Interview anlässlich der Internet Security Days 2023

zum Forschungsprojekt INSPECTION zur Identifizierung gehackter Webseiten

Anne Hennig ist wissenschaftliche Mitarbeiterin beim Karlsruher Institut für Technologie (KIT) und betreut das Forschungsprojekt INSPECTION seitens des KIT. Bei den diesjährigen Internet Security Days (ISD) am 21. und 22. September wird sie einen Vortrag über das Projekt halten. Gemeinsam mit ihrem Kollegen Dr. Peter Mayer erklärt sie im eco Interview, was INSEPCTION ist und warum es eine wirkungsvolle Ergänzung zu bereits bestehenden IT-Sicherheitsansätzen sein kann. 

Sie wirken bei dem Forschungsprojekt INSPECTION mit. Können Sie uns erklären, was Sie bei dem Projekt untersuchen und auf welchen Bereich der Cybersicherheit Sie sich konzentrieren?

Im Forschungsprojekt INSPECTION arbeiten drei Konsortialpartner daran, eine bestimmte Art des SEO-Spam in Form von Weiterleitungen auf Fake Shops näher zu untersuchen. D.h., im wesentlichen beschäftigt sich das INSPECTION Projekt mit Web-Sicherheit, wobei wir uns hier konkret eine bestimmte Angriffsart auf Websites genauer anschauen. Dabei ist die mindUp Web + Intelligence GmbH für den Bereich des Findens der gehackten Websites zuständig, die BDO Wirtschaftsprüfungsgesellschaft AG beschäftigt sich mit der forensischen Analyse der gehackten Websites. Wir von der Forschungsgruppe Security – Usability – Society (SECUSO) am Karlsruher Institut für Technologie (KIT) befassen uns mit der Benachrichtigung der betroffenen Website-Besitzer:innen.

Wie funktioniert INSPECTION? Und wie unterscheidet sich INSPECTION von anderen Sicherheitssystemen?

INSPECTION per se ist kein „Sicherheitssystem“. Wie oben schon beschrieben, geht es uns in dem Projekt darum, eine bestimmte Form von Angriffen auf Websites genauer zu beschreiben. Das Schwierige hier ist, dass diese Form des Website-Hackings a) noch sehr wenig bekannt ist und daher die wenigsten Website-Besitzer:innen wissen, wie man diesem Angriff begegnet, und b) die Angreifer:innen sich sehr gut im System verstecken und damit das Hacking lange Zeit unentdeckt bleiben kann. Es ist nicht selten, dass Websites über mehrere Jahre gehackt sind.

Unser Ansatz ist daher ganzheitlicher zu verstehen: Zunächst geht es uns darum, gehackte Websites zu identifizieren (Bereich „Finden“). Dieser Mechanismus wurde in den vergangenen drei Jahren von der mindUp Web + Intelligence GmbH immer weiter verfeinert, sodass in den kommenden Monaten ein Tool zur Einzelfallprüfung auf unserer Projektwebsite (web-inspection.de) zur Verfügung stehen wird, mit dem Website-Besitzer:innen selbst testen können, ob sie betroffen sind. Dieses Tool untersucht natürlich nur die von uns untersuchte Art des Website-Hackings und ist keine Garantie, dass die Website an sich frei von Malware ist. Aber das Tool ist eine sehr gute Ergänzung zu bestehenden Malware-Scannern, die wiederum nicht in der Lage sind, die von uns untersuchte Art des Website Hackings zu erkennen.

Weiterhin ist es uns wichtig, diese Art des Website-Hackings genau zu analysieren, Gemeinsamkeiten zwischen den betroffenen Systemen herzustellen und somit konkrete Lösungsvorschläge für Betroffene bereitzustellen (Bereich „Behandeln“). Die BDO Wirtschaftsprüfungsgesellschaft AG ist aktuell noch dabei, diese Analysen durch mehr Daten zu komplementieren. Die Analyse erfolgt über Logfiles kompromittierter Systeme. Hier sind wir stark auf die Zusammenarbeit mit den Betroffenen angewiesen und können Logfiles zum Beispiel nur sinnvoll auswerten, wenn uns diese auch zur Verfügung gestellt werden.

