Sicher einkaufen im Internet

Ein Podcast-Beitrag der Verbraucherzentrale informiert Verbraucher, wie Sie möglichst nicht in die Fallen der Fake Shops geraten.

In diesem Zusammenhang erläutert auch Joachim Feist von der mindUp Web + Intelligence GmbH die Motivation und Problematik der gehackten Webseiten wie sie bei INSPECTION im Mittelpunkt stehen (ca. Minute 9:48 – 11:48) und deren Bezug zu Fake-Shops:

Dorian Lötzer: […]Fakeshop ist nicht gleich Fakeshop. Und man kann auch nicht einfach irgendeine Seite ins Internet stellen, die Füße hochlegen und quasi darauf warten, dass das Geld einfach so einfließt. Aber da, wo es Geld gibt, gibt es auch einen „Markt“. Und über den wollte ich mehr erfahren.

Joachim Feist: […] Was man eben auch feststellen muss ist, dass dieses Fakeshop-Treiben tatsächlich zugenommen hat. Zum einen sagt man, das ist vielleicht sogar heute schon vom organisierten Verbrechen genutzt, da es eigentlich eine Betrugsform ist, die deutlich risikoloser ist, als Drogen zu verkaufen.

Dorian Lötzer: Diese Erkenntnis ist wichtig. Denn die Vermutung liegt bei Fakeshops oft nahe, dass es um Einzeltäter in irgendwelchen Keller geht. Und dann vernachlässigt man das Problem eher. In der Realität sind viele Betreiber:innen solcher Fakeshops höchst professionell geworden, Teils mit firmenähnlichen Strukturen. Und diese Professionalität spiegelt sich auch in deren Strategien wieder.

Teilweise haben Fakeshops nämlich ein wirklich gutes Verständnis vom Markt. Wenn gerade Grafikkarten für Computer schwierig zu kriegen sind, richten sie sich darauf aus. Wenn Sneaker oder Spielekonsolen begehrt sind, dann darauf. Je höher der Wunsch der Opfer ist, an ihr Produkt zu kommen, desto leichter haben es Fakeshops.

Joachim Feist: Man muss schon sagen, dass diese Fakeshop-Betreiber sehr kreativ sind und auf der anderen Seite sehen wir auch zunehmend kriminelle Machenschaften. Das heißt, ein Fake-Betreiber hat ja eigentlich das gleiche Problem wie ein normaler Onlineshop. Er stellt seinen Fakeshop jetzt online und niemand kennt den. Es wird auch niemanden geben, der sagt, „Oh, ich hab‘ kürzlich in diesem schönen neuen Shop eingekauft, das lief alles zu meiner Zufriedenheit.“ Das fällt bei ihm auch weg. Und das heißt für ihn, er muss vielleicht Werbung schalten, das ist aber natürlich auch riskant, weil er dann eben bei diesen Stellen, bei denen er Werbung schaltet, auch wieder mit gefälschten Kontenangaben arbeiten oder seine Adressdaten angeben muss.

Tatsächlich haben wir jetzt vor ungefähr vier bis fünf Jahren festgestellt, dass Fake Shops auch hingehen […] und Drittseiten hacken. Das heißt, um in die Suchmaschinen hinein zu kommen, hängen sie sich unter normale .de-Adressen mit ihren Inhalten. Und Verbraucher sehen dann plötzlich eine ganz normale deutschsprachige Domäne in der Suchmaschine, die plötzlich mit ihren Unterseiten für diesen Fakeshop sichtbar wird.

Die Webseite bleibt von vorne her ganz normal. Das heißt dann auch, wenn wir Seitenbetreiber darauf ansprechen, dass sie gehackt wurden, sagen die: „meine Seite sieht doch aus wie immer. Da ist doch alles normal, da gibt es doch kein Problem“, aber aus der Suchmaschine kommend ist es dann eben so, dass dieser Klick dann weitergeleitet wird zum Fakeshop.

Dorian Lötzer: Fakeshops sind mittlerweile also extrem professionalisiert. Sie nutzen nicht nur die Algorithmen von Suchmaschinen gezielt aus, um mit ihrer Werbung ganz oben zu erscheinen, sondern hacken sich mitunter auch in andere Websites ein, um von deren Kundenvertrauen zu profitieren. Je nachdem, von welcher Art von Shop wir sprechen, sind die Zeiten auch vorbei, in denen man noch auf den ersten Blick erkennen konnte, dass es sich um eine Betrugsmasche handelt. Es wird immer schwieriger, unseriöse Läden im Internet schnell ausfindig zu machen.

