Interview anlässlich der Internet Security Days 2023

zum Forschungsprojekt INSPECTION zur Identifizierung gehackter Webseiten

Anne Hennig ist wissenschaftliche Mitarbeiterin beim Karlsruher Institut für Technologie (KIT) und betreut das Forschungsprojekt INSPECTION seitens des KIT. Bei den diesjährigen Internet Security Days (ISD) am 21. und 22. September wird sie einen Vortrag über das Projekt halten. Gemeinsam mit ihrem Kollegen Dr. Peter Mayer erklärt sie im eco Interview, was INSEPCTION ist und warum es eine wirkungsvolle Ergänzung zu bereits bestehenden IT-Sicherheitsansätzen sein kann. 

Sie wirken bei dem Forschungsprojekt INSPECTION mit. Können Sie uns erklären, was Sie bei dem Projekt untersuchen und auf welchen Bereich der Cybersicherheit Sie sich konzentrieren?

Im Forschungsprojekt INSPECTION arbeiten drei Konsortialpartner daran, eine bestimmte Art des SEO-Spam in Form von Weiterleitungen auf Fake Shops näher zu untersuchen. D.h., im wesentlichen beschäftigt sich das INSPECTION Projekt mit Web-Sicherheit, wobei wir uns hier konkret eine bestimmte Angriffsart auf Websites genauer anschauen. Dabei ist die mindUp Web + Intelligence GmbH für den Bereich des Findens der gehackten Websites zuständig, die BDO Wirtschaftsprüfungsgesellschaft AG beschäftigt sich mit der forensischen Analyse der gehackten Websites. Wir von der Forschungsgruppe Security – Usability – Society (SECUSO) am Karlsruher Institut für Technologie (KIT) befassen uns mit der Benachrichtigung der betroffenen Website-Besitzer:innen.

Wie funktioniert INSPECTION? Und wie unterscheidet sich INSPECTION von anderen Sicherheitssystemen?

INSPECTION per se ist kein „Sicherheitssystem“. Wie oben schon beschrieben, geht es uns in dem Projekt darum, eine bestimmte Form von Angriffen auf Websites genauer zu beschreiben. Das Schwierige hier ist, dass diese Form des Website-Hackings a) noch sehr wenig bekannt ist und daher die wenigsten Website-Besitzer:innen wissen, wie man diesem Angriff begegnet, und b) die Angreifer:innen sich sehr gut im System verstecken und damit das Hacking lange Zeit unentdeckt bleiben kann. Es ist nicht selten, dass Websites über mehrere Jahre gehackt sind.

Unser Ansatz ist daher ganzheitlicher zu verstehen: Zunächst geht es uns darum, gehackte Websites zu identifizieren (Bereich „Finden“). Dieser Mechanismus wurde in den vergangenen drei Jahren von der mindUp Web + Intelligence GmbH immer weiter verfeinert, sodass in den kommenden Monaten ein Tool zur Einzelfallprüfung auf unserer Projektwebsite (web-inspection.de) zur Verfügung stehen wird, mit dem Website-Besitzer:innen selbst testen können, ob sie betroffen sind. Dieses Tool untersucht natürlich nur die von uns untersuchte Art des Website-Hackings und ist keine Garantie, dass die Website an sich frei von Malware ist. Aber das Tool ist eine sehr gute Ergänzung zu bestehenden Malware-Scannern, die wiederum nicht in der Lage sind, die von uns untersuchte Art des Website Hackings zu erkennen.

Weiterhin ist es uns wichtig, diese Art des Website-Hackings genau zu analysieren, Gemeinsamkeiten zwischen den betroffenen Systemen herzustellen und somit konkrete Lösungsvorschläge für Betroffene bereitzustellen (Bereich „Behandeln“). Die BDO Wirtschaftsprüfungsgesellschaft AG ist aktuell noch dabei, diese Analysen durch mehr Daten zu komplementieren. Die Analyse erfolgt über Logfiles kompromittierter Systeme. Hier sind wir stark auf die Zusammenarbeit mit den Betroffenen angewiesen und können Logfiles zum Beispiel nur sinnvoll auswerten, wenn uns diese auch zur Verfügung gestellt werden.

Hier spielt auch die Benachrichtigung von Betroffenen und damit die Entwicklung eines effektiven Benachrichtigungsverfahrens eine große Rolle. Wie bereits erwähnt, bleibt diese Art des Hackings oft lange unentdeckt. Wir von der Forschungsgruppe SECUSO am KIT erforschen, über welche Kommunikationswege und mit welchen Informationen wir am besten an Betroffene herantreten müssen, damit das Problem wahrgenommen und verstanden wird und daraus entsprechende Handlungen abgeleitet werden können. Dies ist nicht ganz so trivial, wie es klingt, da solche Benachrichtigungen oftmals im täglichen Spam untergehen und unsere Informationen die Betroffenen damit gar nicht erreichen.

Diese beiden Bereiche stellen die Basis für den Bereich „Verhindern“. Gerade sind wir noch dabei, Awareness-Materialien zu entwickeln, um Website-Besitzer:innen schon im Vorfeld auf die mögliche Gefahr aufmerksam zu machen. Der Fokus liegt dabei aktuell auf zwei Awareness-Videos, die ebenfalls zum Projektende zur Verfügung gestellt werden, sowie dem Tool zur Einzelfallprüfung.

Wie können die Forschungsergebnisse von INSPECTION zukünftig weiter genutzt werden? Was erhoffen Sie sich für Erkenntnisse für zukünftige Projekte und Forschungsansätze? 

