mindUp Web + Intelligence GmbH

17. Mai 2023

Beratertagung des Landes Baden-Württemberg

Über einhundert Berater aus Handwerks-Kammern und Fachverbänden waren für eine zweitägige Fortbildung nach Konstanz ins Bodenseeforum gekommen. Der baden-württembergische Handwerkstag ist assoziiertes Mitglied im Forschungsprojekt INSPECTION und hat also schon früh die Relevanz des Projekts für Handwerksbetriebe erkannt. Im Vortrag wurden die Gefahren, aber auch die Chancen der Webseitenhackings gerade auch in der Beratung aufgezeigt,

Das Beratungsangebot der Kammern und Fachverbände ist breit gefächert von Digitalisierungsberatung über wirtschaftliche Beratung, Umweltberatung und IT-Sicherheitsberatung.

Die IT-Sicherheitsbotschafter im Handwerk unterstützen Handwerksbetriebe bei allen IT-Sicherheitsmaßnahmen. Sie kennen ihre Branche und deren Anforderung und liefern pragmatische Lösungen für die IT-Sicherheit.

Die Task Force „IT-Sicherheit in der Wirtschaft“ ist eine Initiative des Bundesministeriums für Wirtschaft und Technologie, die vor allem kleine und mittelständische Unternehmen für IT-Sicherheit sensibilisieren und dabei unterstützen will, die Sicherheit der IT-System zu verbessern.

Im Vortrag von Herrn Feist von der mindUp GmbH ging es darum aufzuzeigen, dass gerade für Handwerksbetriebe das Hacking der Webseite eine sehr reale Gefahr darstellt. Mit vielen Beispielen aus unterschiedlichen Branchen wurde plausibel gemacht, dass es jeden treffen kann und trifft, der eine Webseite als einmaliges Projekt begreift und „vergisst“ durch Sicherheitskopien, regelmäßige Updates und der Vermeidung von Sicherheitslücken Gefahren gering zu halten. Der nächstgelegene akute Hackingfall betraf eine Konstanzer Firma, die nur wenige Hundert Meter vom Veranstaltungsort ihren Sitz hat. Die Webseite dieser Firma ist bereits seit 18 Monaten gehackt und verlinkt vermeintliche Angebote eines Pharma-Fake-Shops.

Neben den Gefahren wurde aber auch aufgezeigt, dass diese Hackingvorfälle auch eine Chance sein können: Für Handwerksbetriebe ist die Webseite in der Regel getrennt vom inneren IT-System, der Schaden für den Geschäftsbetrieb damit bis auf die Rufschädigung und die Haftungsrisiken durch die Verlinkung von missbräuchlichen Drittseiten zunächst gering. Die Chance besteht darin, durch diesen Hackingfall die Thematik IT-Sicherheit Ernst zu nehmen und für die Zukunft Standards zu schaffen.

Verwiesen wurde dabei auf das IT-Grundschutzprofil für Handwerksbetriebe, das gemeinsam vom ZDH und der BSI entwickelt wurde.

Ein agiles Vorgehen stellt der Sec-O-Mat der TISiM (Transferstelle IT-Sicherheit im Mittelstand) dar. Unter https://sec-o-mat .de werden kurze Fragen zur Ausgangssituation gestellt und dann konkrete, schrittweise Handlungsempfehlungen gegeben.

Der neue Beratungsstandard nach DIN SPEC 27076 ist eine dritte Möglichkeit mit geringen Kosten im Thema IT-Sicherheit voranzukommen.

Neben der Chance für Handwerksbetriebe aufgrund solcher Vorfälle die eigene Sicherheitsstrategie aufzubauen, sprach Herr Feist auch die Kammern an: Hackingfälle werden im Projekt normalerweise durch die fortwährende Analyse von Suchmaschinenergebnissen gewonnen. Möglich ist aber auch, Webseiten der Betriebe eines Fachverbands oder einer Kammer proaktiv zu prüfen. Dies wurde beispielsweise schon für den Fachverband Elektro- und Informationstechnik Baden-Württemberg (assoziierter Partner bei INSPECTION), die Handwerkskammer Frankfurt-Rhein-Main und die Handwerkskammer Cottbus durchgeführt.

Ein wesentlicher Vorteil dieser Form der Prüfung liegt darin, dass die gehackten Betriebe dann auch durch Ihre Kammer informiert werden können, anstatt dass der Vorfall z.B. an die Polizei gemeldet wird. Durch die Beraterstruktur kann dem Betrieb dann auch Unterstützung bei der Behebung und Planung der künftigen Sicherheitsstrategie gegeben werden.