[…]

Projekttreffen INSPECTION am KIT

Während Nancy Faeser Ihre Cybersicherheitsagenda vorstellt – mit zentralen Befugnissen gegen Hacker – arbeitet das Team im Forschungsprojekt INSPECTION an dezentralen Ansätzen. Knapp zwei Jahre nach dem Kick-off fand das INSPECTION Projektmeeting wieder am KIT in Karlsruhe und Online statt. Im Forschungsprojekt INSPECTION geht es darum, von außen zu erkennen, dass Webseiten gehackt wurden. Dieser dezentrale Ansatz identifiziert große Mengen von Hackings, die oft jahrelang unentdeckt bleiben. Die gehackten Webpräsenzen von  Privatleuten, Handwerkern, Firmen, aber auch z.B. Städten, Universitäten und Kliniken, werden im großen Stil dazu genutzt, Besucher zu Fake-Shops zu leiten. Die gleiche Art des Hackings kann aber auch verwendet werden für Ransomware-Downloads, Phishing oder DDOS-Attacken.

Herr Stephan Halder, BDO AG, stellte weitere Ergebnisse aus der forensischen Analyse betroffener Webseiten vor. Besondere Highlights waren Feststellungen, wie tief sich Angreifer in gehackte Webserver eingraben und die Sicherungsmechanismen, die Angreifer ergreifen um nicht entdeckt zu werden. Basierend auf diesen Erkenntnissen wurden Maßnahmen zur Verstärkung der Resilienz gegenüber Hacking-Angriffen präsentiert.

Dr. Peter Mayer und Anne Hennig, die die Forschungsgruppe SECUSO im Projekt vertreten, berichteten über erste Ergebnisse eines Benachrichtigungs-Experiments, bei dem die Effektivität verschiedener Anschreiben getestet wird. Einleitend zu dem Thema Entwicklung von Awareness-Materialien, das im nächsten Projektzeitraum im Fokus der Konsortialpartner stehen wird, stellte Frau Prof. Melanie Volkamer einen Leitfaden für das Erstellen von Security-Awareness-Maßnahmen vor. 

Herr Joachim Feist, von der mindUp Web + Intelligence GmbH aus Konstanz, sprach über Ansätze wie gehackte Webseiten bereits an der sitemaps.xml erkannt werden können. Darüber hinaus stellte er den Ansatz der „security.txt“ Datei vor, die es auf einfachem Weg erlaubt, betroffene Webseiten-Betreiber zu informieren.

Nähere Informationen zu diesem Vorschlag finden Sie im vorherigen Beitrag:

Are you hacked ? Please let us contact!

Are you hacked ? Please let us contact!

Wie können Webseitenbetreiber erreicht werden, wenn festgestellt wird, dass sie gehackt wurden?

Genau diese Frage fällt unter einen der drei Hauptbestandteile des Forschungsprojekts INSPECTION: Finden, Behandeln, Verhindern.

Bei der Ansprache ergibt sich häufig das Problem der Glaubhaftigkeit, denn über die üblich angebotenen Kontaktmöglichkeiten, wie Kontaktformulare oder [email protected]-Adressen, werden nicht direkt Spezialisten für Security angesprochen, sondern die Botschaft muss erst einmal erfolgreich den Firmenprozess durchwandern und sich gegen alle möglichen Spam-Nachrichten behaupten.

Der .well-known/security.txt Standard

Ein Vorschlag vom IETF unter den sogenannten .well-known Uri´s beschäftigt sich ebenso mit der Frage nach einer besseren Kontaktaufnahme in Sicherheitsfällen.

Das dazu veröffentlichte Dokument RTC 9116 beschreibt den Aufbau, die Lokalisation und weitere wichtige Eigenschaften, welches ein „security.txt“ erfüllen soll und beinhalten kann.

In seiner einfachsten Form enthält das „security.txt“ eine Zeile, welche der bestmöglichen Kontaktaufnahme dient, und eine Zeile, welche das Ablaufdatum der Information enthält.

Contact: [email protected]meine-domaene.de

Expires: 2027-07-07T14:28:42z

Ein Beispiel einer security.txt Datei

Wie häufig wird diese sinnvolle Möglichkeit schon genutzt? Ist sie bei Webmastern schon so bekannt wie die robots.txt oder die sitemap.xml ?

