie VirusTotal, SSL Trust und URLscan suchen nach bekanntem bösartigem Code oder Phishing-Inhalten. Solche Scanner erkennen zwar nicht 100 % aller Bedrohungen, können offensichtliche Probleme allerdings schnell identifizieren. Meldet der Service die Website als unsicher oder wenn Sie eine Phishing-Warnung sehen, meiden Sie Website vollständig.

4. Überprüfen Sie die Domain mit WHOIS

Mit dem WHOIS-Lookup-Tool können Sie die Registrierungsdaten einer Domain überprüfen. Sie erfahren damit, wann die Domain erstellt wurde, wer sie registriert hat und wann sie abläuft. Seriöse Unternehmen haben normalerweise etablierte Domains. Brandneue Domains können hingegen verdächtig sein. Gefälschte Websites bleiben häufig nicht lange online. Daher ist das Alter einer Domain eine schnelle Option, um Risiken zu erkennen.

WHOIS zeigt auch den Namen sowie das Land des Registranten an. Stimmen die Informationen nicht mit den Angaben des Unternehmens überein (etwa ein „US-amerikanisches" Unternehmen mit einem ausländischen Eigentümer), ist das ein Warnsignal.

Zeigt WHOIS „Privacy Protected" (Datenschutz geschützt) oder allgemeine Informationen an, ist das allein nicht ausschlaggebend (viele seriöse Domains verwenden standardmäßig WHOIS-Datenschutz). Allerdings müssen Sie es kombiniert mit anderen Warnsignalen beachten. Insgesamt hilft WHOIS bei der Bestätigung, ob die Website dem angegebenen Eigentümer gehört und wie lange sie bereits aktiv ist.

5. Lesen Sie Nutzerbewertungen und Neuigkeiten über eine Website

Suchen Sie nach Nutzerbewertungen über eine Website. Suchen Sie online nach dem Namen der Website und Begriffen wie „Bewertungen", „Beschwerden" oder „Betrug". Ist die Website bekannt, gibt es möglicherweise Forenbeiträge und Blog-Beiträge, in denen über sie diskutiert wird. Seien Sie vorsichtig, wenn Sie Hinweise auf Hacking, Betrug oder Datenschutzverletzungen finden. Einige Beiträge mit „Betrugswarnungen" oder durchweg negative Kommentare sind ein deutliches Warnsignal.

Achten Sie zudem auf Berichte über fehlende Bestellungen, Malware-Downloads oder Diebstahl persönlicher Daten. Auch seriöse Unternehmen können negative Bewertungen bekommen. Häufige schwerwiegende Beschwerden sind aber ein Warnsignal.

Umgekehrt könnten alle tollen Bewertungen auf der Website gefälscht sein. Betrüger fälschen häufig ihre eigenen Erfahrungsberichte. Es empfiehlt sich, sowohl Bewertungen auf der Website als auch außerhalb der Website zu lesen. Achten Sie dabei besonders auf Erwähnungen von Betrug oder Identitätsdiebstahl. Suchen Sie auch nach Nachrichten über das Unternehmen.

6. Lesen Sie die Datenschutzrichtlinie und die rechtlichen Hinweise

Seriöse Websites, insbesondere solche, die personenbezogene Daten oder Zahlungen verarbeiten, haben normalerweise klare Datenschutzrichtlinien, Nutzungsbedingungen sowie andere rechtliche Hinweise. In solchen Dokumenten wird erklärt, wie Ihre Daten erfasst, verwendet, gespeichert und weitergegeben werden. In vielen Ländern, etwa gemäß der europäischen DSGVO, sind solche Richtlinien gesetzlich vorgeschrieben. Eine fehlende oder zu knappe Datenschutzerklärung kann ein Warnsignal sein.

Gute Richtlinien verwenden eine klare Sprache. Zudem enthalten sie konkrete Angaben darüber, welche Daten erfasst und wie sie geschützt werden. Hat eine Website keine Datenschutzerklärung oder enthält nur vage, wenig aussagekräftige Texte, ist sie möglicherweise nicht vertrauenswürdig.