Als Nebeneffekte fallen auch Informationen an, wie es um die Datenqualität der der Webseitenverwaltung der Betriebe bei der Kammer steht und es zeigt sich häufig, dass auch noch einfache Thematiken wie das Umstellen der Webseite von http auf https durch die Betriebe akut sind. Und dies hat dann wiederum Relevanz nicht nur für die Sicherheit der Webseite, sondern auch für die Sichtbarkeit des Unternehmens in der Suchmaschine für Kunden und künftige Mitarbeiter.

Interessierte Kammern und Fachverbände können sich gerne an [email protected] wenden, um gemeinsam eine solche kostenlose proaktive Analyse für die eigenen Betriebe durchzuführen.

9. November 202225. Januar 2023

Global State of Scams Report

Beim Global Anti Scam Summit am 9. und 10. November 2022 im The Hague Security Delta Campus wurde der diesjährige Global State of Scams Report offiziell vorgestellt.

Im Report wird versucht die verschiedenen Missbrauchsarten – von denen Missbrauch beim Online-Shopping nur ein Teil ist – bezüglich des monetären Verlusts und der globalen Entwicklung einzuschätzen:

Scammers have proven more successful in 2021 than ever before. The number of scams
reported increased with 10.2% from 266 in 2020 to 293 million reports in 2021. The amount of money lost in scams grew from with 15,7% from $47.8 billion in 2020 to $ 55.3 billion in 2021, mainly due to the rise in Investment Scams (also read: About the Data).
Scammers are using any crises to scam people; moving from preordering your Coronavirus
vaccination in the beginning of 2021, to cheap flight tickets for Hajj pilgrims, “supporting”
victims of the Australian bush fires, “helping” Ukrainian refugees and more recently, tickets to Queen Elizabeth’s funeral memorial and energy crisis government subsidies.

Auf Seite 33 des Reports wird das Forschungsprojekt INSPECTION in einem Interview mit Joachim Feist von der mindUp Web + Intelligence GmbH besprochen:

What can you tell about Project INSPECTION?
The research project INSPECTION finds hacked web pages whose resources are being misused to redirect users into fake online shops.
What advantage do these website hackers hope to gain?
By hacking existing domains, the fraudster takes advantage of the reach that has grown over the years, the good search engine ranking, and the positive reputation of the hacked site. Even if there is no thematic match between the fake store and the so called hacked host site, the attacker can place ten thousand thematic pages of his fake store in the search engine index overnight, generating a high number of web visits.
Which websites are particularly often the target of such attacks?
Very small website operators are often targeted. The victims are therefore mainly associations, freelancers or self employed people, for example from the craft sector. But also private individuals. Security gaps often exist because the operators see their websites as a one off investment, they do not keep the site secured.
Why can fake stores become so widespread on the Internet?
The hackers know: The risk of prosecution is low. In most cases, the servers used for the crimes are located outside of Germany and Europe, making it difficult to identify and apprehend the criminals in this country.
Our attempts to refer fake stores to law enforcement agencies, Internet registrars, or consumer protection for closure in order to stop them have also failed. Our current legal regulations can do little against cybercriminals operating internationally. Moreover, it is difficult to adequately inform operators of an attack that has taken place, because an e mail of a hacked site is usually not read. Even if you can contact the site owner, in most cases, those affected cannot act quickly enough due to a lack of IT expertise.
How will INSPECTION help in the future?
The focus of our idea is, on the one hand, the detection of hacked sites and, on the other hand, the targeted, largely automated and early warning of the operators of the hacked sites. After all, mere detection remains useless if there are no measures to remedy the problem.

In den zwei Tagen der hybriden Konferenz wurden in vielen Vorträgen, Panels und Workshops mit Teilnehmern aus sehr vielen Ländern die verschiedensten Aspekte angesprochen. Einige Vorträge waren auch im Umfeld von Fake-Angeboten im Online-Shopping.

Louise Beltzung von der Watchlist Internet berichtete dabei über ein Awareness-Projekt aus Österreich: Unter blackout-kits.at erreicht man einen Online-Shop, der bei genauerem Hinsehen einige Mängel bezüglich Impressum, zu günstiger Preise und seltsamen Deutsch in den Rücksendebedingungen hat. Bestellt man trotzdem hat man Glück – man wird lediglich gewarnt, dass dies genauso ein Fake-Shop hätte sein können.