In einer aktuell durchgeführten Suche nach diesen hilfreichen Dateien konnten wir bei 4.145 Domänen, welche wir als gehackt bzw. ehemalig gehackt klassifiziert haben, leider keine Webseite finden, welche eine „security.txt“ besitzt.  D.h. für die Ansprache im Forschungsprojekt INSPECTION gab es keinen Fall bei dem die security.txt bisher hilfreich gewesen wäre.

Etwas besser sieht es bei breiteren Suche von Domänen aus: Bei einer Analyse von 36.000 Domänen vornehmlich aus Deutschland, Österreich und der Schweiz, die im Rahmen des Forschungsprojekts analysiert wurden, war gerade einmal bei 64 eine „security.txt“ abgelegt. Dies entspricht weniger als 0,18% – als Tortendiagramm kaum darstellbar.

Anteil von Webpräsenzen mit security.txt

Für den Erfolg einer schnellen und zielführenden Ansprache ist es wichtig solche Standards zu unterstützen.

Sprechen Sie am besten noch heute Ihren Webmaster an. Den Dateiordner .well-known gibt es bereits auf den meisten Webpräsenzen, da er auch für die Schlüsselverwaltung genutzt wird. Dort lediglich die kleine security.txt Datei anlegen und schon ist man bereit im Falle eines Falles für eine zielführende Information.

INSPECTION kooperiert mit BSI

Im Rahmen des internen Informationsformats “DVS Open” des Bundesamts für Sicherheit in der Informationstechnik (BSI) stellen Dr. Peter Mayer und Anne Hennig am 17.05.2022 das Forschungsprojekt INSPECTION vor. DVS steht für “Digitaler Verbraucherschutz”. Peter Mayer und Anne Hennig präsentierten dabei die Ziele und aktuellen Ergebnisse aus dem INSPECTION-Projekt . Das Projekt beschäftigt sich mit dem Identifizieren gehackter Websites, der Benachrichtigung von Betroffenen und der Sensibilisierung verschiedener Stakeholder, um das Risiko künftiger Angriffe zu verringern. 

Das BSI konnte für den wichtigen Schritt der Kontaktaufnahme mit Betroffenen gewonnen werden: Im Rahmen des Forschungsprojekts wird ermittelt, welche Absender mit welcher Botschaft am besten an die Betreiber der gehackten Webseiten herantreten sollten. So wird in einem Experiment die Ansprache durch die Universität (KIT), die Ansprache durch den Hoster (IONOS, Godaddy), der Ansprache durch das BSI gegenübergestellt. Hieraus werden wichtige Erkenntnisse erwartet über die Effektivität verschiedener Absender und Framings (die sprachliche Verpackung der Botschaft von der Kommunikation der Gefährdung bis hin zu den „Incentives“, die eine schnelle Reaktion und Behebung mit sich bringt).

Standing out among the daily spam – How to catch website owners attention by means of vulnerability notifications

Auf der Konferenz Human Factors in Computing Systems (CHI 2022) in New Orleans wurde ein Forschungspaper vorgestellt, welches beschreibt, wie im Rahmen von INSPECTION die Betroffenen eines Hackings in einer Weise angeschrieben werden können, die diese auch erreicht.

Der Konferenzbeitrag beschreibt eine Interview-Studie mit deutschen Website-Besitzer:innen, bei der Wege zur effektiven Schwachstellen-Benachrichtigung identifiziert wurden.

Abstract: Running a business without having a website is nearly impossible nowadays. Most business owners use content managements systems to manage their websites. Yet, those can pose security risks and provide vulnerabilities for manipulations. With vulnerability notifications, website owners are notified about security risks. To identify common themes with respect to vulnerability notifications and provide deeper insight into the motivations of website owners to react to those notifications, we conducted 25 semi-structured interviews. In compliance with previous research, we could confirm that distrust in unexpected notifications is high and, in contrast to previous research, we suggest that verification possibilities are the most important factors to establish trust in notifications. We also endorse the findings that raising awareness for the severity and the complexity of the problems is crucial to increase remediation rates.

Prüfung von Kammerbetrieben der IHKs

Auf Einladung von Frau Dr. Sobania – zuständige Referatsleiterin für IT-Sicherheit bei der DIHK – wurde am 29.3.2022 IHK-Verantwortlichen einzelner Kammern das Projekt INSPECTION vorgestellt. Für die Kammern besteht das Interesse, Mitgliedsbetriebe frühzeitig auf ein Hacking hinzuweisen. Für das Forschungsprojekt besteht das Interesse gezielt und nutzbringend Hackingfälle zu finden und Betroffene informieren zu können.

