Interessierte des INSPECTION Forschungsprojekts trafen sich in Hamburg

Konsortialpartner und Interessierte trafen sich im Rahmen des INSPECTION-Forschungsprojekts persönlich zu einem Statustreffen. Dieses Mal fand dieses in den Räumen der BDO AG Wirtschaftsprüfungsgesellschaft in der Hansestadt Hamburg statt, weitere Teilnehmer hatten sich online zugeschaltet. Die Firma mindUp stellte Verfahren zum Finden von gehackten Webseiten dar. Ein Fokus von Joachim Feist war dabei das Phänomen, dass Betreiber von japanischen Fake-Shops deutschsprachige Domänen hacken, um Besucher für Ihre betrügerischen Seiten zu erhalten. Diese Art des Hackings fand sich unter anderem bei einem in den Medien bekannt gewordenen Fall des Fotomuseums in Winterthur. Hier hatten im Rahmen des Statusmeetings Herr Claus und Herr Künzi vom Nationalen Zentrum für Cybersicherherheit (NCSC) in der Schweiz die Gelegenheit, den Fall sowie ihre Ansätze im Bereich Finden und Behandeln gehackter Websites vorzustellen. Unter anderem betreibt das NCSC ein Meldeformular, mit dem Bürger:innen und Unternehmen Verdachtsfälle melden können und anhand einfacher Fragen überprüfen können, ob sie von einem Cybersicherheitsvorfall betroffen sind. Liegt ein solcher Vorfall vor, werden den Betroffenen Tipps für weitere Maßnahmen angezeigt, der Fall wird gemeldet und durch das NCSC weiter verarbeitet. 

Ein ähnliches Vorgehen hat auch IONOS implementiert, wie Winfried Kania berichtete. Kund:innen können über ein Portal E-Mails hochladen, die vermeintlich von IONOS geschickt wurden. Das System überprüft anschließend, ob es sich bei der E-Mail um eine Phishing-Nachricht handelt. Ist dies der Fall, wird automatisiert ein Prozess eingeleitet, in dem die Nachricht analysiert wird und ggf. Maßnahmen eingeleitet werden, um Kund:innen zu warnen oder gefälschte Login-Seiten zu sperren.

Im Bereich „Behandeln“ stellte Stephan Halder von der BDO AG neuste Erkenntnisse aus der Analyse von Content Management Systemen Betroffener vor. Unter anderem konnten hier interessante Muster festgestellt werden, wie Angreifende Websites nach Schwachstellen scannen. Dies zeigte eindrücklich, wie systematisch Angreifer:innen vorgehen. Sind die Angreifer erst einmal im System, was zum Beispiel durch bekannte Schwachstellen geschieht, aber auch durch manipulierte und frei verfügbare Plugins oder Themes, bei denen Backdoors über sogenannte Webshells direkt implementiert wurden, werden oftmals Zugriffsberechtigungen geändert und neue Administratoraccounts. Dies erlaubt den Angreifern nicht nur einen administrativen Zugriff auf das gehackte System, sondern erschwert auch die Entfernung der Malware, da Schadcode gegen die Erkennung angepasst und  automatisiert aus dem Internet nachgeladen wird. Dies zeigte noch einmal eindrücklich, wie tief Angreifer in das System der Betroffenen eindringen können. Es ist daher in den wenigsten Fällen damit getan, einfach nur ein Backup der Website einzuspielen, es muss auch sichergestellt werden, dass alle schadhaften Dateien und Webshells aus dem System entfernt werden. Betroffene verfügen häufig nicht über die Möglichkeit ein kompromittiertes System wieder zu bereinigen. Hier sollten sich diese Unterstützung für eine Analyse des Vorfalls suchen um sicherzugehen, dass alle schadhaften Dateien entfernt sind und ein „sauberes“ System online geht.