Wie bereits beschrieben, sollen alle Erkenntnisse aus dem Projekt öffentlich verfügbar sein. Der Schwerpunkt wird dabei auf dem Tool zur Einzelfallprüfung sowie den beiden Awareness-Videos liegen. Alle Informationen sollen auch Dritten zur Verfügung gestellt werden, so sind wir zum Beispiel mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), Deutschland sicher im Netz, einigen IHKs, Handwerkskammern und Fachverbänden, der Verbraucherschutzzentrale NRW, der Allianz für Sicherheit in der Wirtschaft (ASW), der Polizeilichen Kriminalprävention der Länder und des Bundes und natürlich dem ECO Verband in Kontakt.

Neben diesem konkreten Output interessiert uns als Universität natürlich vor allem auch die Übertragbarkeit unserer Ergebnisse auf andere, ggf. ähnlich gelagerte Probleme. Also zum Beispiel die Frage, wie man denn mit sogenannten vulnerability notifications („Benachrichtigungen zu Sicherheitslücken“) nun effektiv aus dem „täglichen Spam“ herausstechen kann. Hier haben wir im Rahmen des INSPECTION Projekts einige wertvolle Hinweise gewinnen können, die wir uns auch über das Projektende hinaus genauer anschauen wollen.

Auch beschäftigt uns die Frage, wie zielgruppenspezifisch denn Awareness-Materialien sein müssen. Da unsere Zielgruppe als „Website-Besitzer:innen und Stakeholder rund um Websites“ sehr, sehr divers, das eigentliche Problem aber teilweise sehr individuell ist, mussten wir sehr genau darauf achten, dass wir in unseren Materialien ausreichend allgemein und gleichzeitig spezifisch genug sind. Ich denke, wir haben hier einen guten Mittelweg gefunden. Aber das generelle Problem ist ja, wie mit solchen knowledge gaps („Wissensklüften“) zwischen verschiedenen Personengruppen umgegangen werden kann – das ist ja auch über den Cybersecurity-Bereich hinaus ein spannender Forschungsbereich.

Der Vortrag von Frau Hennig im Rahmen der Internet Security Days liefert vertiefte Einblicke in das Projekt. Zeit und Ort: Brühl, Phantasia-Land, ISD 2023 am 21.9.2023 um 15:30 Uhr

Forschungsprojekt INSPECTION verlängert

Das Forschungsprojekt INSPECTION, das eigentlich Ende Mai 2023 enden sollte, wurde erfolgreich verlängert: Das Ende des Projektzeitraums ist nun auf Ende September bzw. November 2023 datiert. Die Forschungsarbeiten zum „Finden“ der Hackings enden im September. Untersuchungen zur Art der Hackings und die Evaluation der Awareness-Maßnahmen werden bis Ende November 2023 bearbeitet.

Ziel des INSPECTION Projekts ist es, gehackte Webseiten durch das Durchsuchen des deutschsprachigen Internets und durch Klassifikation der Seiten mit Methoden der künstlichen Intelligenz von außen automatisiert zu identifizieren. Es werden zudem Methoden entwickelt, die es erlauben, Betroffene zu informieren, den Schaden zu beheben und das Risiko zukünftiger erfolgreicher Angriffe zu reduzieren. Dabei sollen sowohl Betroffene als auch allgemein Stakeholder im Umfeld von Websites für die Probleme sensibilisiert werden. 

Projekttreffen INSPECTION am KIT

Während Nancy Faeser Ihre Cybersicherheitsagenda vorstellt – mit zentralen Befugnissen gegen Hacker – arbeitet das Team im Forschungsprojekt INSPECTION an dezentralen Ansätzen. Knapp zwei Jahre nach dem Kick-off fand das INSPECTION Projektmeeting wieder am KIT in Karlsruhe und Online statt. Im Forschungsprojekt INSPECTION geht es darum, von außen zu erkennen, dass Webseiten gehackt wurden. Dieser dezentrale Ansatz identifiziert große Mengen von Hackings, die oft jahrelang unentdeckt bleiben. Die gehackten Webpräsenzen von  Privatleuten, Handwerkern, Firmen, aber auch z.B. Städten, Universitäten und Kliniken, werden im großen Stil dazu genutzt, Besucher zu Fake-Shops zu leiten. Die gleiche Art des Hackings kann aber auch verwendet werden für Ransomware-Downloads, Phishing oder DDOS-Attacken.

Herr Stephan Halder, BDO AG, stellte weitere Ergebnisse aus der forensischen Analyse betroffener Webseiten vor. Besondere Highlights waren Feststellungen, wie tief sich Angreifer in gehackte Webserver eingraben und die Sicherungsmechanismen, die Angreifer ergreifen um nicht entdeckt zu werden. Basierend auf diesen Erkenntnissen wurden Maßnahmen zur Verstärkung der Resilienz gegenüber Hacking-Angriffen präsentiert.

Dr. Peter Mayer und Anne Hennig, die die Forschungsgruppe SECUSO im Projekt vertreten, berichteten über erste Ergebnisse eines Benachrichtigungs-Experiments, bei dem die Effektivität verschiedener Anschreiben getestet wird. Einleitend zu dem Thema Entwicklung von Awareness-Materialien, das im nächsten Projektzeitraum im Fokus der Konsortialpartner stehen wird, stellte Frau Prof. Melanie Volkamer einen Leitfaden für das Erstellen von Security-Awareness-Maßnahmen vor. 