Herr Feist von der mindUp Web + Intelligence GmbH stellte dabei die technischen Aspekte dar: Im Rahmen des Projekts INSPECTION können dabei die bekannten Webseiten der Mitgliedsbetriebe durch die im Forschungsprojekt entwickelte Detektionssoftware geprüft werden. Zum Einsatz kommen dabei verschiedene Prüfschritte, die speziell für diesen Anwendungsfall entwickelt werden: Während normalerweise direkt Suchmaschinenergebnisse überwacht und dort auffällige Resultate von Webseiten erkannt werden, ist für diesen Anwendungsfall notwendig, die KI basierten Erkennungsmechanismen speziell auf eine Webseite zu richten. Aus früheren Anwendungen für verschiedene Handwerkskammern ist dabei schon bekannt, dass auch andere Formen des Missbrauchs wie z.B. Kommentar-Spam zu erkennen sind. Als Nebenprodukt fallen auch ganz triviale aber datenschutzrechtlich relevante Punkte an, wie die Information, welcher Prozentsatz der Betriebe allgemeine Sicherheitsstandards wie das https-Protokoll im Einsatz haben.

Frau Anne Hennig, wissenschaftliche Mitarbeiterin der Forschungsgruppe SECUSO, präsentierte die Möglichkeiten, wie in einem solchen Fall betroffene Webseitenbetreiber effektiv angesprochen werden können. Hierbei können die Kammerverantwortlichen für IT-Sicherheit unterstützen, denn gerade die Stelle, die eine solche Warnung weitergibt, ist sehr wichtig, um beim Betroffenen plausibel zu wirken.

Auf Interesse seitens der Sicherheitsberater der IHKs stieß dabei auch, dass im Rahmen des Projekts auch Präventionsmaterialien zur „Awareness“ bei möglichen Betroffenen für die Betriebe erarbeitet werden.

Die Verantwortlichen der einzelnen IHKs prüfen nun inwieweit Webseitendaten der Betriebe zur Verfügung stehen und Prozesse zur Information Betroffener aufgebaut werden können. Erste IHKs konnten direkt eine Datenlieferung zusagen.

My website is hacked – How not to be misused by a Fake Shop

Finding hacked websites which are misused to redirect to fake Online Shops is the aim of the INSPECTION project. Within this project, that is funded by the German Federal Ministry of Education and Research, we collected frequently asked questions, like „What is the goal of the hackers?“, „How can I see if my website is misused?“ or „What do I have to do if I detect such a misuse on my website?“. With this project we would like website owners to become aware of the problem. Having tons of results in the Google search is not always profitable – especially if most of them redirect to fake pharmacies or other suspicious online shops. Instead, loss of reputation and even legal consequences are the yield.

Artikel auf: cybersecuritymonth.eu

Vorsicht vor Betrügern im Internet–Was beim Kauf von Corona-Schnelltests im Netz zu beachten ist

Zur Eindämmung der Corona-Pandemie setzt die Bundesregierung zusätzlich auf vermehrtes Testen. Durch kostenlose Schnelltests in Testzentren, Arztpraxen oder Apotheken sowie Selbsttests für die Eigenanwendung zu Hause sollen Infizierte schnell identifiziert werden. Die ersten drei Anbieter für Corona-Schnelltests zur Eigenanwendung durch Laien wurden diese Woche vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zugelassen.

3 –2 –1 –Meins! Doch warum bekomme ich das gewünschte Produkt nicht geliefert? „Fake Shops locken Kunden meist mit besonders günstigen Angeboten zu einem Produkt, bei dem die Nachfrage aktuell sehr hoch ist oder die Verfügbarkeit sehr gering“, erklärt Dr. Peter Mayer von der Forschungsgruppe SECUSO am Karlsruher Institut für Technologie. „Probleme mit solchen betrügerischen Online-Shopsverschärftensich in der ersten Zeit der Pandemie, da zum Beispiel Desinfektionsmittel und medizinische Schutzausrüstungen rar waren und die Bürgerinnen und Bürger aufgrund des Lockdowns vermehrt im Internet bestellt haben. Wir vermuten daher, dass mit der Zulassung von Schnelltests für die Eigenanwendung ein ähnlicher Trend festzustellen ist“, ergänzt Anne Hennig, die als Wissenschaftliche Mitarbeiterin in der Forschungsgruppe das Projekt INSPECTION unterstützt.