Anne Hennig von der Forschungsgruppe SECUSO stellte vorläufige Ergebnisse des Benachrichtigungsexperiments vor und präsentierte die Hintergründe zur Entwicklung und Evaluation eines ersten Awareness-Videos. Im Rahmen des Experiments werden aktuell Betroffene von fünf verschiedenen Absendern angeschrieben und jeweils mit einem einheitlichen E-Mail Anschreiben über das Hacking der Website informiert. Nach ersten Auswertungen, die aufgrund geringer Fallzahlen aber als vorläufig betrachtet werden müssen, zeigt sich, dass bei allen Absendern eine Behebungsrate von 30 bis 40% erzielt wurde, wobei das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit knapp 46% die höchsten Behebungsraten verzeichnet. In Hinblick auf unterschiedliche Anreize, die den Betroffenen gegeben werden, um die Dringlichkeit des Angriffs zu verdeutlichen, zeigten sich nach aktuellem Stand kaum Unterschiede. Formulierungen, die z.B. eine Sperrung der Website oder Reputationsschäden aufzeigen, scheinen leicht bessere Behebungsraten zu erzielen. Hier ist aber aufgrund geringer Fallzahlen noch keine gesicherte Aussage möglich. 

Im Bereich „Verhindern“ werden Awareness-Materialien auf Grundlage der im Projekt gewonnenen Erkenntnisse entwickelt. So konnte noch im Dezember 2022 ein erstes Awareness-Video fertiggestellt werden, mit dem auf das Problem aufmerksam gemacht werden soll. Das Video wurde im Februar und März 2023 mit Expert:innen aus dem Projektkontext evaluiert und wird nach Einarbeitung der Anpassungen zum Ende des Projekts veröffentlicht. Ein zweites Video ist in Planung, ebenso wie ein Foliensatz für einen Vortrag. Ziel der kommenden Projektmonate ist es, das zweite Video fertigzustellen und zu evaluieren sowie im Rahmen des Vortrags zu verschiedenen Anlässen auf Website-Hackings aufmerksam zu machen und Maßnahmen zur Behebung des Hackings und Schutzmaßnahmen gegen zukünftige Hackings vorzustellen. Hier sind alle Stakeholder eingeladen, geeignete Formate und Events vorzuschlagen.

Typischer Hackingfall öffentlich gemacht

Es ist eine Seltenheit, dass Hackingfälle publik gemacht werden. Dabei hilft diese Öffentlichkeit anderen betroffenen Webseitenbetreibern auf die generelle Problematik aufmerksam zu werden und damit selbst wachsam zu sein und Hinweise zur Absicherung und Behebung erhalten zu können.

Gehackt wurde die Seite des bekannten schweizerischen Fotomuseum in Winterthur:

Cyberangriff auf das Fotomuseum Winterthur (inside-it.ch)

Die Webseite bleibt dabei von vorne her in Ihrem Verhalten normal, weswegen dieses Hacking häufig unbemerkt bleibt.

SEO-Hacking wird in der Suchmaschine deutlich

In der Suchmaschine sieht diese Form des Hackings dann so aus:

Die neu aufgenommenen Seiten drehen sich um Produkte. Die Einträge sind perfekt für Google optimiert mit Bewertungsinformationen und einem Produktbild, auch der Preis wird direkt angezeigt. Die Hacker machen sich dabei nicht die Mühe eine sprachlich oder thematisch passende Seite zu suchen. Für sie funktioniert offenbar eine beliebige Webseite irgendwo auf der Welt, die mit ihrem langjährigen Bestehen bei der Suchmaschine gut angesehen ist.

Suchende nach Produkten finden dann also die gut verlinkte und damit in der Suchmaschine hoch angesehene Seite des Fotomuseums. Ein Klick auf den Eintrag führt über eine Weiterleitung direkt in den Fake-Shop.

Dabei werden zum einen neue Seiten eingehängt. Im aktuellen Fall z.B. www.fotomuseum.ch/collection-post/xxx/ . Es werden aber auch bestehende Seiten der Suchmaschine mit neuen Inhalten angeliefert. Diese Technik nennt man Cloaking: Nutzer und Suchmaschine erhalten unterschiedliche Inhalte. So wurde der existierenden Seite www.fotomuseum.ch/de/collection-post/midwest/ ein neuer Inhalt zugeschrieben.

Neuer Webseiteninhalt durch Cloaking

Weiterleitungen finden bei solchen Seiten nur dann statt, wenn die Seite aus der Suchmaschine kommend aufgerufen wird.