7. Meiden Sie Websites mit übermäßig vielen Pop-up-Fenstern oder Umleitungen

Achten Sie auf aggressive oder hartnäckige Pop-up-Fenster. Bombardiert eine Website Ihren Bildschirm mit Fenstern, die Sie nicht einfach schließen können, ist das normalerweise ein Anzeichen für böswilliges Verhalten. Das gilt auch, wenn Sie ständig auf irrelevante Websites weitergeleitet werden. Seriöse Websites verwenden selten übermäßig viele Pop-up-Fenster. Seien Sie besonders vorsichtig, wenn ein Pop-up-Fenster nach persönlichen oder finanziellen Daten fragt. Ein Warnsignal ist auch, wenn es Sie zum Herunterladen von Software auffordert, indem es Sie warnt, dass Ihr Gerät gefährdet ist. Das sind gängige Scareware-Methoden.

Vermeiden Sie zudem Pop-up-Fenster, die für irrelevante Produkte oder unglaubwürdige Angebote werben. Sichere Websites bieten Ihnen ein störungsfreies Surf-Erlebnis. Sehen Sie also übermäßig viel Werbung oder unaufgeforderte Warnungen, schließen Sie die Website umgehend.

8. Analysieren Sie Design und Sprache

Prüfen Sie das Erscheinungsbild und den Text der Website. Professionelle Unternehmen haben normalerweise ausgefeilte, einheitliche Websites. Im Gegensatz dazu haben betrügerische Websites häufig verräterische Fehler: schlechtes Layout, Bilder mit niedriger Auflösung, defekte Links sowie viele Tippfehler oder seltsame Formulierungen. Sind Sie etwa auf einer Shopping-Website und bemerken ungeschickte Formulierungen oder grundlegende Fehler, ist das ein deutliches Zeichen dafür, dass die Website gefälscht sein könnte.

Diese Warnsignale deuten oft auf eine übereilte oder nachlässige Erstellung hin. Das ist bei betrügerischen Websites üblich, die auf den ersten Blick seriös wirken sollen. Vertrauen Sie Ihren Augen und Ihrem Instinkt, seien Sie aber immer vorsichtig: Dank KI (künstlicher Intelligenz) ist es für Betrüger heute einfacher denn je, überzeugende gefälschte Websites zu erstellen.

9. Prüfen Sie die Zahlungsoptionen sowie die Sicherheit an der Kasse

Vertrauenswürdige Websites verwenden sichere, anerkannte Zahlungsmethoden. Sie sind bei Shopping-Websites besonders wichtig. Wirkt ein Shop verdächtig oder gefälscht, verlassen Sie ihn sofort. Überprüfen Sie, ob die Checkout-Seite HTTPS verwendet und bekannte Zahlungsoptionen wie Kreditkarten akzeptiert. Letztere bieten häufig einen Käuferschutz.

Vermeiden Sie Websites, die nur schwer nachverfolgbare Zahlungsmethoden akzeptieren. Das sind etwa Überweisungen, Kryptowährungen oder Geschenkkarten. Solche lassen sich normalerweise nicht rückgängig machen. Finanzexperten empfehlen den Einsatz von Kreditkarten oder Zahlungs-Services mit Betrugsschutz. Ist die einzige Zahlungsoption einer Website eine nicht nachvollziehbare, ist das ein klares Warnsignal.

Landen Sie auf einer verdächtigen Website, überprüfen Sie sie anhand dieser Liste von 25 gefälschten Shopping-Websites. Selbst wenn sie nicht aufgeführt ist, bleiben Sie vorsichtig. Betrugsmethoden ändern sich ständig.

10. Prüfen Sie die Unternehmensdaten sowie die Kontaktinformationen

Überprüfen Sie, ob sich die Website eindeutig identifiziert. Seriöse Unternehmen geben reale Angaben wie Firmenname, Anschrift und Telefonnummer an. Suchen Sie nach einer Seite, die sich „Über uns" nennt. Auch Kontaktinformationen in der Fußzeile sind gut. Fehlende oder unvollständige Kontaktdaten sind ein Warnsignal.

Im Idealfall hat die Website eine physische Adresse (nicht nur ein Postfach), eine Telefonnummer oder einen Live-Chat sowie eine E-Mail-Adresse oder ein Kontaktformular. Prüfen Sie diese Angaben unabhängig voneinander. Stimmt die Adresse oder Nummer nicht überein oder führt zu nicht verwandten Unternehmen, ist das verdächtig.