Herr Joachim Feist, von der mindUp Web + Intelligence GmbH aus Konstanz, sprach über Ansätze wie gehackte Webseiten bereits an der sitemaps.xml erkannt werden können. Darüber hinaus stellte er den Ansatz der „security.txt“ Datei vor, die es auf einfachem Weg erlaubt, betroffene Webseiten-Betreiber zu informieren.

Nähere Informationen zu diesem Vorschlag finden Sie im vorherigen Beitrag:

Are you hacked ? Please let us contact!

Are you hacked ? Please let us contact!

Wie können Webseitenbetreiber erreicht werden, wenn festgestellt wird, dass sie gehackt wurden?

Genau diese Frage fällt unter einen der drei Hauptbestandteile des Forschungsprojekts INSPECTION: Finden, Behandeln, Verhindern.

Bei der Ansprache ergibt sich häufig das Problem der Glaubhaftigkeit, denn über die üblich angebotenen Kontaktmöglichkeiten, wie Kontaktformulare oder info@-Adressen, werden nicht direkt Spezialisten für Security angesprochen, sondern die Botschaft muss erst einmal erfolgreich den Firmenprozess durchwandern und sich gegen alle möglichen Spam-Nachrichten behaupten.

Der .well-known/security.txt Standard

Ein Vorschlag vom IETF unter den sogenannten .well-known Uri´s beschäftigt sich ebenso mit der Frage nach einer besseren Kontaktaufnahme in Sicherheitsfällen.

Das dazu veröffentlichte Dokument RFC 9116 beschreibt den Aufbau, die Lokalisation und weitere wichtige Eigenschaften, welches eine „security.txt“-Datei erfüllen soll und beinhalten kann.

In seiner einfachsten Form enthält das „security.txt“ eine Zeile, welche der bestmöglichen Kontaktaufnahme dient, und eine Zeile, welche das Ablaufdatum der Information enthält.

Contact: security@meine-domaene.de

Expires: 2027-07-07T14:28:42z

Ein Beispiel einer security.txt Datei

Wie häufig wird diese sinnvolle Möglichkeit schon genutzt? Ist sie bei Webmastern schon so bekannt wie die robots.txt oder die sitemap.xml ?

In einer aktuell durchgeführten Suche nach diesen hilfreichen Dateien konnten wir bei 4.145 Domänen, welche wir als gehackt bzw. ehemalig gehackt klassifiziert haben, leider keine Webseite finden, welche eine „security.txt“ besitzt.  D.h. für die Ansprache im Forschungsprojekt INSPECTION gab es keinen Fall bei dem die security.txt bisher hilfreich gewesen wäre.

Etwas besser sieht es bei breiteren Suche von Domänen aus: Bei einer Analyse von 36.000 Domänen vornehmlich aus Deutschland, Österreich und der Schweiz, die im Rahmen des Forschungsprojekts analysiert wurden, war gerade einmal bei 64 eine „security.txt“ abgelegt. Dies entspricht weniger als 0,18% – als Tortendiagramm kaum darstellbar.

Anteil von Webpräsenzen mit security.txt

Für den Erfolg einer schnellen und zielführenden Ansprache ist es wichtig solche Standards zu unterstützen.

Sprechen Sie am besten noch heute Ihren Webmaster an. Den Dateiordner .well-known gibt es bereits auf den meisten Webpräsenzen, da er auch für die Schlüsselverwaltung genutzt wird. Dort lediglich die kleine security.txt Datei anlegen und schon ist man bereit im Falle eines Falles für eine zielführende Information.

Prüfung von Kammerbetrieben der IHKs

Auf Einladung von Frau Dr. Sobania – zuständige Referatsleiterin für IT-Sicherheit bei der DIHK – wurde am 29.3.2022 IHK-Verantwortlichen einzelner Kammern das Projekt INSPECTION vorgestellt. Für die Kammern besteht das Interesse, Mitgliedsbetriebe frühzeitig auf ein Hacking hinzuweisen. Für das Forschungsprojekt besteht das Interesse gezielt und nutzbringend Hackingfälle zu finden und Betroffene informieren zu können.

Herr Feist von der mindUp Web + Intelligence GmbH stellte dabei die technischen Aspekte dar: Im Rahmen des Projekts INSPECTION können dabei die bekannten Webseiten der Mitgliedsbetriebe durch die im Forschungsprojekt entwickelte Detektionssoftware geprüft werden. Zum Einsatz kommen dabei verschiedene Prüfschritte, die speziell für diesen Anwendungsfall entwickelt werden: Während normalerweise direkt Suchmaschinenergebnisse überwacht und dort auffällige Resultate von Webseiten erkannt werden, ist für diesen Anwendungsfall notwendig, die KI basierten Erkennungsmechanismen speziell auf eine Webseite zu richten. Aus früheren Anwendungen für verschiedene Handwerkskammern ist dabei schon bekannt, dass auch andere Formen des Missbrauchs wie z.B. Kommentar-Spam zu erkennen sind. Als Nebenprodukt fallen auch ganz triviale aber datenschutzrechtlich relevante Punkte an, wie die Information, welcher Prozentsatz der Betriebe allgemeine Sicherheitsstandards wie das https-Protokoll im Einsatz haben.

Frau Anne Hennig, wissenschaftliche Mitarbeiterin der Forschungsgruppe SECUSO, präsentierte die Möglichkeiten, wie in einem solchen Fall betroffene Webseitenbetreiber effektiv angesprochen werden können. Hierbei können die Kammerverantwortlichen für IT-Sicherheit unterstützen, denn gerade die Stelle, die eine solche Warnung weitergibt, ist sehr wichtig, um beim Betroffenen plausibel zu wirken.