Technisch handelt es sich bei der Seite des Fotomuseums um eine Seite, die mit dem populären Content-Management-System WordPress erstellt wurde. Dieses kostenlose Betriebssystem hat in den letzten Jahren so an Beliebtheit gewonnen, dass ein Marktanteil von über 60% besteht. Beliebt ist es auch wegen des Plugin-Konzepts: Zusätzliche hilfreiche Funktionalitäten können ganz einfach über wenige Klicks mit aufgenommen werden. Hier besteht allerdings auch ein Wildwuchs: eine fünfstellige Zahl an solchen Funktionserweiterungen besteht und nicht immer sind diese professionell entwickelt. Damit stellen Plugins ein häufiges Einfallstor für Hacker dar.

Wichtig für Seitenbetreiber ist es Plugins und die Kernsoftware regelmäßig zu aktualisieren und von solchen Plugins Abstand zu nehmen, die schon lange nicht mehr aktualisiert wurden.

Die gute Nachricht: Auch hierfür gibt es Plugins, die an notwendige Updates erinnern und Angreifer aussperren, die mit automatisierten Anfragen Schwachpunkte abprüfen.

Ein weiterer Tipp für Webseitenbetreiber, um von dieser Form des Hackings bewahrt zu bleiben: Ziel der Hacker hier ist es in der Suchmaschine gefunden zu werden. Wer über Statistiken aufmerksam bleibt, für welche Begriffe er in den Suchmaschinen häufig gefunden wird, bemerkt recht schnell, dass ein Angriff stattgefunden hat. Das Statistik-Tool muss dabei allerdings direkt aus den Logfiles die Informationen beziehen. nicht über Tracking-Code in der Webseite, da dieser ja nicht auf den gehackten Seiten präsent wäre.

Im Falle des Fotomuseums konnte das Hacking schnell behoben und damit weiterer Schaden abgewendet werden. Die Veröffentlichung hilft für mehr Wachsamkeit.

Forschungsprojekt INSPECTION verlängert

Das Forschungsprojekt INSPECTION, das eigentlich Ende Mai 2023 enden sollte, wurde erfolgreich verlängert: Das Ende des Projektzeitraums ist nun auf Ende September bzw. November 2023 datiert. Die Forschungsarbeiten zum „Finden“ der Hackings enden im September. Untersuchungen zur Art der Hackings und die Evaluation der Awareness-Maßnahmen werden bis Ende November 2023 bearbeitet.

Ziel des INSPECTION Projekts ist es, gehackte Webseiten durch das Durchsuchen des deutschsprachigen Internets und durch Klassifikation der Seiten mit Methoden der künstlichen Intelligenz von außen automatisiert zu identifizieren. Es werden zudem Methoden entwickelt, die es erlauben, Betroffene zu informieren, den Schaden zu beheben und das Risiko zukünftiger erfolgreicher Angriffe zu reduzieren. Dabei sollen sowohl Betroffene als auch allgemein Stakeholder im Umfeld von Websites für die Probleme sensibilisiert werden. 

Sicher einkaufen im Internet

Ein Podcast-Beitrag der Verbraucherzentrale informiert Verbraucher, wie Sie möglichst nicht in die Fallen der Fake Shops geraten.

In diesem Zusammenhang erläutert auch Joachim Feist von der mindUp Web + Intelligence GmbH die Motivation und Problematik der gehackten Webseiten wie sie bei INSPECTION im Mittelpunkt stehen (ca. Minute 9:48 – 11:48) und deren Bezug zu Fake-Shops:

Dorian Lötzer: […]Fakeshop ist nicht gleich Fakeshop. Und man kann auch nicht einfach irgendeine Seite ins Internet stellen, die Füße hochlegen und quasi darauf warten, dass das Geld einfach so einfließt. Aber da, wo es Geld gibt, gibt es auch einen „Markt“. Und über den wollte ich mehr erfahren.

Joachim Feist: […] Was man eben auch feststellen muss ist, dass dieses Fakeshop-Treiben tatsächlich zugenommen hat. Zum einen sagt man, das ist vielleicht sogar heute schon vom organisierten Verbrechen genutzt, da es eigentlich eine Betrugsform ist, die deutlich risikoloser ist, als Drogen zu verkaufen.

Dorian Lötzer: Diese Erkenntnis ist wichtig. Denn die Vermutung liegt bei Fakeshops oft nahe, dass es um Einzeltäter in irgendwelchen Keller geht. Und dann vernachlässigt man das Problem eher. In der Realität sind viele Betreiber:innen solcher Fakeshops höchst professionell geworden, Teils mit firmenähnlichen Strukturen. Und diese Professionalität spiegelt sich auch in deren Strategien wieder.

