Sie werden im gesamten Web Abzeichen wie „Norton Secured“, „Microsoft Certified Partner“ und „BBB Accredited Business“ sehen – insbesondere beim Herunterladen von Software. Sie sollten einer Website, die solche Abzeichen anzeigt, nicht blind vertrauen – es sind nur Bilder, die jeder kopieren und einfügen kann.
Ratschläge wie „Wenn Sie ein McAfee SECURE-Siegel auf einer Website sehen, wissen Sie, dass es sicher ist“, ist falsch und potenziell gefährlich. Es ist praktisch für die Unternehmen, die diese Zertifizierungen verkaufen, aber es ist ein schlechter Rat, der Menschen in Schwierigkeiten bringen könnte.
Vertrauenssiegel 101
Diese Abzeichen – technisch als „Vertrauenssiegel“ bezeichnet – sind nur Bilder. Jeder konnte diese Bilder kopieren und einfügen und sie auf eine beliebige Software-Download-Seite stellen. Wirklich, wir können das nicht genug betonen. Obwohl ein Gütesiegel schick und offiziell aussehen mag, unterscheidet es sich nicht von einer schriftlichen Aussage. Wenn Sie eine betrügerisch aussehende Software-Download-Seite sehen würden, auf der steht: „Diese Software wurde von Symantec als virenfrei zertifiziert!“, würden Sie ihr blind vertrauen? Natürlich nicht! Natürlich würden sie das sagen – das kann jeder schreiben.
Dasselbe gilt für andere Arten von Abzeichen – sie sind genau das Gleiche wie „Wir sind ein offizieller Microsoft-Partner“, „CNET hat unserer Software eine 5-Sterne-Bewertung der Redakteure gegeben“ oder „Wir sind ein BBB“. akkreditiertes Unternehmen mit einem A+ Rating.“ Sie würden diese Aussagen zu Recht mit Argwohn betrachten, wenn die Website verdächtig erscheint.
Die Einleitung zu diesem Artikel enthält eine Reihe von Siegeln, die wir einfach kopiert und eingefügt haben. Jeder Malware-Autor oder Phisher könnte diese Logos in nur wenigen Sekunden kopieren und einfügen. (Zum Glück fällt unsere Reproduktion dieser Siegel unter die faire Verwendung, da wir sie zu Kritikzwecken verwenden. Jemand, der diese Siegel kopiert, um andere zu täuschen, würde gegen das Urheberrecht verstoßen.)
Wie können Sie sie überhaupt überprüfen?
Theoretisch sollten Sie in der Lage sein, solche Badges anzuklicken und direkt zu der Website zu gelangen, die das Gütesiegel bereitgestellt hat. Die Website des Siegelanbieters würde Sie dann informieren, ob die ursprüngliche Website, auf der Sie sich befanden, tatsächlich vertrauenswürdig ist.
So sollte es funktionieren. In Wirklichkeit gibt es oft keine Möglichkeit, auf solche Abzeichen zu klicken, um zu überprüfen, ob sie tatsächlich offiziell sind – selbst auf Websites, die sie für legitime Zwecke verwenden. Wenn Sie wirklich neugierig sind, ob es wahr ist – ob eine Software tatsächlich eine „PCWorld-Redakteurswahl“ ist oder ein Unternehmen vom Better Business Bureau akkreditiert ist – müssen Sie auf die Website des Unternehmens gehen, das das Abzeichen bereitstellt, und eine Suche durchführen um herauszufinden, ob die Ansprüche berechtigt sind.
Es versteht sich von selbst, dass die meisten Menschen diese Forschung nicht durchführen. Stattdessen bieten diese glänzenden Abzeichenbilder auf vielen Software-Download-Seiten einen Schimmer von Legitimität. Sie mögen von vielen Anwendungsentwicklern korrekt verwendet werden, aber jeder könnte sie leicht für betrügerische, bösartige Software aneignen – die Siegel bedeuten für sich genommen nichts.