Auf Interesse seitens der Sicherheitsberater der IHKs stieß dabei auch, dass im Rahmen des Projekts auch Präventionsmaterialien zur „Awareness“ bei möglichen Betroffenen für die Betriebe erarbeitet werden.

Die Verantwortlichen der einzelnen IHKs prüfen nun inwieweit Webseitendaten der Betriebe zur Verfügung stehen und Prozesse zur Information Betroffener aufgebaut werden können. Erste IHKs konnten direkt eine Datenlieferung zusagen.

My website is hacked – How not to be misused by a Fake Shop

Finding hacked websites which are misused to redirect to fake Online Shops is the aim of the INSPECTION project. Within this project, that is funded by the German Federal Ministry of Education and Research, we collected frequently asked questions, like „What is the goal of the hackers?“, „How can I see if my website is misused?“ or „What do I have to do if I detect such a misuse on my website?“. With this project we would like website owners to become aware of the problem. Having tons of results in the Google search is not always profitable – especially if most of them redirect to fake pharmacies or other suspicious online shops. Instead, loss of reputation and even legal consequences are the yield.

Artikel auf: cybersecuritymonth.eu

Vorsicht vor Betrügern im Internet–Was beim Kauf von Corona-Schnelltests im Netz zu beachten ist

Zur Eindämmung der Corona-Pandemie setzt die Bundesregierung zusätzlich auf vermehrtes Testen. Durch kostenlose Schnelltests in Testzentren, Arztpraxen oder Apotheken sowie Selbsttests für die Eigenanwendung zu Hause sollen Infizierte schnell identifiziert werden. Die ersten drei Anbieter für Corona-Schnelltests zur Eigenanwendung durch Laien wurden diese Woche vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zugelassen.

3 –2 –1 –Meins! Doch warum bekomme ich das gewünschte Produkt nicht geliefert? „Fake Shops locken Kunden meist mit besonders günstigen Angeboten zu einem Produkt, bei dem die Nachfrage aktuell sehr hoch ist oder die Verfügbarkeit sehr gering“, erklärt Dr. Peter Mayer von der Forschungsgruppe SECUSO am Karlsruher Institut für Technologie. „Probleme mit solchen betrügerischen Online-Shopsverschärftensich in der ersten Zeit der Pandemie, da zum Beispiel Desinfektionsmittel und medizinische Schutzausrüstungen rar waren und die Bürgerinnen und Bürger aufgrund des Lockdowns vermehrt im Internet bestellt haben. Wir vermuten daher, dass mit der Zulassung von Schnelltests für die Eigenanwendung ein ähnlicher Trend festzustellen ist“, ergänzt Anne Hennig, die als Wissenschaftliche Mitarbeiterin in der Forschungsgruppe das Projekt INSPECTION unterstützt.

In dem vom Bundesministerium für Bildung und Forschung (BMBF) geförderten Projekt forschen Dr. Peter Mayer und Anne Hennig (M.A.) gemeinsam mit den Partnern der MindUp Web + Intelligence GmbH, der BDO AG Wirtschaftsprüfungsgesellschaft und weiteren assoziierten Partnernzum Thema Fake Shops im Internet. Eine Vorgehensweise von Betrüger ist es, Sicherheitslücken in bestehenden Webseiten von Unternehmen, Vereinen oder Privatpersonen zu nutzen. Die Hacker verschaffen sich Zugang zur Web-Plattform der Betroffenen und hinterlassen im Quellcode der Webseite eine Weiterleitung zu ihrem Fake Shop. Die Geschädigten bekommen davon oftmals gar nichts mit, da die Betrüger lediglich den Namen und damit die Sichtbarkeit der Webseite in den Rankings derSuchmaschinenanbieter nutzen. Ziel des Projekts INSPECTION ist es, gehackte Webseiten ausfindig zu machen, das Vorgehen der Betrüger im Internet nachvollziehen zu können und einen geeigneten Kommunikationsweg zu entwickeln, um betroffene Webseitenbetreiber:innen zu informieren.

„Wichtig ist es, dass Sicherheitslücken schnell geschlossen werden, um Schaden zu vermeiden. Dabei trifft es nicht nur den Endverbraucher, der um sein Produkt betrogen wurde, sondern auch das Unternehmen, dessen Image durch den Betrug geschädigt worden ist“, erläutert Dr. Peter Mayer. Webseitenbetreiber:innen sollten dabei darauf achten, dass die Webseiten-Plattform regelmäßig aktualisiert wird. Wird ein Content-Management-System (CMS) wie WordPress, Joomla oder Typo3 genutzt, sollten nicht nur die Plattformen an sich, sondern auch die Erweiterungen, sogenannte Plugins, auf dem aktuellsten Stand sein. „Aber auch unsichere Passwörter für den Login auf die Webseiten-Plattform sind ein Einfallstor für Betrüger“, erklärt Anne Hennig.

Und wie können Kund:innen sich vor Fake Shops schützen? „Das wichtigste ist, zunächst eine Plausibilitätsprüfung durchzuführen“, rät Prof. Melanie Volkamer, Leiterinder SECUSO Forschungsgruppe, „Wie wahrscheinlich ist es, dass der Malermeister aus Norddeutschland mir Corona-Schnelltests verkauft? Erscheint es denn logisch, dass bei diesem Anbieter Schnelltests nur halb so teuer sind, als bei allen anderen? Diese Fragen sollte ich mir zuerst stellen.“ Ein Set mit 20 bis 25 Testkassetten für den medizinischen Gebrauchkostet aktuell zwischen 120 und 200€. Wie teuer Schnelltests für den Laiengebrauch sein werden ist noch nicht bekannt.