Teilweise haben Fakeshops nämlich ein wirklich gutes Verständnis vom Markt. Wenn gerade Grafikkarten für Computer schwierig zu kriegen sind, richten sie sich darauf aus. Wenn Sneaker oder Spielekonsolen begehrt sind, dann darauf. Je höher der Wunsch der Opfer ist, an ihr Produkt zu kommen, desto leichter haben es Fakeshops.

Joachim Feist: Man muss schon sagen, dass diese Fakeshop-Betreiber sehr kreativ sind und auf der anderen Seite sehen wir auch zunehmend kriminelle Machenschaften. Das heißt, ein Fake-Betreiber hat ja eigentlich das gleiche Problem wie ein normaler Onlineshop. Er stellt seinen Fakeshop jetzt online und niemand kennt den. Es wird auch niemanden geben, der sagt, „Oh, ich hab‘ kürzlich in diesem schönen neuen Shop eingekauft, das lief alles zu meiner Zufriedenheit.“ Das fällt bei ihm auch weg. Und das heißt für ihn, er muss vielleicht Werbung schalten, das ist aber natürlich auch riskant, weil er dann eben bei diesen Stellen, bei denen er Werbung schaltet, auch wieder mit gefälschten Kontenangaben arbeiten oder seine Adressdaten angeben muss.

Tatsächlich haben wir jetzt vor ungefähr vier bis fünf Jahren festgestellt, dass Fake Shops auch hingehen […] und Drittseiten hacken. Das heißt, um in die Suchmaschinen hinein zu kommen, hängen sie sich unter normale .de-Adressen mit ihren Inhalten. Und Verbraucher sehen dann plötzlich eine ganz normale deutschsprachige Domäne in der Suchmaschine, die plötzlich mit ihren Unterseiten für diesen Fakeshop sichtbar wird.

Die Webseite bleibt von vorne her ganz normal. Das heißt dann auch, wenn wir Seitenbetreiber darauf ansprechen, dass sie gehackt wurden, sagen die: „meine Seite sieht doch aus wie immer. Da ist doch alles normal, da gibt es doch kein Problem“, aber aus der Suchmaschine kommend ist es dann eben so, dass dieser Klick dann weitergeleitet wird zum Fakeshop.

Dorian Lötzer: Fakeshops sind mittlerweile also extrem professionalisiert. Sie nutzen nicht nur die Algorithmen von Suchmaschinen gezielt aus, um mit ihrer Werbung ganz oben zu erscheinen, sondern hacken sich mitunter auch in andere Websites ein, um von deren Kundenvertrauen zu profitieren. Je nachdem, von welcher Art von Shop wir sprechen, sind die Zeiten auch vorbei, in denen man noch auf den ersten Blick erkennen konnte, dass es sich um eine Betrugsmasche handelt. Es wird immer schwieriger, unseriöse Läden im Internet schnell ausfindig zu machen.

[…]

Projekttreffen INSPECTION am KIT

Während Nancy Faeser Ihre Cybersicherheitsagenda vorstellt – mit zentralen Befugnissen gegen Hacker – arbeitet das Team im Forschungsprojekt INSPECTION an dezentralen Ansätzen. Knapp zwei Jahre nach dem Kick-off fand das INSPECTION Projektmeeting wieder am KIT in Karlsruhe und Online statt. Im Forschungsprojekt INSPECTION geht es darum, von außen zu erkennen, dass Webseiten gehackt wurden. Dieser dezentrale Ansatz identifiziert große Mengen von Hackings, die oft jahrelang unentdeckt bleiben. Die gehackten Webpräsenzen von  Privatleuten, Handwerkern, Firmen, aber auch z.B. Städten, Universitäten und Kliniken, werden im großen Stil dazu genutzt, Besucher zu Fake-Shops zu leiten. Die gleiche Art des Hackings kann aber auch verwendet werden für Ransomware-Downloads, Phishing oder DDOS-Attacken.