Von Amazon war Abigail Bishop gekommen, um zu berichten, welche Maßnahmen der E-Commerce Gigant ergreift, um zu verhindern, dass Verbraucher auf der Plattform betrogen werden.

In Dänemark erfordert die Registrierung einer Domänen, dass man sich ausweist. Über die positiven Auswirkungen dieser Regelung berichtete Jakob Bring Truelsen, CEO von Hostmaster, Domain-Registry in Dänemark.

Die jährlich stattfindende Konferenz stellt einen wichtigen Beitrag dar, das Ausmaß von Missbrauch zu beziffern und sich über Maßnahmen auszutauschen.

7. Juli 202227. April 2023

Are you hacked ? Please let us contact!

Wie können Webseitenbetreiber erreicht werden, wenn festgestellt wird, dass sie gehackt wurden?

Genau diese Frage fällt unter einen der drei Hauptbestandteile des Forschungsprojekts INSPECTION: Finden, Behandeln, Verhindern.

Bei der Ansprache ergibt sich häufig das Problem der Glaubhaftigkeit, denn über die üblich angebotenen Kontaktmöglichkeiten, wie Kontaktformulare oder info@-Adressen, werden nicht direkt Spezialisten für Security angesprochen, sondern die Botschaft muss erst einmal erfolgreich den Firmenprozess durchwandern und sich gegen alle möglichen Spam-Nachrichten behaupten.

Der .well-known/security.txt Standard

Ein Vorschlag vom IETF unter den sogenannten .well-known Uri´s beschäftigt sich ebenso mit der Frage nach einer besseren Kontaktaufnahme in Sicherheitsfällen.

Das dazu veröffentlichte Dokument RFC 9116 beschreibt den Aufbau, die Lokalisation und weitere wichtige Eigenschaften, welches eine „security.txt“-Datei erfüllen soll und beinhalten kann.

In seiner einfachsten Form enthält das „security.txt“ eine Zeile, welche der bestmöglichen Kontaktaufnahme dient, und eine Zeile, welche das Ablaufdatum der Information enthält.

Contact: security@meine-domaene.de

Expires: 2027-07-07T14:28:42z

Wie häufig wird diese sinnvolle Möglichkeit schon genutzt? Ist sie bei Webmastern schon so bekannt wie die robots.txt oder die sitemap.xml ?

In einer aktuell durchgeführten Suche nach diesen hilfreichen Dateien konnten wir bei 4.145 Domänen, welche wir als gehackt bzw. ehemalig gehackt klassifiziert haben, leider keine Webseite finden, welche eine „security.txt“ besitzt. D.h. für die Ansprache im Forschungsprojekt INSPECTION gab es keinen Fall bei dem die security.txt bisher hilfreich gewesen wäre.

Etwas besser sieht es bei breiteren Suche von Domänen aus: Bei einer Analyse von 36.000 Domänen vornehmlich aus Deutschland, Österreich und der Schweiz, die im Rahmen des Forschungsprojekts analysiert wurden, war gerade einmal bei 64 eine „security.txt“ abgelegt. Dies entspricht weniger als 0,18% – als Tortendiagramm kaum darstellbar.

Anteil von Webpräsenzen mit security.txt

Für den Erfolg einer schnellen und zielführenden Ansprache ist es wichtig solche Standards zu unterstützen.

Sprechen Sie am besten noch heute Ihren Webmaster an. Den Dateiordner .well-known gibt es bereits auf den meisten Webpräsenzen, da er auch für die Schlüsselverwaltung genutzt wird. Dort lediglich die kleine security.txt Datei anlegen und schon ist man bereit im Falle eines Falles für eine zielführende Information.

29. Januar 202125. Januar 2023

„Wir brauchen lernende Abwehrsysteme gegen die Machenschaften der Fake-Shops“

Betreibende betrügerischer Online-Verkaufsplattformen – sogenannter Fake-Shops – machen sich zunehmend Sicherheitslücken von Webseiten zunutze. Sowohl für die Menschen und Organisationen hinter seriösen Webseiten als auch für Online-Shoppende bedeutet dies ein Risiko. Käuferinnen und Käufer werden bei den unseriösen Angeboten zur Zahlung mittels Vorauskasse oder per Kreditkarte aufgefordert − für Waren oder Dienstleistungen, die häufig gar nicht existieren.