Gütesiegel, wie das Trusted-Shop-Label oder das S@fer Shopping Siegel des TÜV Süd, können ein weiteres Indiz dafür sein, dass der Shop vertrauenswürdig ist. „Aber auch hier ist Vorsicht geboten“, meint Volkamer. Betrüger könnten die Siegel einfach kopieren oder eigene Siegel erfinden, um Seriosität vorzutäuschen.Hinter vertrauenswürdigen und aktuell gültigen Gütesiegeln steht ein Zertifikat, das der Siegelanbietende ausgestellt hat. Mehr Informationen zu Gütesiegeln für den Online-Handel gibt die Initiative D21 (Link: https://initiatived21.de/artikel-guetesiegel-beim-online-kauf/).

„Misstrauisch sollte man werden, wenn der Shop als Zahlungsmittel ausschließlich Vorauskasse oder Zahlung per Kreditkarte anbietet“, so die IT-Sicherheitsexpertin. Insbesondere wer per Vorauskasse bezahlt und die Ware anschließend nicht erhält, hat kaum Chancen, sein Geld wiederzubekommen. Ist auf der Shop-Seite zudem kein Impressum angegeben oder sind die angegebenen Kontaktdaten nicht erreichbar, sollte man Abstand von diesem Anbieter nehmen, meint Volkamer. „Ist man dennoch unsicher, hilft eine Websuche. Oftmals warnen zum Beispiel Verbraucherzentralen oder Sicherheitsbehörden vor betrügerischen Shops.“

Doch auch wenn ein Webshop vertrauenswürdig erscheint –solange er keine vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zugelassenes Produkt für die Eigenanwendung durch Laien anbietet, sollte man dort nicht bestellen. Das BfArM hat aktuell drei Anbieter zugelassen. Die Liste wird durch das Institut kontinuierlich aktualisiert.

„Grundsätzlich raten wir immer dazu, nicht überstürzt zu handeln. ‚Slow down‘ ist das grundsätzliche Gebot bei Fragen der IT Sicherheit-nicht nur beim Online-Shopping,“ meint die Leiterinder SECUSO Forschungsgruppe.

„Wir brauchen lernende Abwehrsysteme gegen die Machenschaften der Fake-Shops“

Betreibende betrügerischer Online-Verkaufsplattformen – sogenannter Fake-Shops – machen sich zunehmend Sicherheitslücken von Webseiten zunutze. Sowohl für die Menschen und Organisationen hinter seriösen Webseiten als auch für Online-Shoppende bedeutet dies ein Risiko. Käuferinnen und Käufer werden bei den unseriösen Angeboten zur Zahlung mittels Vorauskasse oder per Kreditkarte aufgefordert − für Waren oder Dienstleistungen, die häufig gar nicht existieren.

Gerade in der gegenwärtigen Lage verschärft sich das Problem: Viele der Fake-Shops vermarkten in der Pandemie-Krise wichtige Produkte wie Schutzkleidung, Schnelltests oder Desinfektionsmittel. Und das erfolgreich – denn hinter der Masche steckt System: Für hohe Besuchsströme hacken Fake-Shop-Betreibende seriöse Webseiten und richten unerkannt automatisierte Weiterleitungen zu ihrer gefälschten Plattform ein. Die Fake-Shops erhöhen so ihre Sichtbarkeit in Suchmaschinen und damit ihre Erfolgsrate. Die gehackte Webseite kann dann auch für andere Formen des Missbrauchs genutzt werden: zum Beispiel zum Versenden von Spam oder zur Verbreitung von Ransomware.

Im Interview erklärt das INSPECTION Team, welchen Ansatz es verfolgt.

Ihnen begegnen bereits seit vielen Jahren Fake-Shops und damit verbunden Angriffe auf seriöse Webseiten. Wie gehen die Angreifenden genau vor?

Fake-Shop-Betrüger bringen ihre neuen Domänen dadurch in die Suchmaschinen, dass sie sich geschickt mit ihren Themen in fremde, häufig themennahe Webseiten einnisten.

Welchen Vorteil erhoffen sich die Hacker?

Durch das gezielte Hacking von bestehenden Domänen macht sich der Betrüger die über Jahre gewachsene Reichweite, das gute Suchmaschinen-Ranking sowie die positive Reputation der gehackten Seite zunutze. Um eine Zahl zu nennen: Auch wenn thematisch zwischen Fake-Shop und der so genannten gehackten Wirtsseite keine Übereinstimmung besteht, kann der Angreifer bereits über Nacht zehntausend Themenseiten seines Fake-Shops im Suchindex der Suchmaschinen erfolgreich platzieren und damit eine hohe Anzahl an Webbesuchen generieren.

Welche Webseiten sind besonders häufig Ziel solcher Angriffe?

Im Visier sind häufig sehr kleine Webseitenbetreiber. Opfer sind also vor allem Vereine, freiberuflich Tätige oder Selbstständige, etwa aus dem Handwerksbereich. Aber auch Privatpersonen. Sicherheitslücken bestehen hier oft deshalb, weil die Betreiber ihre Webseiten als einmalige Marketinginvestition verstehen. Sicherheitskonzepte werden nicht konsequent verfolgt.

Warum können sich Fake-Shops im Internet so breitmachen?