Schlimmer noch, eine offizielle Bestätigung, welche Websites legitim sind, kann sehr schwer zu finden sein. Microsoft bietet zum Beispiel sicherlich keine leicht zu findende Liste aller seiner „zertifizierten Partner“. Einige Siegel können Sie jedoch anklicken – stellen Sie sicher, dass tatsächlich die Website des Siegelanbieters geöffnet wird und keine Seite zur Verifizierung von Betrügern.
Siegel bedeuten nicht das, was Sie vielleicht denken
Sie sollten sich auch überlegen, was die Siegel eigentlich bedeuten. Das Siegel „Norton Secured“ bedeutet beispielsweise nur, dass auf der Website täglich Malware- und Schwachstellen-Scans durchgeführt werden. Das BBB-akkreditierte Abzeichen bedeutet nur, dass das Unternehmen der Website beim Better Business Bureau registriert ist. Eine 5-Sterne-Bewertung von einer Software-Download-Site bedeutet nur, dass ein Rezensent irgendwann in der Vergangenheit diesem Programm eine gute Bewertung gegeben hat. Ein „Microsoft Certified Partner“-Abzeichen ist noch verwirrender und scheint nicht viel zu bedeuten.
Wichtig ist, dass diese Abzeichen nicht bedeuten, dass Norton, ein anderes Antiviren-Unternehmen, das Better Business Bureau oder Microsoft die Software ausprobiert und ihr den Stempel aufgedrückt haben.
Zum Beispiel zeigt die betrügerische PC-Reinigungssoftware „MyCleanPC“ auf ihrer Website ein „Verisign Secured“-Abzeichen an. Dies bedeutet nur, dass sie ein SSL-Zertifikat von Verisign erworben haben, das verwendet wird, um Ihre Zahlungsinformationen zu sichern, wenn Sie auf ihre Tricks hereinfallen und bezahlen.
Das nutzlose Treiber-Update-Tool von Driverupdate.net verkündet stolz, dass es von einem „Microsoft Gold Certified Partner“ stammt, aber jeder Microsoft-Mitarbeiter, der es wert ist, würde von der Verwendung dieses Tools raten. Driverupdate.net hat auch die McAfee SECURE-Zertifizierung – es ist technisch gesehen keine Malware, also besteht es.
Vertrauen Sie grünen Namen in der Adressleiste Ihres Browsers – das war’s!
Das Einzige, worauf Sie vertrauen können, ist Ihr Webbrowser. Wenn neben Ihrer Adressleiste ein grüner Name angezeigt wird, bestätigt dies, dass die Identität der aktuellen Website überprüft wurde. Im Screenshot unten hat unser Webbrowser beispielsweise bestätigt, dass dies die echte Website der Bank of America ist. Die Bank of America hat einen Identitätsüberprüfungsprozess durchlaufen. Lesen Sie mehr über diese „Extended Validation“-Zertifikate und wie sie vertrauenswürdiger sind als typische SSL-Zertifikate.
Wichtig ist, dass Sie diesem vertrauen können, da es in Ihrem Browser angezeigt wird. Es ist nicht nur ein Bild, das überall im Internet kopiert und eingefügt werden kann. Ein Bild, das auf einer Webseite erscheint, identifiziert eigentlich nichts für sich allein.
Und selbst dann bedeutet diese Identitätsprüfung nur, dass die Website dem Unternehmen gehört, zu dem sie angeblich gehört. Dies bedeutet nicht unbedingt, dass das Unternehmen selbst oder seine Software vertrauenswürdig sind.
Ja, es stimmt, dass eine legitime Website, die ein falsches Siegel zeigt, Beschwerden erhält und gezwungen ist, sie zu entfernen. Aber wir machen uns hier keine Sorgen um legitime Sites – wir machen uns Sorgen über Fly-by-Night-Sites, die Malware und Phishing-Betrugsseiten verbreiten. Das sind die Websites, die am meisten davon profitieren würden, diese Siegel zu stehlen. Sie verstoßen bereits gegen das Gesetz, daher ist es für sie kein Problem, das Urheberrecht des Siegelanbieters zu verletzen.