In dem vom Bundesministerium für Bildung und Forschung (BMBF) geförderten Projekt forschen Dr. Peter Mayer und Anne Hennig (M.A.) gemeinsam mit den Partnern der MindUp Web + Intelligence GmbH, der BDO AG Wirtschaftsprüfungsgesellschaft und weiteren assoziierten Partnernzum Thema Fake Shops im Internet. Eine Vorgehensweise von Betrüger ist es, Sicherheitslücken in bestehenden Webseiten von Unternehmen, Vereinen oder Privatpersonen zu nutzen. Die Hacker verschaffen sich Zugang zur Web-Plattform der Betroffenen und hinterlassen im Quellcode der Webseite eine Weiterleitung zu ihrem Fake Shop. Die Geschädigten bekommen davon oftmals gar nichts mit, da die Betrüger lediglich den Namen und damit die Sichtbarkeit der Webseite in den Rankings derSuchmaschinenanbieter nutzen. Ziel des Projekts INSPECTION ist es, gehackte Webseiten ausfindig zu machen, das Vorgehen der Betrüger im Internet nachvollziehen zu können und einen geeigneten Kommunikationsweg zu entwickeln, um betroffene Webseitenbetreiber:innen zu informieren.

„Wichtig ist es, dass Sicherheitslücken schnell geschlossen werden, um Schaden zu vermeiden. Dabei trifft es nicht nur den Endverbraucher, der um sein Produkt betrogen wurde, sondern auch das Unternehmen, dessen Image durch den Betrug geschädigt worden ist“, erläutert Dr. Peter Mayer. Webseitenbetreiber:innen sollten dabei darauf achten, dass die Webseiten-Plattform regelmäßig aktualisiert wird. Wird ein Content-Management-System (CMS) wie WordPress, Joomla oder Typo3 genutzt, sollten nicht nur die Plattformen an sich, sondern auch die Erweiterungen, sogenannte Plugins, auf dem aktuellsten Stand sein. „Aber auch unsichere Passwörter für den Login auf die Webseiten-Plattform sind ein Einfallstor für Betrüger“, erklärt Anne Hennig.

Und wie können Kund:innen sich vor Fake Shops schützen? „Das wichtigste ist, zunächst eine Plausibilitätsprüfung durchzuführen“, rät Prof. Melanie Volkamer, Leiterinder SECUSO Forschungsgruppe, „Wie wahrscheinlich ist es, dass der Malermeister aus Norddeutschland mir Corona-Schnelltests verkauft? Erscheint es denn logisch, dass bei diesem Anbieter Schnelltests nur halb so teuer sind, als bei allen anderen? Diese Fragen sollte ich mir zuerst stellen.“ Ein Set mit 20 bis 25 Testkassetten für den medizinischen Gebrauchkostet aktuell zwischen 120 und 200€. Wie teuer Schnelltests für den Laiengebrauch sein werden ist noch nicht bekannt.

Gütesiegel, wie das Trusted-Shop-Label oder das [email protected] Shopping Siegel des TÜV Süd, können ein weiteres Indiz dafür sein, dass der Shop vertrauenswürdig ist. „Aber auch hier ist Vorsicht geboten“, meint Volkamer. Betrüger könnten die Siegel einfach kopieren oder eigene Siegel erfinden, um Seriosität vorzutäuschen.Hinter vertrauenswürdigen und aktuell gültigen Gütesiegeln steht ein Zertifikat, das der Siegelanbietende ausgestellt hat. Mehr Informationen zu Gütesiegeln für den Online-Handel gibt die Initiative D21 (Link: https://initiatived21.de/artikel-guetesiegel-beim-online-kauf/).

„Misstrauisch sollte man werden, wenn der Shop als Zahlungsmittel ausschließlich Vorauskasse oder Zahlung per Kreditkarte anbietet“, so die IT-Sicherheitsexpertin. Insbesondere wer per Vorauskasse bezahlt und die Ware anschließend nicht erhält, hat kaum Chancen, sein Geld wiederzubekommen. Ist auf der Shop-Seite zudem kein Impressum angegeben oder sind die angegebenen Kontaktdaten nicht erreichbar, sollte man Abstand von diesem Anbieter nehmen, meint Volkamer. „Ist man dennoch unsicher, hilft eine Websuche. Oftmals warnen zum Beispiel Verbraucherzentralen oder Sicherheitsbehörden vor betrügerischen Shops.“

Doch auch wenn ein Webshop vertrauenswürdig erscheint –solange er keine vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zugelassenes Produkt für die Eigenanwendung durch Laien anbietet, sollte man dort nicht bestellen. Das BfArM hat aktuell drei Anbieter zugelassen. Die Liste wird durch das Institut kontinuierlich aktualisiert.