Die Hacker wissen: Das Risiko der Strafverfolgung ist gering. Zumeist stehen für die Straftaten genutzte Server außerhalb von Deutschland und Europa – die Kriminellen sind dadurch hierzulande schwer identifizier- und greifbar. Auch unsere Versuche, Fake-Shops an die Strafverfolgungsbehörden, die Internetregistrare oder den Verbraucherschutz zur Schließung weiterzuleiten, um sie so zu stoppen, schlugen fehl. Unsere aktuellen gesetzlichen Regelungen können gegen international agierende Cyberkriminelle wenig ausrichten. Darüber hinaus ist es schwierig, die Betreiber adäquat über einen erfolgten Angriff zu informieren, weil eine E-Mail, die ein Hacking thematisiert, im Regelfall nicht gelesen oder ernst genommen wird. Zunächst muss also unbedingt fallbezogen ein verlässlicher Kommunikationskanal zu den Zuständigen gefunden werden. Meist können die Betroffenen auch aufgrund fehlenden IT-Know-hows nicht schnell genug handeln.

Wie soll INSPECTION künftig helfen?

Im Mittelpunkt unserer Idee steht zum einen das Aufspüren der gehackten Seiten und zum anderen die zielgerichtete, weitgehend automatisierte und frühzeitige Warnung der Betreiber der gehackten Seiten. Denn das reine Erkennen bleibt nutzlos, wenn es keine Maßnahmen gibt, das Problem zu beheben. Im Projekt bringen hier die Cybersecurity-Experten der BDO AG Wirtschaftsprüfungsgesellschaft ihr Wissen ein. Sie durchleuchten die Art und Weise der Hackings und können aus der Erkenntnis Lösungen extrahieren, um den Betroffenen schnell Hilfestellung zu geben – auch wenn diese kein Expertenwissen haben. Forschende der Forschungsgruppe SECUSO am Karlsruher Institut für Technologie (KIT) bauen auf diesen Erkenntnissen auf und entwickeln ein optimales Verfahren, um Betroffene zu informieren − etwa über Polizeibehörden, Branchenverbände oder Webhoster.

Welchen technischen Ansatz verfolgen Sie, um zu erkennen, ob eine Webseite gehackt wurde?

Das Gute an dieser Form des Hackings ist, dass wir es von „außen“ erkennen können. Wir verfolgen dabei einen Big-Data-Ansatz, indem wir im großen Stil in shopping-affinen Themenbereichen Suchmaschinenergebnisse überwachen. Alle gefundenen Webseiten werden thematisch eingestuft: Sowohl die für einen Suchbegriff wie „Nike Air Max“ gefundene Seite einer Domäne als auch die Webdomäne, wenn man diese von der Startseite her besucht. Eine als im Themengebiet „Handwerk“ klassifizierte Domäne, die in der Suchmaschine mit Seiten für Turnschuhe gefunden wird, ist dabei auffällig.

Weshalb bietet KI hierfür so große Chancen?

Techniken des maschinellen Lernens sind sehr gut geeignet, um solche thematischen Klassifikationen aus großen Datenmengen einzutrainieren. Das genannte Schuhbeispiel ist nämlich nur eines von vielen. Es gilt etwa auch, Fälle zu erkennen, in denen eine legale Online-Apotheke gehackt wurde, um auf eine illegale Online-Apotheke zu verlinken. Dieser Fall ist dann nicht mehr thematisch erkennbar. Zu den thematischen Merkmalen treten daher viele weitere Parameter hinzu, die durch ein lernendes System ebenfalls auf Basis zuvor klassifizierter Fälle herangezogen werden können. Zu beachten ist auch, dass Kriminelle derartige Betrugsmaschen immer weiterentwickeln. Feste Heuristiken würden hier mit der Zeit ins Leere laufen, während ein mitlernendes System auch neuartige Mechanismen erkennen kann.

Gibt es kategorische Unterschiede zwischen den von Ihnen gesichteten gefälschten Plattformen?

Bei den Fake-Shops gibt es solche, die das Ziel haben, Plagiate großer Modemarken oder bekannter Medikamente zu vertreiben. Eine zweite Gruppe von Fake-Shops beabsichtigt überhaupt nicht, jemals Ware zu verschicken, sondern hat es lediglich auf das Geld oder die Kreditkartendaten der Verbraucher abgesehen. Häufig erfolgen dort nach der eigentlichen Bestellung weitere Belastungen der Kreditkarte. Diese Fake-Shops bedienen einen deutlich größeren Themenbereich und kopieren zum Beispiel Produktbestände großer Markplätze. Einfach lässt sich also trennen in „Warenbetrug“ versus „Phishing von Kreditkartendaten“. Auch in der Professionalität unterscheiden sich die Seiten. Es gibt auf Masse angelegte gefälschte Shops, die Hunderte von „abgelegten“ Domänen nutzen − also solche, die vorherige Inhaber nicht mehr besitzen. Fake-Shops verwenden diese Domänen, da noch Verlinkungen auf die alten Seiteninhaber existieren und damit eine Listung in der Suchmaschine für die neuen Themen erleichtert wird. Neben solchen Massen-Shops gibt es aber auch sehr aufwändig erstellte einzelne Shops – teilweise inklusive Impressum und Gütesiegel − deren Fälschung kaum zu erkennen ist. 

Zum Schluss ein Blick nach vorne: Was ist Ihre Vision für ein besseres, sichereres Internet?

Die Informationsfreiheit des Internets werden wir uns immer wieder neu erkämpfen müssen. Mit INSPECTION möchten wir dazu beitragen, die positiven Seiten des Internets zu stärken und gerade die Gruppe von Webseitenbetreibern zu unterstützen, die keine oder nur kleine Budgets für Internetsicherheit haben. Die große Menge an assoziierten Partnern in unserem Projekt − von Webhostern über Branchen- und Sicherheitsverbände bis hin zu Multiplikatoren aus Österreich und der Schweiz − ermöglicht einen thematischen und länderübergreifenden Ansatz zum Verhindern dieser Form des Missbrauchs.