Herr Stephan Halder, BDO AG, stellte weitere Ergebnisse aus der forensischen Analyse betroffener Webseiten vor. Besondere Highlights waren Feststellungen, wie tief sich Angreifer in gehackte Webserver eingraben und die Sicherungsmechanismen, die Angreifer ergreifen um nicht entdeckt zu werden. Basierend auf diesen Erkenntnissen wurden Maßnahmen zur Verstärkung der Resilienz gegenüber Hacking-Angriffen präsentiert.

Dr. Peter Mayer und Anne Hennig, die die Forschungsgruppe SECUSO im Projekt vertreten, berichteten über erste Ergebnisse eines Benachrichtigungs-Experiments, bei dem die Effektivität verschiedener Anschreiben getestet wird. Einleitend zu dem Thema Entwicklung von Awareness-Materialien, das im nächsten Projektzeitraum im Fokus der Konsortialpartner stehen wird, stellte Frau Prof. Melanie Volkamer einen Leitfaden für das Erstellen von Security-Awareness-Maßnahmen vor. 

Herr Joachim Feist, von der mindUp Web + Intelligence GmbH aus Konstanz, sprach über Ansätze wie gehackte Webseiten bereits an der sitemaps.xml erkannt werden können. Darüber hinaus stellte er den Ansatz der „security.txt“ Datei vor, die es auf einfachem Weg erlaubt, betroffene Webseiten-Betreiber zu informieren.

Nähere Informationen zu diesem Vorschlag finden Sie im vorherigen Beitrag:

Are you hacked ? Please let us contact!

INSPECTION kooperiert mit BSI

Im Rahmen des internen Informationsformats “DVS Open” des Bundesamts für Sicherheit in der Informationstechnik (BSI) stellen Dr. Peter Mayer und Anne Hennig am 17.05.2022 das Forschungsprojekt INSPECTION vor. DVS steht für “Digitaler Verbraucherschutz”. Peter Mayer und Anne Hennig präsentierten dabei die Ziele und aktuellen Ergebnisse aus dem INSPECTION-Projekt . Das Projekt beschäftigt sich mit dem Identifizieren gehackter Websites, der Benachrichtigung von Betroffenen und der Sensibilisierung verschiedener Stakeholder, um das Risiko künftiger Angriffe zu verringern. 

Das BSI konnte für den wichtigen Schritt der Kontaktaufnahme mit Betroffenen gewonnen werden: Im Rahmen des Forschungsprojekts wird ermittelt, welche Absender mit welcher Botschaft am besten an die Betreiber der gehackten Webseiten herantreten sollten. So wird in einem Experiment die Ansprache durch die Universität (KIT), die Ansprache durch den Hoster (IONOS, Godaddy), der Ansprache durch das BSI gegenübergestellt. Hieraus werden wichtige Erkenntnisse erwartet über die Effektivität verschiedener Absender und Framings (die sprachliche Verpackung der Botschaft von der Kommunikation der Gefährdung bis hin zu den „Incentives“, die eine schnelle Reaktion und Behebung mit sich bringt).

Prüfung von Kammerbetrieben der IHKs

Auf Einladung von Frau Dr. Sobania – zuständige Referatsleiterin für IT-Sicherheit bei der DIHK – wurde am 29.3.2022 IHK-Verantwortlichen einzelner Kammern das Projekt INSPECTION vorgestellt. Für die Kammern besteht das Interesse, Mitgliedsbetriebe frühzeitig auf ein Hacking hinzuweisen. Für das Forschungsprojekt besteht das Interesse gezielt und nutzbringend Hackingfälle zu finden und Betroffene informieren zu können.

Herr Feist von der mindUp Web + Intelligence GmbH stellte dabei die technischen Aspekte dar: Im Rahmen des Projekts INSPECTION können dabei die bekannten Webseiten der Mitgliedsbetriebe durch die im Forschungsprojekt entwickelte Detektionssoftware geprüft werden. Zum Einsatz kommen dabei verschiedene Prüfschritte, die speziell für diesen Anwendungsfall entwickelt werden: Während normalerweise direkt Suchmaschinenergebnisse überwacht und dort auffällige Resultate von Webseiten erkannt werden, ist für diesen Anwendungsfall notwendig, die KI basierten Erkennungsmechanismen speziell auf eine Webseite zu richten. Aus früheren Anwendungen für verschiedene Handwerkskammern ist dabei schon bekannt, dass auch andere Formen des Missbrauchs wie z.B. Kommentar-Spam zu erkennen sind. Als Nebenprodukt fallen auch ganz triviale aber datenschutzrechtlich relevante Punkte an, wie die Information, welcher Prozentsatz der Betriebe allgemeine Sicherheitsstandards wie das https-Protokoll im Einsatz haben.