„Grundsätzlich raten wir immer dazu, nicht überstürzt zu handeln. ‚Slow down‘ ist das grundsätzliche Gebot bei Fragen der IT Sicherheit-nicht nur beim Online-Shopping,“ meint die Leiterinder SECUSO Forschungsgruppe.

„Wir brauchen lernende Abwehrsysteme gegen die Machenschaften der Fake-Shops“

Betreibende betrügerischer Online-Verkaufsplattformen – sogenannter Fake-Shops – machen sich zunehmend Sicherheitslücken von Webseiten zunutze. Sowohl für die Menschen und Organisationen hinter seriösen Webseiten als auch für Online-Shoppende bedeutet dies ein Risiko. Käuferinnen und Käufer werden bei den unseriösen Angeboten zur Zahlung mittels Vorauskasse oder per Kreditkarte aufgefordert − für Waren oder Dienstleistungen, die häufig gar nicht existieren.

Gerade in der gegenwärtigen Lage verschärft sich das Problem: Viele der Fake-Shops vermarkten in der Pandemie-Krise wichtige Produkte wie Schutzkleidung, Schnelltests oder Desinfektionsmittel. Und das erfolgreich – denn hinter der Masche steckt System: Für hohe Besuchsströme hacken Fake-Shop-Betreibende seriöse Webseiten und richten unerkannt automatisierte Weiterleitungen zu ihrer gefälschten Plattform ein. Die Fake-Shops erhöhen so ihre Sichtbarkeit in Suchmaschinen und damit ihre Erfolgsrate. Die gehackte Webseite kann dann auch für andere Formen des Missbrauchs genutzt werden: zum Beispiel zum Versenden von Spam oder zur Verbreitung von Ransomware.

Im Interview erklärt das INSPECTION Team, welchen Ansatz es verfolgt.

Ihnen begegnen bereits seit vielen Jahren Fake-Shops und damit verbunden Angriffe auf seriöse Webseiten. Wie gehen die Angreifenden genau vor?

Fake-Shop-Betrüger bringen ihre neuen Domänen dadurch in die Suchmaschinen, dass sie sich geschickt mit ihren Themen in fremde, häufig themennahe Webseiten einnisten.

Welchen Vorteil erhoffen sich die Hacker?

Durch das gezielte Hacking von bestehenden Domänen macht sich der Betrüger die über Jahre gewachsene Reichweite, das gute Suchmaschinen-Ranking sowie die positive Reputation der gehackten Seite zunutze. Um eine Zahl zu nennen: Auch wenn thematisch zwischen Fake-Shop und der so genannten gehackten Wirtsseite keine Übereinstimmung besteht, kann der Angreifer bereits über Nacht zehntausend Themenseiten seines Fake-Shops im Suchindex der Suchmaschinen erfolgreich platzieren und damit eine hohe Anzahl an Webbesuchen generieren.

Welche Webseiten sind besonders häufig Ziel solcher Angriffe?

Im Visier sind häufig sehr kleine Webseitenbetreiber. Opfer sind also vor allem Vereine, freiberuflich Tätige oder Selbstständige, etwa aus dem Handwerksbereich. Aber auch Privatpersonen. Sicherheitslücken bestehen hier oft deshalb, weil die Betreiber ihre Webseiten als einmalige Marketinginvestition verstehen. Sicherheitskonzepte werden nicht konsequent verfolgt.

Warum können sich Fake-Shops im Internet so breitmachen?

Die Hacker wissen: Das Risiko der Strafverfolgung ist gering. Zumeist stehen für die Straftaten genutzte Server außerhalb von Deutschland und Europa – die Kriminellen sind dadurch hierzulande schwer identifizier- und greifbar. Auch unsere Versuche, Fake-Shops an die Strafverfolgungsbehörden, die Internetregistrare oder den Verbraucherschutz zur Schließung weiterzuleiten, um sie so zu stoppen, schlugen fehl. Unsere aktuellen gesetzlichen Regelungen können gegen international agierende Cyberkriminelle wenig ausrichten. Darüber hinaus ist es schwierig, die Betreiber adäquat über einen erfolgten Angriff zu informieren, weil eine E-Mail, die ein Hacking thematisiert, im Regelfall nicht gelesen oder ernst genommen wird. Zunächst muss also unbedingt fallbezogen ein verlässlicher Kommunikationskanal zu den Zuständigen gefunden werden. Meist können die Betroffenen auch aufgrund fehlenden IT-Know-hows nicht schnell genug handeln.