Hier spielt auch die Benachrichtigung von Betroffenen und damit die Entwicklung eines effektiven Benachrichtigungsverfahrens eine große Rolle. Wie bereits erwähnt, bleibt diese Art des Hackings oft lange unentdeckt. Wir von der Forschungsgruppe SECUSO am KIT erforschen, über welche Kommunikationswege und mit welchen Informationen wir am besten an Betroffene herantreten müssen, damit das Problem wahrgenommen und verstanden wird und daraus entsprechende Handlungen abgeleitet werden können. Dies ist nicht ganz so trivial, wie es klingt, da solche Benachrichtigungen oftmals im täglichen Spam untergehen und unsere Informationen die Betroffenen damit gar nicht erreichen.

Diese beiden Bereiche stellen die Basis für den Bereich „Verhindern“. Gerade sind wir noch dabei, Awareness-Materialien zu entwickeln, um Website-Besitzer:innen schon im Vorfeld auf die mögliche Gefahr aufmerksam zu machen. Der Fokus liegt dabei aktuell auf zwei Awareness-Videos, die ebenfalls zum Projektende zur Verfügung gestellt werden, sowie dem Tool zur Einzelfallprüfung.

Wie können die Forschungsergebnisse von INSPECTION zukünftig weiter genutzt werden? Was erhoffen Sie sich für Erkenntnisse für zukünftige Projekte und Forschungsansätze? 

Wie bereits beschrieben, sollen alle Erkenntnisse aus dem Projekt öffentlich verfügbar sein. Der Schwerpunkt wird dabei auf dem Tool zur Einzelfallprüfung sowie den beiden Awareness-Videos liegen. Alle Informationen sollen auch Dritten zur Verfügung gestellt werden, so sind wir zum Beispiel mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), Deutschland sicher im Netz, einigen IHKs, Handwerkskammern und Fachverbänden, der Verbraucherschutzzentrale NRW, der Allianz für Sicherheit in der Wirtschaft (ASW), der Polizeilichen Kriminalprävention der Länder und des Bundes und natürlich dem ECO Verband in Kontakt.

Neben diesem konkreten Output interessiert uns als Universität natürlich vor allem auch die Übertragbarkeit unserer Ergebnisse auf andere, ggf. ähnlich gelagerte Probleme. Also zum Beispiel die Frage, wie man denn mit sogenannten vulnerability notifications („Benachrichtigungen zu Sicherheitslücken“) nun effektiv aus dem „täglichen Spam“ herausstechen kann. Hier haben wir im Rahmen des INSPECTION Projekts einige wertvolle Hinweise gewinnen können, die wir uns auch über das Projektende hinaus genauer anschauen wollen.

Auch beschäftigt uns die Frage, wie zielgruppenspezifisch denn Awareness-Materialien sein müssen. Da unsere Zielgruppe als „Website-Besitzer:innen und Stakeholder rund um Websites“ sehr, sehr divers, das eigentliche Problem aber teilweise sehr individuell ist, mussten wir sehr genau darauf achten, dass wir in unseren Materialien ausreichend allgemein und gleichzeitig spezifisch genug sind. Ich denke, wir haben hier einen guten Mittelweg gefunden. Aber das generelle Problem ist ja, wie mit solchen knowledge gaps („Wissensklüften“) zwischen verschiedenen Personengruppen umgegangen werden kann – das ist ja auch über den Cybersecurity-Bereich hinaus ein spannender Forschungsbereich.

Der Vortrag von Frau Hennig im Rahmen der Internet Security Days liefert vertiefte Einblicke in das Projekt. Zeit und Ort: Brühl, Phantasia-Land, ISD 2023 am 21.9.2023 um 15:30 Uhr

Ankündigung „Cybersicherheit im Netz“ – Beitrag zur eltefa 2023

Am Mittwoch, 29. März 2023, wird Anne Hennig im Rahmen der 21. Fachmesse für Elektro, Energie, Gebäude und Industrie (eltefa) zum Thema „Cybersicherheit im Netz – Was tun, wenn meine Unternehmenswebsite gehackt wurde?“ sprechen.

Der Vortrag findet im „Innovationsforum“ statt und ist Teil des Schwerpunkthemas „Aktuelle Cyber Threat Landscape: Herausforderungen sich verändernder Angriffsvektoren von Kleinunternehmer bis Industrie

Im Rahmen des Forschungsprojekts INSPECTION werden Websites auf Sicherheitslücken untersucht und die Betroffenen entsprechend informiert. Zusätzlich sind aktuell Awarenessmaterialien in der Entwicklung, die den Betroffenen zielgerichtet Informationen zur Problembehebung und zu Schutzmaßnahmen aufzeigen sollen. Erste Materialien werden im Rahmen des Vortrags vorgestellt und besprochen. 