11. Nutzen Sie die im Browser integrierten Sicherheits-Tools

Moderne Browser haben integrierte Schutzfunktionen wie Google Safe Browsing in Chrome. Sie verfolgen bösartige Websites. Versuchen Sie, eine markierte Website zu besuchen, zeigt der Browser Warnungen wie „Betrügerische Website" oder „Ihre Verbindung ist nicht privat" an. Häufig wird auch der Zugriff blockiert.

Halten Sie Ihren Browser aktuell, damit diese Schutzfunktionen mit den aktuellen Daten funktionieren. Aktivieren Sie außerdem den Pop-up-Blocker. Deaktivieren Sie gleichzeitig unerwünschte Weiterleitungen in Ihren Browser-Einstellungen, um zusätzliche Sicherheit zu gewährleisten.

12. Seien Sie skeptisch gegenüber „Vertrauenssiegeln" (gefälschten Symbolen)

Viele Websites zeigen Symbole wie SSL-Schlösser, „Sicherer Checkout" oder Siegel für sichere Websites. Damit möchten sie vertrauenswürdig wirken. Allerdings lassen sie sich aber auch leicht kopieren oder fälschen. Vertrauen Sie einem Siegel nur, wenn Sie es überprüfen können. Ein echtes Siegel lässt sich normalerweise anklicken und führt zu der Organisation der Zertifizierung. Lässt sich ein Siegel nicht anklicken, führt nirgendwohin oder ist die Bildqualität schlecht, seien Sie vorsichtig.

13. Installieren Sie Tools für den Echtzeit-Webschutz

Webschutz-Tools wie ExpressVPNs Advanced Protection (erweiterter Schutz) können bekannte bösartige Websites blockieren. Damit werden Sie vor Spyware sowie Phishing-Domains geschützt. Advanced Protection verhindert zudem, dass Apps und Websites auf Ihrem Gerät Kontakt zu Dritten aufnehmen, die für Tracking oder schädliche Aktivitäten bekannt sind.

Möglicherweise möchten Sie auch in ein gutes Antivirusprogramm mit Echtzeitschutz investieren, um Ihren Schutz vor Malware-Downloads zu verbessern. Um geschützt zu bleiben, halten Sie Ihr Antivirusprogramm auf dem neuesten Stand. Führen Sie zudem regelmäßig Scans durch.

Aktiver Schutz kann sogenannte Drive-by-Downloads oder Phishing-Angriffe verhindern, die Ihre ersten Überprüfungen umgehen. Kurz gesagt: die Verwendung mehrschichtiger Abwehrmaßnahmen senkt das Risiko erheblich, schädliche Websites zu besuchen.

Was tun, wenn Sie eine Website für unsicher halten?

Vorbeugung ist die beste Verteidigung. Sind Sie noch nie auf eine gefährliche Website gestoßen, sollten Sie sich sichere Surfgewohnheiten aneignen (der Leitfaden enthält praktische Tipps, die Ihnen beim Schutz helfen). Sind Sie allerdings schon einmal auf einer verdächtigen Website gelandet, helfen Ihnen die nachfolgenden Schritte möglicherweise. Sie können reagieren und den möglichen Schaden minimieren.

Schritte zum sicheren Ausstieg

Sind Sie versehentlich auf einer verdächtigen Website gelandet, halten Sie sich an die nachfolgenden Schritte, um die Website zu verlassen, ohne Ihr System einem weiteren Risiko auszusetzen:

1. Deaktivieren Sie das Internet: Trennen Sie Ihr Gerät vom Internet, indem Sie das WLAN deaktivieren oder das Ethernet-Kabel ausstecken. Das verhindert, dass die Website weitere schädliche Inhalte lädt oder Ihre Daten stiehlt, während Sie sie sicher schließen.
   
2. Schließen Sie den entsprechenden Tab sofort: Klicken Sie nicht auf Schaltflächen oder Pop-up-Fenster, auch darauf "Schließen” oder "Abbrechen” steht. Dabei kann es sich um getarnte Auslöser handeln. Sie führen möglicherweise zu Downloads oder leiten Sie auf weitere bösartige Inhalten weiter.
   