Frau Anne Hennig, wissenschaftliche Mitarbeiterin der Forschungsgruppe SECUSO, präsentierte die Möglichkeiten, wie in einem solchen Fall betroffene Webseitenbetreiber effektiv angesprochen werden können. Hierbei können die Kammerverantwortlichen für IT-Sicherheit unterstützen, denn gerade die Stelle, die eine solche Warnung weitergibt, ist sehr wichtig, um beim Betroffenen plausibel zu wirken.

Auf Interesse seitens der Sicherheitsberater der IHKs stieß dabei auch, dass im Rahmen des Projekts auch Präventionsmaterialien zur „Awareness“ bei möglichen Betroffenen für die Betriebe erarbeitet werden.

Die Verantwortlichen der einzelnen IHKs prüfen nun inwieweit Webseitendaten der Betriebe zur Verfügung stehen und Prozesse zur Information Betroffener aufgebaut werden können. Erste IHKs konnten direkt eine Datenlieferung zusagen.

My website is hacked – How not to be misused by a Fake Shop

Finding hacked websites which are misused to redirect to fake Online Shops is the aim of the INSPECTION project. Within this project, that is funded by the German Federal Ministry of Education and Research, we collected frequently asked questions, like „What is the goal of the hackers?“, „How can I see if my website is misused?“ or „What do I have to do if I detect such a misuse on my website?“. With this project we would like website owners to become aware of the problem. Having tons of results in the Google search is not always profitable – especially if most of them redirect to fake pharmacies or other suspicious online shops. Instead, loss of reputation and even legal consequences are the yield.

Artikel auf: cybersecuritymonth.eu

Erste Erfolge bei Behebung gehackter Webseiten

Fake-Shops hacken Webseiten, um Verbraucher gerade jetzt vor Weihnachten aufs Glatteis zu führen. Das Konsortium des Forschungsprojektes INSPECTION hat in ersten Fällen das Ziel erreicht, gehackte Webseiten zu erkennen und die Betreiber gezielt zu informieren.

Fake-Shops sind gerade aktuell wieder verstärkt darauf aus, die wegen Corona verstärkt ins Internet verlagerte Geschenkesuche für ihre Zwecke zu nutzen. Da Fake-Shops keine Stammkunden haben, weiten sie ihre kriminelle Vorgehensweise auch auf Dritte aus: Webseiten mittelständischer Firmen, Handwerker, Vereine oder Privatleute werden im großen Stil manipuliert und tauchen plötzlich in Suchanfragen für Suchbegriffe der Produkte des Fake-Shops auf. Durch die jahrelange Bekanntheit dieser Webseiten finden sich diese dann schnell in den vorderen Ergebnisseiten der Suchmaschine. Ein Klick führt dann nicht zur eigentlichen Webseite, sondern man wird direkt auf den Fake-Shop weitergeleitet.

Die vom Bundesministerium für Bildung und Forschung geförderte Initiative „INSPECTION“ der mindUp Web + Intelligence GmbH im Verbund mit der Forschungsgruppe SECUSO des Karlsruher Instituts für Technologie (KIT) und der Cybersecurity Abteilung der BDO AG Wirtschaftsprüfungsgesellschaft ist nun seit sechs Monaten aktiv, um die betroffenen Webseitenbetreiber zu identifizieren und Wege zu finden, diese zielgerichtet zu informieren.

Um bereits frühzeitig konkreten Nutzen zu erzielen, verfolgen die Projektpartner einen agilen Ansatz. Thematisch liegt der Fokus aktuell auf Fake-Shops, die versuchen, illegal Arzneimittel zu verbreiten. Mehr als zweihundert Webseiten konnten ausgemacht werden, die auf die beschriebene Weise manipuliert und so zu Handlangern von Kriminellen wurden. Die Ansprache der Betroffenen erfolgt aktuell über die verschiedenen im Forschungsprojekt teilnehmenden Partner. Die Webhoster 1&1 IONOS und Host Europe übernehmen die Fälle in ihrem Kundenstamm. Die Allianz für Sicherheit in der Wirtschaft spricht Firmen im Rahmen ihrer Regionalstruktur an. Der Fachverband Elektro- und Informationstechnik Baden-Württemberg leitet die Information an betroffene Handwerker weiter. Die internationalen Partner SISA und Watchlist Internet bearbeiteten die Fälle in der Schweiz und Österreich. Die sonstigen Fälle wurden an die Cybercrime-Stellen der sechzehn Bundesländer übergeben.