Interview mindUp mit dem Referat Vernetzung und Sicherheit digitaler Systeme im BMBF

Erste Erfolge bei Behebung gehackter Webseiten

Fake-Shops hacken Webseiten, um Verbraucher gerade jetzt vor Weihnachten aufs Glatteis zu führen. Das Konsortium des Forschungsprojektes INSPECTION hat in ersten Fällen das Ziel erreicht, gehackte Webseiten zu erkennen und die Betreiber gezielt zu informieren.

Fake-Shops sind gerade aktuell wieder verstärkt darauf aus, die wegen Corona verstärkt ins Internet verlagerte Geschenkesuche für ihre Zwecke zu nutzen. Da Fake-Shops keine Stammkunden haben, weiten sie ihre kriminelle Vorgehensweise auch auf Dritte aus: Webseiten mittelständischer Firmen, Handwerker, Vereine oder Privatleute werden im großen Stil manipuliert und tauchen plötzlich in Suchanfragen für Suchbegriffe der Produkte des Fake-Shops auf. Durch die jahrelange Bekanntheit dieser Webseiten finden sich diese dann schnell in den vorderen Ergebnisseiten der Suchmaschine. Ein Klick führt dann nicht zur eigentlichen Webseite, sondern man wird direkt auf den Fake-Shop weitergeleitet.

Die vom Bundesministerium für Bildung und Forschung geförderte Initiative „INSPECTION“ der mindUp Web + Intelligence GmbH im Verbund mit der Forschungsgruppe SECUSO des Karlsruher Instituts für Technologie (KIT) und der Cybersecurity Abteilung der BDO AG Wirtschaftsprüfungsgesellschaft ist nun seit sechs Monaten aktiv, um die betroffenen Webseitenbetreiber zu identifizieren und Wege zu finden, diese zielgerichtet zu informieren.

Um bereits frühzeitig konkreten Nutzen zu erzielen, verfolgen die Projektpartner einen agilen Ansatz. Thematisch liegt der Fokus aktuell auf Fake-Shops, die versuchen, illegal Arzneimittel zu verbreiten. Mehr als zweihundert Webseiten konnten ausgemacht werden, die auf die beschriebene Weise manipuliert und so zu Handlangern von Kriminellen wurden. Die Ansprache der Betroffenen erfolgt aktuell über die verschiedenen im Forschungsprojekt teilnehmenden Partner. Die Webhoster 1&1 IONOS und Host Europe übernehmen die Fälle in ihrem Kundenstamm. Die Allianz für Sicherheit in der Wirtschaft spricht Firmen im Rahmen ihrer Regionalstruktur an. Der Fachverband Elektro- und Informationstechnik Baden-Württemberg leitet die Information an betroffene Handwerker weiter. Die internationalen Partner SISA und Watchlist Internet bearbeiteten die Fälle in der Schweiz und Österreich. Die sonstigen Fälle wurden an die Cybercrime-Stellen der sechzehn Bundesländer übergeben.

Im direkten Kontakt konnte z.B. bereits einem Weiterbildungsinstitut, einer Handwerks-Innung, einem Verein und einem Transferzentrum für Unternehmenswissen geholfen werden. Gerade bei letzterem zeigten sich aber auch weitere Herausforderungen. Nach anfänglichen Erfolgen wurde die Seite erneut erfolgreich angegriffen. Interessierte finden weitere Informationen zum Projekt unter der Webseite https://web-inspection.de. Betroffene erhalten Hilfestellung unter der Email [email protected]

Kick-Off-Meeting in Karlsruhe

Das interdisziplinäre Konsortium des Forschungsprojektes INSPECTION hat seine Arbeit mit der gestrigen Kick-Off-Veranstaltung in Karlsruhe aufgenommen. Das Ziel der Akteure ist die Erkennung gehackter Webseiten im Umfeld von Fake-Shops und das Informieren der betroffenen Webseitenbetreiber. Die mindUp Web + Intelligence GmbH ist Initiator und Projektkoordinator und bringt insbesondere Know-How in der Erkennung durch Künstliche-Intelligenz ein.

Fake Shops sind gerade aktuell wieder verstärkt darauf aus, Konsumenten in Ihre Falle zu locken: Günstige Hygiene-Artikel oder Medikamente, die angeblich vor dem Corona-Virus schützen, die erst bezahlt werden müssen, dann aber nie ankommen. Um auf die vorderen Ränge der Suchmaschine zu kommen, schrecken sie dabei auch nicht davor zurück, Webseiten unschuldiger Bürger, Organisationen oder Unternehmen zu hacken und mit deren gutem Leumund die dortigen Besucher auf ihre Fake Shops weiterzuleiten.  Das Trickreiche dabei ist, dass man durch den gewohnten Aufruf der Webseite diese Manipulation gar nicht bemerkt.  Der illegale Eingriff bleibt daher vom Betreiber oft viele Jahre unbemerkt, denn die Webseiten funktionieren wie zuvor, nur dass der Betreiber plötzlich noch für ganz andere Themen gefunden wird als erwünscht. Problematisch dabei ist darüber hinaus, dass die gehackte Webseite noch mehr Schaden anrichten kann: von der Verteilung von Spam bis hin zu Ransomware. Eine Forschungsinitiative der mindUp Web + Intelligence GmbH im Verbund mit der Forschungsgruppe SECUSO des Karlsruher Instituts für Technologie (KIT) und der Cybersecurity Abteilung der BDO AG Wirtschaftsprüfungsgesellschaft unter Mitwirkung von Verbänden und Webhostern erkennt gehackte Webseiten von außen und informiert gezielt die Betreiber.