Poster zur Nationalen Konferenz IT-Sicherheitsforschung akzeptiert

Das Poster „Ihre Website wurde gehackt – Awareness schaffen für ein unsichtbares Problem“ von Anne Hennig, Peter Mayer, und Melanie Volkamer wurde zur Präsentation auf der diesjährgen Nationalen Konferenz IT-Sicherheitsforschung ausgewählt. Das Bundesministerium für Bildung und Forschung veranstaltet diese vom 13. bis 15. März 2023 in Berlin. Die Konferenz steht unter dem Leitmotiv „Die digital vernetzte Gesellschaft stärken“ und dient als Plattform zum Austausch über die gesamte Bandbreite der Forschung im Bereich IT-Sicherheit. 

Download Poster – Ihre Webseite wurde gehackt – Awareness schaffen für ein unsichtbares Problem

INSPECTION bei SWSD 2022 vorgestellt

Am 27.10.2022 stellte Anne Hennig das Forschungsprojekt INSPECTION beim Swiss Web Security Day 2022 vor. Diese eintägige Veranstaltung wird jährlich veranstaltet von der Swiss Internet Security Alliance SISA  und der Swiss ICT Industry Association Swico . Behandelt werden aktuelle technische, rechtliche und regulatorische Fragen im Umfeld der Domänenregistrierung und des Webhosting. Dabei spielen auch Sicherheitsthemen eine große Rolle. Ziel des INSPECTION Projekts ist es, das deutschsprachige Internet automatisiert mit Methoden der Künstlichen Intelligenz nach gehackten Websites zu durchsuchen. Weiterhin werden Methoden entwickelt, betroffene Websites effektiv zu informieren und Website-Besitzer:innen Materialien an die Hand zu geben, den Schaden zu beheben und sich vor zukünftigen Angriffen zu schützen.

Im Fokus des Vortrags stand dabei die Information der Betroffenen: Die SECUSO-Gruppe (Security • Usability • Society) des Karlsruhe Institute of Technology (KIT) erforscht im Projekt, wie und über welche Kanäle am besten Betreiber einer Webseite über eine aufgetretene Hackingproblematik informiert werden können. Getestet werden als Versender der Nachricht Hoster, Behörden und die Universität selbst. Wichtig für die Adressaten ist es, die Nachricht selbst verifizieren zu können. Es werden verschiedene Botschaften getestet, die Empfänger:innen nahebringen sollen, dass gehandelt werden muss.

Weitere Informationen unter https://swsd2022.events.switch.ch/

Das Video des Vortrags findet sich hier:

Your webpage has been hacked – how to effectively inform the webpage owners?

(Bild: Franziska Hutter – Switch)

How to best inform website owners about vulnerabilities

Das Europäische Symposium für nutzbare Sicherheit (European Symposium on Usable Security – EuroUSEC) ist ein Forum für Forscher und Praktiker im Bereich der Mensch-Maschine Interaktion im Bereich Sicherheit und Datenschutz.

Die Dualität aus Forschung und Praxis zeigte sich schon bei den zwei Keynotes: Die eine von Gana Progrebna (Professorin für Business Analytics und Data Science an der University of Sidney sowie Lead for Behavioural Data Science am Alan Touring Institute) mit dem Titel „Behavioural Data Science of Machine Learning Operations and Human-Machine Teaming for Cyber Security„.

Die zweite Keynote von Thomas Tschersich, Chief Security Officer bei der Deutschen Telekom mit dem Titel „Human Factors in Cyber Security – An industry perspective„.

Das Projekt INSPECTION war mit einer Poster-Präsentation vertreten. Das Paper “How to best inform website owners about vulnerabilities on their websites“ von Anne Hennig, Fabian Neusser, Aleksandra Pawelek, Dominik Herrmann und Peter Mayer beleuchtet dabei mit Blick aus der Wissenschaft die praktischen Aspekte der Ansprache vom Hacking betroffener Webseiten-Eigner.