Im direkten Kontakt konnte z.B. bereits einem Weiterbildungsinstitut, einer Handwerks-Innung, einem Verein und einem Transferzentrum für Unternehmenswissen geholfen werden. Gerade bei letzterem zeigten sich aber auch weitere Herausforderungen. Nach anfänglichen Erfolgen wurde die Seite erneut erfolgreich angegriffen. Interessierte finden weitere Informationen zum Projekt unter der Webseite https://web-inspection.de. Betroffene erhalten Hilfestellung unter der Email [email protected]

Kick-Off-Meeting in Karlsruhe

Das interdisziplinäre Konsortium des Forschungsprojektes INSPECTION hat seine Arbeit mit der gestrigen Kick-Off-Veranstaltung in Karlsruhe aufgenommen. Das Ziel der Akteure ist die Erkennung gehackter Webseiten im Umfeld von Fake-Shops und das Informieren der betroffenen Webseitenbetreiber. Die mindUp Web + Intelligence GmbH ist Initiator und Projektkoordinator und bringt insbesondere Know-How in der Erkennung durch Künstliche-Intelligenz ein.

Fake Shops sind gerade aktuell wieder verstärkt darauf aus, Konsumenten in Ihre Falle zu locken: Günstige Hygiene-Artikel oder Medikamente, die angeblich vor dem Corona-Virus schützen, die erst bezahlt werden müssen, dann aber nie ankommen. Um auf die vorderen Ränge der Suchmaschine zu kommen, schrecken sie dabei auch nicht davor zurück, Webseiten unschuldiger Bürger, Organisationen oder Unternehmen zu hacken und mit deren gutem Leumund die dortigen Besucher auf ihre Fake Shops weiterzuleiten.  Das Trickreiche dabei ist, dass man durch den gewohnten Aufruf der Webseite diese Manipulation gar nicht bemerkt.  Der illegale Eingriff bleibt daher vom Betreiber oft viele Jahre unbemerkt, denn die Webseiten funktionieren wie zuvor, nur dass der Betreiber plötzlich noch für ganz andere Themen gefunden wird als erwünscht. Problematisch dabei ist darüber hinaus, dass die gehackte Webseite noch mehr Schaden anrichten kann: von der Verteilung von Spam bis hin zu Ransomware. Eine Forschungsinitiative der mindUp Web + Intelligence GmbH im Verbund mit der Forschungsgruppe SECUSO des Karlsruher Instituts für Technologie (KIT) und der Cybersecurity Abteilung der BDO AG Wirtschaftsprüfungsgesellschaft unter Mitwirkung von Verbänden und Webhostern erkennt gehackte Webseiten von außen und informiert gezielt die Betreiber.

Das vom Bundesministerium für Bildung und Forschung im Programm KMU-innovativ geförderte Projekt gliedert sich in drei Abschnitte: das Finden, das Behandeln und das Verhindern dieser Form des Hackings. Die technische Aufgabe des Auffindens der manipulierten Webseiten übernimmt die mindUp Web + Intelligence GmbH. Mit Methoden des maschinellen Lernens wird erkannt, welche Besonderheiten einer Webseite auf ein Hacking hinweisen. Hierzu werden Web-Crawling-Techniken eingesetzt, um Suchmaschinenergebnisse und die Inhalte der Webseiten mit Hilfe von Texterkennungsverfahren zu analysieren. Mit jeder erkannten Seite steigt dadurch das Wissen des Systems und trägt zur weiteren Erkennungsleistung der Künstlichen Intelligenz bei.