Gerade in der gegenwärtigen Lage verschärft sich das Problem: Viele der Fake-Shops vermarkten in der Pandemie-Krise wichtige Produkte wie Schutzkleidung, Schnelltests oder Desinfektionsmittel. Und das erfolgreich – denn hinter der Masche steckt System: Für hohe Besuchsströme hacken Fake-Shop-Betreibende seriöse Webseiten und richten unerkannt automatisierte Weiterleitungen zu ihrer gefälschten Plattform ein. Die Fake-Shops erhöhen so ihre Sichtbarkeit in Suchmaschinen und damit ihre Erfolgsrate. Die gehackte Webseite kann dann auch für andere Formen des Missbrauchs genutzt werden: zum Beispiel zum Versenden von Spam oder zur Verbreitung von Ransomware.

Im Interview erklärt das INSPECTION Team, welchen Ansatz es verfolgt.

Ihnen begegnen bereits seit vielen Jahren Fake-Shops und damit verbunden Angriffe auf seriöse Webseiten. Wie gehen die Angreifenden genau vor?
Fake-Shop-Betrüger bringen ihre neuen Domänen dadurch in die Suchmaschinen, dass sie sich geschickt mit ihren Themen in fremde, häufig themennahe Webseiten einnisten.

Welchen Vorteil erhoffen sich die Hacker?
Durch das gezielte Hacking von bestehenden Domänen macht sich der Betrüger die über Jahre gewachsene Reichweite, das gute Suchmaschinen-Ranking sowie die positive Reputation der gehackten Seite zunutze. Um eine Zahl zu nennen: Auch wenn thematisch zwischen Fake-Shop und der so genannten gehackten Wirtsseite keine Übereinstimmung besteht, kann der Angreifer bereits über Nacht zehntausend Themenseiten seines Fake-Shops im Suchindex der Suchmaschinen erfolgreich platzieren und damit eine hohe Anzahl an Webbesuchen generieren.

Welche Webseiten sind besonders häufig Ziel solcher Angriffe?
Im Visier sind häufig sehr kleine Webseitenbetreiber. Opfer sind also vor allem Vereine, freiberuflich Tätige oder Selbstständige, etwa aus dem Handwerksbereich. Aber auch Privatpersonen. Sicherheitslücken bestehen hier oft deshalb, weil die Betreiber ihre Webseiten als einmalige Marketinginvestition verstehen. Sicherheitskonzepte werden nicht konsequent verfolgt.

Warum können sich Fake-Shops im Internet so breitmachen?
Die Hacker wissen: Das Risiko der Strafverfolgung ist gering. Zumeist stehen für die Straftaten genutzte Server außerhalb von Deutschland und Europa – die Kriminellen sind dadurch hierzulande schwer identifizier- und greifbar. Auch unsere Versuche, Fake-Shops an die Strafverfolgungsbehörden, die Internetregistrare oder den Verbraucherschutz zur Schließung weiterzuleiten, um sie so zu stoppen, schlugen fehl. Unsere aktuellen gesetzlichen Regelungen können gegen international agierende Cyberkriminelle wenig ausrichten. Darüber hinaus ist es schwierig, die Betreiber adäquat über einen erfolgten Angriff zu informieren, weil eine E-Mail, die ein Hacking thematisiert, im Regelfall nicht gelesen oder ernst genommen wird. Zunächst muss also unbedingt fallbezogen ein verlässlicher Kommunikationskanal zu den Zuständigen gefunden werden. Meist können die Betroffenen auch aufgrund fehlenden IT-Know-hows nicht schnell genug handeln.