Im Kern wird aufgezeigt, wie ein Experiment aufgebaut wird, um über verschiedene Absender und mit verschiedenen Framings die Betreiber gehackter Webseiten zu informieren. Der Ansprachetext setzt sich dabei aus verschiedenen Bereichen zusammen: Aus der Motivation, in der die generelle Problematik beschreiben wird (ihre Webseite wurde gehacked), der Beschreibung von Möglichkeiten, um selbst die Behauptung der gehackten Webseite prüfen zu können (Anleitung, wie die manipulierten Seiten in der Suchmaschine auffindbar sind) und den verschiedenen Framings: neutral, aus Sicht des Schutz des Verbrauchers, aus technischer Sicht – die den Adressaten motivieren aktiv zu werden.

Zwei Wochen nach der Information wird geprüft, ob das Hacking der Webseite noch akut ist und gegebenenfalls eine Erinnerung versendet. Eine Kontrollgruppe von Webseiten wird zunächst nicht informiert, um erkennen zu können, wie stark die Steigerung durch eine effektive Ansprache ausfällt.

Poster

Standing out among the daily spam – How to catch website owners attention by means of vulnerability notifications

Auf der Konferenz Human Factors in Computing Systems (CHI 2022) in New Orleans wurde ein Forschungspaper vorgestellt, welches beschreibt, wie im Rahmen von INSPECTION die Betroffenen eines Hackings in einer Weise angeschrieben werden können, die diese auch erreicht.

Der Konferenzbeitrag beschreibt eine Interview-Studie mit deutschen Website-Besitzer:innen, bei der Wege zur effektiven Schwachstellen-Benachrichtigung identifiziert wurden.

Abstract: Running a business without having a website is nearly impossible nowadays. Most business owners use content managements systems to manage their websites. Yet, those can pose security risks and provide vulnerabilities for manipulations. With vulnerability notifications, website owners are notified about security risks. To identify common themes with respect to vulnerability notifications and provide deeper insight into the motivations of website owners to react to those notifications, we conducted 25 semi-structured interviews. In compliance with previous research, we could confirm that distrust in unexpected notifications is high and, in contrast to previous research, we suggest that verification possibilities are the most important factors to establish trust in notifications. We also endorse the findings that raising awareness for the severity and the complexity of the problems is crucial to increase remediation rates.

Vorsicht vor Betrügern im Internet–Was beim Kauf von Corona-Schnelltests im Netz zu beachten ist

Zur Eindämmung der Corona-Pandemie setzt die Bundesregierung zusätzlich auf vermehrtes Testen. Durch kostenlose Schnelltests in Testzentren, Arztpraxen oder Apotheken sowie Selbsttests für die Eigenanwendung zu Hause sollen Infizierte schnell identifiziert werden. Die ersten drei Anbieter für Corona-Schnelltests zur Eigenanwendung durch Laien wurden diese Woche vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zugelassen.

3 –2 –1 –Meins! Doch warum bekomme ich das gewünschte Produkt nicht geliefert? „Fake Shops locken Kunden meist mit besonders günstigen Angeboten zu einem Produkt, bei dem die Nachfrage aktuell sehr hoch ist oder die Verfügbarkeit sehr gering“, erklärt Dr. Peter Mayer von der Forschungsgruppe SECUSO am Karlsruher Institut für Technologie. „Probleme mit solchen betrügerischen Online-Shopsverschärftensich in der ersten Zeit der Pandemie, da zum Beispiel Desinfektionsmittel und medizinische Schutzausrüstungen rar waren und die Bürgerinnen und Bürger aufgrund des Lockdowns vermehrt im Internet bestellt haben. Wir vermuten daher, dass mit der Zulassung von Schnelltests für die Eigenanwendung ein ähnlicher Trend festzustellen ist“, ergänzt Anne Hennig, die als Wissenschaftliche Mitarbeiterin in der Forschungsgruppe das Projekt INSPECTION unterstützt.

In dem vom Bundesministerium für Bildung und Forschung (BMBF) geförderten Projekt forschen Dr. Peter Mayer und Anne Hennig (M.A.) gemeinsam mit den Partnern der MindUp Web + Intelligence GmbH, der BDO AG Wirtschaftsprüfungsgesellschaft und weiteren assoziierten Partnernzum Thema Fake Shops im Internet. Eine Vorgehensweise von Betrüger ist es, Sicherheitslücken in bestehenden Webseiten von Unternehmen, Vereinen oder Privatpersonen zu nutzen. Die Hacker verschaffen sich Zugang zur Web-Plattform der Betroffenen und hinterlassen im Quellcode der Webseite eine Weiterleitung zu ihrem Fake Shop. Die Geschädigten bekommen davon oftmals gar nichts mit, da die Betrüger lediglich den Namen und damit die Sichtbarkeit der Webseite in den Rankings derSuchmaschinenanbieter nutzen. Ziel des Projekts INSPECTION ist es, gehackte Webseiten ausfindig zu machen, das Vorgehen der Betrüger im Internet nachvollziehen zu können und einen geeigneten Kommunikationsweg zu entwickeln, um betroffene Webseitenbetreiber:innen zu informieren.