Die Erkennung ist jedoch nur ein Baustein im Gesamtprozess. Die Forschungsgruppe SECUSO (Security-Usability-Society) des Karlsruher Institut für Technologie (KIT) erforscht im Rahmen des Projektes, ob beispielsweise die Ansprache des Betreibers über den Webhoster oder bei Firmen über Branchenverbände eine effektive Ansprache ermöglicht. An dieser Stelle unterstützen die 1&1 Ionos SE, und die Domain Factory / Host Europe Gmbh vonseiten der Webhoster, der Baden-Württembergische Handwerkstag (BWHT) und der Fachverband der Elektro- und Informationstechnik Baden-Württemberg vonseiten der Branchenverbände. Die Ansprache setzt dabei auf sogenannte „Teachable Moments“, d.h. durch die Ansprache wird ausgenutzt, dass Betroffene aus dem Hacking-Angriff sensibilisiert hervorgehen. Weiterhin sollen effektive Präventionsmaterialien entwickelt werden.

Im Projekt wird ebenfalls die Frage beantwortet, wie Webseitenbetreibern die notwendigen Hilfestellungen gegeben werden können. Einerseits die Sicherheit der Webseite dauerhaft herzustellen und andererseits die missliebigen Einträge aus der Suchmaschine zu entfernen. Die BDO AG analysiert hierzu die verschiedenen zum Einsatz kommenden Angriffsvektoren. Abhängig von der Art des erfolgten Angriffs und des eingesetzten Systems, werden möglichst allgemeinverständliche Maßnahmen erarbeitet, die auch für die Prävention nutzbringend sind.

Bei der Verbreitung der Präventionsmaterialien unterstützen beispielsweise der ECO-Verband mit seinem Webseiten-Sicherheitsprojekt SIWECOS, die Initiative Deutschland sicher im Netz e.V. und die Allianz für Sicherheit in der Wirtschaft. Für Fälle aus der Schweiz und Österreich wirken die Swiss Internet Security Alliance und die Watchlist Internet mit.

Profil BDO AG Wirtschaftsprüfungsgesellschaft

BDO zählt mit über 1.900 Mitarbeitern an 27 Standorten zu den führenden Gesellschaften für Wirtschaftsprüfung und prüfungsnahe Dienstleistungen, Steuerberatung und wirtschaftsrechtliche Beratung sowie Advisory Services in Deutschland. BDO ist Gründungsmitglied des internationalen BDO Netzwerks (1963), der mit heute über 88.000 Mitarbeitern in 167 Ländern einzigen weltweit tätigen Prüfungs- und Beratungsorganisation mit europäischen Wurzeln. Im Bereich IT, Forensics sowie Daten- und Cybersicherheit verfügt die BDO Gruppe über breite Expertise mit knapp 200 Expertinnen und Experten der BDO AG Wirtschaftsprüfungsgesellschaft, BDO DIGITAL GmbH und der BDO Cybersecurity GmbH.

Profil KIT – Projektgruppe SECUSO

Die Forschungsgruppe Security, Usability, Society (SECUSO) ist Teil des Instituts für angewandte Informatik und Formale Beschreibungsverfahren (AIFB) am Karlsruher Institut für Technologie (KIT). Gemeinsam mit anderen Security Forscherinnen und Forschern bildet die Forschungsgruppe das Kompetenzzentrum für Angewandte Sicherheitsforschung (KASTEL). Zu den Kernkompetenzen der Forschungsgruppe SECUSO zählen Sensibilisierungs- und Schulungsmaterialien zu verschiedensten IT-Sicherheitsthemen (z.B. Phishing und andere betrügerische Nachrichten und der Sicherheit von Benutzerkonten) sowie die Benutzbarkeit von Sicherheitsmaßnahmen.

Profil mindUp

Die mindUp Web + Intelligence GmbH ist ein Team aus Data-Scientists und professionellen Softwareentwicklern, die in direktem Kundenkontakt individuelle Lösungen auf Basis von Standardprodukten und Inhouse-Analytics realisieren. Zu den Dienstleistungen zählen das Datenhandwerk (Aufbereitung, Analyse, Wissensgewinnung, Prozessintegration), die Entwicklung von lernfähigen KI-Lösungen (Maschinelles Lernen, Deep-Learning), Auftragsforschung und Datenstudien.

Zu den Produkten von mindUp zählt die Software-Technologie contentDetection zur automatisierten Klassifikation und Datenextraktion im Internet. Zu den Kunden von mindUp zählen z.B. billiger.de, eBay, United Internet, Deutscher Mieterbund e.V.