Wie soll INSPECTION künftig helfen?

Im Mittelpunkt unserer Idee steht zum einen das Aufspüren der gehackten Seiten und zum anderen die zielgerichtete, weitgehend automatisierte und frühzeitige Warnung der Betreiber der gehackten Seiten. Denn das reine Erkennen bleibt nutzlos, wenn es keine Maßnahmen gibt, das Problem zu beheben. Im Projekt bringen hier die Cybersecurity-Experten der BDO AG Wirtschaftsprüfungsgesellschaft ihr Wissen ein. Sie durchleuchten die Art und Weise der Hackings und können aus der Erkenntnis Lösungen extrahieren, um den Betroffenen schnell Hilfestellung zu geben – auch wenn diese kein Expertenwissen haben. Forschende der Forschungsgruppe SECUSO am Karlsruher Institut für Technologie (KIT) bauen auf diesen Erkenntnissen auf und entwickeln ein optimales Verfahren, um Betroffene zu informieren − etwa über Polizeibehörden, Branchenverbände oder Webhoster.

Welchen technischen Ansatz verfolgen Sie, um zu erkennen, ob eine Webseite gehackt wurde?

Das Gute an dieser Form des Hackings ist, dass wir es von „außen“ erkennen können. Wir verfolgen dabei einen Big-Data-Ansatz, indem wir im großen Stil in shopping-affinen Themenbereichen Suchmaschinenergebnisse überwachen. Alle gefundenen Webseiten werden thematisch eingestuft: Sowohl die für einen Suchbegriff wie „Nike Air Max“ gefundene Seite einer Domäne als auch die Webdomäne, wenn man diese von der Startseite her besucht. Eine als im Themengebiet „Handwerk“ klassifizierte Domäne, die in der Suchmaschine mit Seiten für Turnschuhe gefunden wird, ist dabei auffällig.

Weshalb bietet KI hierfür so große Chancen?

Techniken des maschinellen Lernens sind sehr gut geeignet, um solche thematischen Klassifikationen aus großen Datenmengen einzutrainieren. Das genannte Schuhbeispiel ist nämlich nur eines von vielen. Es gilt etwa auch, Fälle zu erkennen, in denen eine legale Online-Apotheke gehackt wurde, um auf eine illegale Online-Apotheke zu verlinken. Dieser Fall ist dann nicht mehr thematisch erkennbar. Zu den thematischen Merkmalen treten daher viele weitere Parameter hinzu, die durch ein lernendes System ebenfalls auf Basis zuvor klassifizierter Fälle herangezogen werden können. Zu beachten ist auch, dass Kriminelle derartige Betrugsmaschen immer weiterentwickeln. Feste Heuristiken würden hier mit der Zeit ins Leere laufen, während ein mitlernendes System auch neuartige Mechanismen erkennen kann.

Gibt es kategorische Unterschiede zwischen den von Ihnen gesichteten gefälschten Plattformen?

Bei den Fake-Shops gibt es solche, die das Ziel haben, Plagiate großer Modemarken oder bekannter Medikamente zu vertreiben. Eine zweite Gruppe von Fake-Shops beabsichtigt überhaupt nicht, jemals Ware zu verschicken, sondern hat es lediglich auf das Geld oder die Kreditkartendaten der Verbraucher abgesehen. Häufig erfolgen dort nach der eigentlichen Bestellung weitere Belastungen der Kreditkarte. Diese Fake-Shops bedienen einen deutlich größeren Themenbereich und kopieren zum Beispiel Produktbestände großer Markplätze. Einfach lässt sich also trennen in „Warenbetrug“ versus „Phishing von Kreditkartendaten“. Auch in der Professionalität unterscheiden sich die Seiten. Es gibt auf Masse angelegte gefälschte Shops, die Hunderte von „abgelegten“ Domänen nutzen − also solche, die vorherige Inhaber nicht mehr besitzen. Fake-Shops verwenden diese Domänen, da noch Verlinkungen auf die alten Seiteninhaber existieren und damit eine Listung in der Suchmaschine für die neuen Themen erleichtert wird. Neben solchen Massen-Shops gibt es aber auch sehr aufwändig erstellte einzelne Shops – teilweise inklusive Impressum und Gütesiegel − deren Fälschung kaum zu erkennen ist. 