3. Schließen Sie Ihren Browser: Sperrt die Website Ihren Bildschirm oder zeigt ununterbrochen Warnmeldungen an, schließen Sie den Browser mit allen Mitteln, um ihn zu beenden. Unter Windows, verwenden Sie die Tastenkombination Ctrl + Shift + Esc (Strg + Hochstelltaste + Esc), um den Task Manager zu öffnen. Beende Sie dort den Browser-Prozess. Auf einem Mac verwenden Sie Command + Option + Esc. Wählen Sie den Browser, klicken Sie auf Force Quit (Sofort beenden). Dadurch wird die Sitzung sofort beendet und die bösartige Seite gestoppt.
   
4. Verwenden Sie nicht die Option für die Wiederherstellung der Tabs: Öffnen Sie Ihren Browser erneut, werden Sie möglicherweise gefragt, ob Sie Ihre letzte Sitzung wiederherstellen möchten. Wählen Sie „X", da Sie damit auch die unsichere Website wieder laden, die Sie gerade geschlossen haben. Dann sind Sie erneut denselben Risiken ausgesetzt.
   
5. Löschen Sie Ihren Browser-Cache und die entsprechenden Cookies: Sie können Tracking-Skripte oder Sitzungsdaten enthalten, die von der Website hinterlassen wurden. Entfernen Sie sie, können Sie bestehende Verbindungen unterbrechen und Ihre Privatsphäre nach dem Besuch einer unsicheren Seite verbessern.
   

Nachdem Sie die Website erfolgreich verlassen haben, sollten Sie mit Ihrem Antivirusprogramm einen Malware-Scan durchführen. Selbst ein kurzer Besuch einer bösartigen Website kann Downloads im Hintergrund auslösen. Durch das Scannen Ihres Systems können Sie potenzielle Bedrohungen frühzeitig erkennen sowie entfernen.

Wie man eine bösartige Website meldet

Melden Sie gefährliche Websites, schützen Sie damit auch andere. Sie unterstützen die allgemeinen Maßnahmen, Betrug und Malware zu bekämpfen. Sie können zunächst die in Ihrem Browser integrierten Meldefunktionen nutzen. Die meisten gängigen Browser bieten eine solche Funktion. Klicken Sie bei Chrome etwa die drei Punkte (⋮), öffnen Sie anschließend Help (Hilfe) und anschließend auf Report an issue (Problem melden).

Sie können bösartige Websites auch an Ihren Antivirus-Anbieter melden. Das ist insbesondere der Fall, wenn Ihre Sicherheitssoftware die Bedrohung nicht erkannt hat. Ausführlichere Schritte dafür finden Sie in diesem Leitfaden, wie Sie eine Website melden. Dann helfen Sie auch, das Internet für alle sicherer zu machen.

Schützen Sie Ihr Gerät und Ihre Daten nach einer Datenschutzverletzung

Haben Sie den Verdacht, dass Sie eine unsichere Website besucht oder, schlimmer noch, persönliche Daten eingegeben oder eine Datei heruntergeladen haben? Dann handeln Sie schnell:

• Führen Sie einen kompletten Antivirus- und Anti-Malware-Scan durch: Nutzen Sie zuverlässige Sicherheits-Software, um auf Malware, Spyware oder sogenannte Keylogger zu prüfen.
• Ändern Sie die Passwörter sofort: Starten Sie mit allen Konten, auf die Sie zugegriffen haben, während die Website geöffnet war (E-Mail, Banking sowie alle wiederverwendeten Anmeldedaten).
• Aktivieren Sie Zweifaktor-Authentifizierung (2FA): Setzen Sie das ein, wenn immer das möglich ist. Damit verhindern Sie unbefugten Zugriff auf wichtige Konten.
• Überwachen Sie Bankkonten und Kreditkarten: Achten Sie auf verdächtige Gebühren, insbesondere wenn Sie Zahlungsdaten eingegeben haben.
• Prüfen Sie Ihre Browser-Erweiterungen: Einige unsichere Websites können versuchen, Sie zur Installation bösartiger Add-ons zu verleiten. Entfernen Sie daher alle unbekannten Erweiterungen.

Haben Sie persönliche Daten eingegeben, sollten Sie zudem eine Betrugswarnung oder eine Kreditsperre bei einer Kreditauskunftei einrichten. Damit verhindern Sie Identitätsdiebstahl. Auch wenn nicht sofort etwas Schlimmes passiert ist, sollten Sie dennoch solche Vorsichtsmaßnahmen ergreifen. Einige Malware- oder Phishing-Versuche verzögern ihren Angriff. Proaktives Handeln hilft also, das langfristige Risiko zu begrenzen.