Das vom Bundesministerium für Bildung und Forschung im Programm KMU-innovativ geförderte Projekt gliedert sich in drei Abschnitte: das Finden, das Behandeln und das Verhindern dieser Form des Hackings. Die technische Aufgabe des Auffindens der manipulierten Webseiten übernimmt die mindUp Web + Intelligence GmbH. Mit Methoden des maschinellen Lernens wird erkannt, welche Besonderheiten einer Webseite auf ein Hacking hinweisen. Hierzu werden Web-Crawling-Techniken eingesetzt, um Suchmaschinenergebnisse und die Inhalte der Webseiten mit Hilfe von Texterkennungsverfahren zu analysieren. Mit jeder erkannten Seite steigt dadurch das Wissen des Systems und trägt zur weiteren Erkennungsleistung der Künstlichen Intelligenz bei.

Die Erkennung ist jedoch nur ein Baustein im Gesamtprozess. Die Forschungsgruppe SECUSO (Security-Usability-Society) des Karlsruher Institut für Technologie (KIT) erforscht im Rahmen des Projektes, ob beispielsweise die Ansprache des Betreibers über den Webhoster oder bei Firmen über Branchenverbände eine effektive Ansprache ermöglicht. An dieser Stelle unterstützen die 1&1 Ionos SE, und die Domain Factory / Host Europe Gmbh vonseiten der Webhoster, der Baden-Württembergische Handwerkstag (BWHT) und der Fachverband der Elektro- und Informationstechnik Baden-Württemberg vonseiten der Branchenverbände. Die Ansprache setzt dabei auf sogenannte „Teachable Moments“, d.h. durch die Ansprache wird ausgenutzt, dass Betroffene aus dem Hacking-Angriff sensibilisiert hervorgehen. Weiterhin sollen effektive Präventionsmaterialien entwickelt werden.

Im Projekt wird ebenfalls die Frage beantwortet, wie Webseitenbetreibern die notwendigen Hilfestellungen gegeben werden können. Einerseits die Sicherheit der Webseite dauerhaft herzustellen und andererseits die missliebigen Einträge aus der Suchmaschine zu entfernen. Die BDO AG analysiert hierzu die verschiedenen zum Einsatz kommenden Angriffsvektoren. Abhängig von der Art des erfolgten Angriffs und des eingesetzten Systems, werden möglichst allgemeinverständliche Maßnahmen erarbeitet, die auch für die Prävention nutzbringend sind.

Bei der Verbreitung der Präventionsmaterialien unterstützen beispielsweise der ECO-Verband mit seinem Webseiten-Sicherheitsprojekt SIWECOS, die Initiative Deutschland sicher im Netz e.V. und die Allianz für Sicherheit in der Wirtschaft. Für Fälle aus der Schweiz und Österreich wirken die Swiss Internet Security Alliance und die Watchlist Internet mit.

Profil BDO AG Wirtschaftsprüfungsgesellschaft

BDO zählt mit über 1.900 Mitarbeitern an 27 Standorten zu den führenden Gesellschaften für Wirtschaftsprüfung und prüfungsnahe Dienstleistungen, Steuerberatung und wirtschaftsrechtliche Beratung sowie Advisory Services in Deutschland. BDO ist Gründungsmitglied des internationalen BDO Netzwerks (1963), der mit heute über 88.000 Mitarbeitern in 167 Ländern einzigen weltweit tätigen Prüfungs- und Beratungsorganisation mit europäischen Wurzeln. Im Bereich IT, Forensics sowie Daten- und Cybersicherheit verfügt die BDO Gruppe über breite Expertise mit knapp 200 Expertinnen und Experten der BDO AG Wirtschaftsprüfungsgesellschaft, BDO DIGITAL GmbH und der BDO Cybersecurity GmbH.

Profil KIT – Projektgruppe SECUSO

Die Forschungsgruppe Security, Usability, Society (SECUSO) ist Teil des Instituts für angewandte Informatik und Formale Beschreibungsverfahren (AIFB) am Karlsruher Institut für Technologie (KIT). Gemeinsam mit anderen Security Forscherinnen und Forschern bildet die Forschungsgruppe das Kompetenzzentrum für Angewandte Sicherheitsforschung (KASTEL). Zu den Kernkompetenzen der Forschungsgruppe SECUSO zählen Sensibilisierungs- und Schulungsmaterialien zu verschiedensten IT-Sicherheitsthemen (z.B. Phishing und andere betrügerische Nachrichten und der Sicherheit von Benutzerkonten) sowie die Benutzbarkeit von Sicherheitsmaßnahmen.

Profil mindUp

Die mindUp Web + Intelligence GmbH ist ein Team aus Data-Scientists und professionellen Softwareentwicklern, die in direktem Kundenkontakt individuelle Lösungen auf Basis von Standardprodukten und Inhouse-Analytics realisieren. Zu den Dienstleistungen zählen das Datenhandwerk (Aufbereitung, Analyse, Wissensgewinnung, Prozessintegration), die Entwicklung von lernfähigen KI-Lösungen (Maschinelles Lernen, Deep-Learning), Auftragsforschung und Datenstudien.

Zu den Produkten von mindUp zählt die Software-Technologie contentDetection zur automatisierten Klassifikation und Datenextraktion im Internet. Zu den Kunden von mindUp zählen z.B. billiger.de, eBay, United Internet, Deutscher Mieterbund e.V.