Wie soll INSPECTION künftig helfen?
Im Mittelpunkt unserer Idee steht zum einen das Aufspüren der gehackten Seiten und zum anderen die zielgerichtete, weitgehend automatisierte und frühzeitige Warnung der Betreiber der gehackten Seiten. Denn das reine Erkennen bleibt nutzlos, wenn es keine Maßnahmen gibt, das Problem zu beheben. Im Projekt bringen hier die Cybersecurity-Experten der BDO AG Wirtschaftsprüfungsgesellschaft ihr Wissen ein. Sie durchleuchten die Art und Weise der Hackings und können aus der Erkenntnis Lösungen extrahieren, um den Betroffenen schnell Hilfestellung zu geben – auch wenn diese kein Expertenwissen haben. Forschende der Forschungsgruppe SECUSO am Karlsruher Institut für Technologie (KIT) bauen auf diesen Erkenntnissen auf und entwickeln ein optimales Verfahren, um Betroffene zu informieren − etwa über Polizeibehörden, Branchenverbände oder Webhoster.
Welchen technischen Ansatz verfolgen Sie, um zu erkennen, ob eine Webseite gehackt wurde?
Das Gute an dieser Form des Hackings ist, dass wir es von „außen“ erkennen können. Wir verfolgen dabei einen Big-Data-Ansatz, indem wir im großen Stil in shopping-affinen Themenbereichen Suchmaschinenergebnisse überwachen. Alle gefundenen Webseiten werden thematisch eingestuft: Sowohl die für einen Suchbegriff wie „Nike Air Max“ gefundene Seite einer Domäne als auch die Webdomäne, wenn man diese von der Startseite her besucht. Eine als im Themengebiet „Handwerk“ klassifizierte Domäne, die in der Suchmaschine mit Seiten für Turnschuhe gefunden wird, ist dabei auffällig.
Weshalb bietet KI hierfür so große Chancen?
Techniken des maschinellen Lernens sind sehr gut geeignet, um solche thematischen Klassifikationen aus großen Datenmengen einzutrainieren. Das genannte Schuhbeispiel ist nämlich nur eines von vielen. Es gilt etwa auch, Fälle zu erkennen, in denen eine legale Online-Apotheke gehackt wurde, um auf eine illegale Online-Apotheke zu verlinken. Dieser Fall ist dann nicht mehr thematisch erkennbar. Zu den thematischen Merkmalen treten daher viele weitere Parameter hinzu, die durch ein lernendes System ebenfalls auf Basis zuvor klassifizierter Fälle herangezogen werden können. Zu beachten ist auch, dass Kriminelle derartige Betrugsmaschen immer weiterentwickeln. Feste Heuristiken würden hier mit der Zeit ins Leere laufen, während ein mitlernendes System auch neuartige Mechanismen erkennen kann.
Gibt es kategorische Unterschiede zwischen den von Ihnen gesichteten gefälschten Plattformen?
Bei den Fake-Shops gibt es solche, die das Ziel haben, Plagiate großer Modemarken oder bekannter Medikamente zu vertreiben. Eine zweite Gruppe von Fake-Shops beabsichtigt überhaupt nicht, jemals Ware zu verschicken, sondern hat es lediglich auf das Geld oder die Kreditkartendaten der Verbraucher abgesehen. Häufig erfolgen dort nach der eigentlichen Bestellung weitere Belastungen der Kreditkarte. Diese Fake-Shops bedienen einen deutlich größeren Themenbereich und kopieren zum Beispiel Produktbestände großer Markplätze. Einfach lässt sich also trennen in „Warenbetrug“ versus „Phishing von Kreditkartendaten“. Auch in der Professionalität unterscheiden sich die Seiten. Es gibt auf Masse angelegte gefälschte Shops, die Hunderte von „abgelegten“ Domänen nutzen − also solche, die vorherige Inhaber nicht mehr besitzen. Fake-Shops verwenden diese Domänen, da noch Verlinkungen auf die alten Seiteninhaber existieren und damit eine Listung in der Suchmaschine für die neuen Themen erleichtert wird. Neben solchen Massen-Shops gibt es aber auch sehr aufwändig erstellte einzelne Shops – teilweise inklusive Impressum und Gütesiegel − deren Fälschung kaum zu erkennen ist.
Zum Schluss ein Blick nach vorne: Was ist Ihre Vision für ein besseres, sichereres Internet?
Die Informationsfreiheit des Internets werden wir uns immer wieder neu erkämpfen müssen. Mit INSPECTION möchten wir dazu beitragen, die positiven Seiten des Internets zu stärken und gerade die Gruppe von Webseitenbetreibern zu unterstützen, die keine oder nur kleine Budgets für Internetsicherheit haben. Die große Menge an assoziierten Partnern in unserem Projekt − von Webhostern über Branchen- und Sicherheitsverbände bis hin zu Multiplikatoren aus Österreich und der Schweiz − ermöglicht einen thematischen und länderübergreifenden Ansatz zum Verhindern dieser Form des Missbrauchs.
Interview mindUp mit dem Referat Vernetzung und Sicherheit digitaler Systeme im BMBF