Zum Schluss ein Blick nach vorne: Was ist Ihre Vision für ein besseres, sichereres Internet?

Die Informationsfreiheit des Internets werden wir uns immer wieder neu erkämpfen müssen. Mit INSPECTION möchten wir dazu beitragen, die positiven Seiten des Internets zu stärken und gerade die Gruppe von Webseitenbetreibern zu unterstützen, die keine oder nur kleine Budgets für Internetsicherheit haben. Die große Menge an assoziierten Partnern in unserem Projekt − von Webhostern über Branchen- und Sicherheitsverbände bis hin zu Multiplikatoren aus Österreich und der Schweiz − ermöglicht einen thematischen und länderübergreifenden Ansatz zum Verhindern dieser Form des Missbrauchs.

Interview mindUp mit dem Referat Vernetzung und Sicherheit digitaler Systeme im BMBF

Erste Erfolge bei Behebung gehackter Webseiten

Fake-Shops hacken Webseiten, um Verbraucher gerade jetzt vor Weihnachten aufs Glatteis zu führen. Das Konsortium des Forschungsprojektes INSPECTION hat in ersten Fällen das Ziel erreicht, gehackte Webseiten zu erkennen und die Betreiber gezielt zu informieren.

Fake-Shops sind gerade aktuell wieder verstärkt darauf aus, die wegen Corona verstärkt ins Internet verlagerte Geschenkesuche für ihre Zwecke zu nutzen. Da Fake-Shops keine Stammkunden haben, weiten sie ihre kriminelle Vorgehensweise auch auf Dritte aus: Webseiten mittelständischer Firmen, Handwerker, Vereine oder Privatleute werden im großen Stil manipuliert und tauchen plötzlich in Suchanfragen für Suchbegriffe der Produkte des Fake-Shops auf. Durch die jahrelange Bekanntheit dieser Webseiten finden sich diese dann schnell in den vorderen Ergebnisseiten der Suchmaschine. Ein Klick führt dann nicht zur eigentlichen Webseite, sondern man wird direkt auf den Fake-Shop weitergeleitet.

Die vom Bundesministerium für Bildung und Forschung geförderte Initiative „INSPECTION“ der mindUp Web + Intelligence GmbH im Verbund mit der Forschungsgruppe SECUSO des Karlsruher Instituts für Technologie (KIT) und der Cybersecurity Abteilung der BDO AG Wirtschaftsprüfungsgesellschaft ist nun seit sechs Monaten aktiv, um die betroffenen Webseitenbetreiber zu identifizieren und Wege zu finden, diese zielgerichtet zu informieren.

Um bereits frühzeitig konkreten Nutzen zu erzielen, verfolgen die Projektpartner einen agilen Ansatz. Thematisch liegt der Fokus aktuell auf Fake-Shops, die versuchen, illegal Arzneimittel zu verbreiten. Mehr als zweihundert Webseiten konnten ausgemacht werden, die auf die beschriebene Weise manipuliert und so zu Handlangern von Kriminellen wurden. Die Ansprache der Betroffenen erfolgt aktuell über die verschiedenen im Forschungsprojekt teilnehmenden Partner. Die Webhoster 1&1 IONOS und Host Europe übernehmen die Fälle in ihrem Kundenstamm. Die Allianz für Sicherheit in der Wirtschaft spricht Firmen im Rahmen ihrer Regionalstruktur an. Der Fachverband Elektro- und Informationstechnik Baden-Württemberg leitet die Information an betroffene Handwerker weiter. Die internationalen Partner SISA und Watchlist Internet bearbeiteten die Fälle in der Schweiz und Österreich. Die sonstigen Fälle wurden an die Cybercrime-Stellen der sechzehn Bundesländer übergeben.

Im direkten Kontakt konnte z.B. bereits einem Weiterbildungsinstitut, einer Handwerks-Innung, einem Verein und einem Transferzentrum für Unternehmenswissen geholfen werden. Gerade bei letzterem zeigten sich aber auch weitere Herausforderungen. Nach anfänglichen Erfolgen wurde die Seite erneut erfolgreich angegriffen. Interessierte finden weitere Informationen zum Projekt unter der Webseite https://web-inspection.de. Betroffene erhalten Hilfestellung unter der Email [email protected]