„Wichtig ist es, dass Sicherheitslücken schnell geschlossen werden, um Schaden zu vermeiden. Dabei trifft es nicht nur den Endverbraucher, der um sein Produkt betrogen wurde, sondern auch das Unternehmen, dessen Image durch den Betrug geschädigt worden ist“, erläutert Dr. Peter Mayer. Webseitenbetreiber:innen sollten dabei darauf achten, dass die Webseiten-Plattform regelmäßig aktualisiert wird. Wird ein Content-Management-System (CMS) wie WordPress, Joomla oder Typo3 genutzt, sollten nicht nur die Plattformen an sich, sondern auch die Erweiterungen, sogenannte Plugins, auf dem aktuellsten Stand sein. „Aber auch unsichere Passwörter für den Login auf die Webseiten-Plattform sind ein Einfallstor für Betrüger“, erklärt Anne Hennig.

Und wie können Kund:innen sich vor Fake Shops schützen? „Das wichtigste ist, zunächst eine Plausibilitätsprüfung durchzuführen“, rät Prof. Melanie Volkamer, Leiterinder SECUSO Forschungsgruppe, „Wie wahrscheinlich ist es, dass der Malermeister aus Norddeutschland mir Corona-Schnelltests verkauft? Erscheint es denn logisch, dass bei diesem Anbieter Schnelltests nur halb so teuer sind, als bei allen anderen? Diese Fragen sollte ich mir zuerst stellen.“ Ein Set mit 20 bis 25 Testkassetten für den medizinischen Gebrauchkostet aktuell zwischen 120 und 200€. Wie teuer Schnelltests für den Laiengebrauch sein werden ist noch nicht bekannt.

Gütesiegel, wie das Trusted-Shop-Label oder das S@fer Shopping Siegel des TÜV Süd, können ein weiteres Indiz dafür sein, dass der Shop vertrauenswürdig ist. „Aber auch hier ist Vorsicht geboten“, meint Volkamer. Betrüger könnten die Siegel einfach kopieren oder eigene Siegel erfinden, um Seriosität vorzutäuschen.Hinter vertrauenswürdigen und aktuell gültigen Gütesiegeln steht ein Zertifikat, das der Siegelanbietende ausgestellt hat. Mehr Informationen zu Gütesiegeln für den Online-Handel gibt die Initiative D21 (Link: https://initiatived21.de/artikel-guetesiegel-beim-online-kauf/).

„Misstrauisch sollte man werden, wenn der Shop als Zahlungsmittel ausschließlich Vorauskasse oder Zahlung per Kreditkarte anbietet“, so die IT-Sicherheitsexpertin. Insbesondere wer per Vorauskasse bezahlt und die Ware anschließend nicht erhält, hat kaum Chancen, sein Geld wiederzubekommen. Ist auf der Shop-Seite zudem kein Impressum angegeben oder sind die angegebenen Kontaktdaten nicht erreichbar, sollte man Abstand von diesem Anbieter nehmen, meint Volkamer. „Ist man dennoch unsicher, hilft eine Websuche. Oftmals warnen zum Beispiel Verbraucherzentralen oder Sicherheitsbehörden vor betrügerischen Shops.“

Doch auch wenn ein Webshop vertrauenswürdig erscheint –solange er keine vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zugelassenes Produkt für die Eigenanwendung durch Laien anbietet, sollte man dort nicht bestellen. Das BfArM hat aktuell drei Anbieter zugelassen. Die Liste wird durch das Institut kontinuierlich aktualisiert.

„Grundsätzlich raten wir immer dazu, nicht überstürzt zu handeln. ‚Slow down‘ ist das grundsätzliche Gebot bei Fragen der IT Sicherheit-nicht nur beim Online-Shopping,“ meint die Leiterinder SECUSO Forschungsgruppe.