8 Kriterien, um eine sichere Webseite zu erkennen
von Tina Siering
Warum der Mensch häufig die größte Schwachstelle ist
Die Bedrohungslage im Cyber-Raum ist so hoch wie nie. Die allermeisten Unternehmen und Organisationen haben das Schadenspotenzial durch Cyberkriminelle längst erkannt – und entsprechend mit einem soliden Basisschutz aus Firewall, Antiviren-Software, Endpoint Protection sowie Intrusion Detection Systemen (IDS) und Intrusion Prevention Systemen (IPS) aufgerüstet. Patch-Management ist ein wesentlicher Bestandteil der Strategie eines jeden Administrators. Auf technischer Seite stehen Cyberkriminelle daher häufig vor wahren Cyber Security Bollwerken, die sich zwar überwinden lassen, der Weg des geringeren Aufwands führt allerdings woanders entlang: über den Nutzer. Social Engineering ist der Begriff für diese „Teildisziplin“ des Hackings, bei dem durch psychologische Tricks und gezielte Manipulationen die Schwachstelle Mensch in größerem Umfang als jemals zuvor ausgenutzt wird.
Neben Kriminellen, die sich als Kunden, Lieferanten oder neue Kollegen ausgeben und sich so Zutritt zu gesicherten Bereichen in Unternehmen verschaffen – das sogenannte Tailgaiting – werden manipulierte E-Mails, betrügerische Webseiten oder Nachrichten gefälschter Identitäten in sozialen Netzwerken eingesetzt. Hier reicht bereits ein unüberlegter Mausklick und Malware landet auf dem Rechner des arglosen Opfers. Ist ein Cyberkrimineller erst einmal erfolgreich in ein System eingedrungen, kann er sich viel zu oft unerkannt lateral im Netzwerk bewegen und z. B. Zugangsdaten kopieren, Daten ausleiten oder Datensätze per Ransomware verschlüsseln. Die Bandbreite der möglichen Schäden reicht von Datenverlusten über Erpressungsversuche bis hin zu Spionage.
Die Schwachstelle Mensch funktioniert deshalb so gut, weil Social Engineers das Vertrauen ihrer Opfer ausnutzen, indem sie auf zwischenmenschlicher Beziehungsebene arbeiten, wo sie ihre Opfer emotional am einfachsten manipulieren können. Hierfür kombinieren die Angreifer Psychologie und Technik: Sie nutzen die Gutgläubigkeit und das bereitwillige Vertrauen ihrer Opfer aus, setzen die Zielpersonen unter Zeitdruck und versprechen „einmalige Gelegenheiten“ oder drohen mit Konsequenzen, wenn nicht umgehend reagiert wird. Selbst kritische, technikaffine Personen sind nicht vor den psychologisch geschulten Profis sicher. Eine besondere Gefahr geht dabei von gefälschten Webseiten aus. In der Hektik des Arbeitsalltags lässt sich beispielsweise die nachgebaute Online Banking Webseite nicht sofort vom Original unterscheiden. Gleiches gilt für die E-Mail eines vermeintlichen Vorgesetzten oder die perfekt gefälschten SMS inklusive maliziösen Tracking-Link zur Ankündigung einer Paketzustellung ans Unternehmen.
8 Kriterien: So erkennen Sie, ob eine Webseite seriös ist
1. Der Blick auf die URL
Die URL ist zum einen die Adresse einer Webseite im Internet – und zum anderen ein wichtiger Indikator für Authentizität. Zwischen www.postbank.de und www.postbamk.de (oder auch bei sich unterscheidenden Domainendungen wie z.B. de.com anstatt .de) liegen nur wenige Buchstaben Unterschied. Doch gerade dieser kleine Unterschied macht die potenzielle Bedrohung aus. Achten Sie daher unbedingt immer auf die Adresszeile Ihres Browsers!
2. Kein HTTPS für die Verbindung
Das „S“ nach „HTTP“ (Hyper Text Transfer Protocol) in der Adresszeile Ihres Browsers zeigt, dass die Webseite eine verschlüsselte Verbindung zwischen Ihrem Rechner und dem Server bereitstellt. Gerade bei Webseiten, die die Eingabe persönlicher Daten erfordern, profitieren Sie von einem deutlich erhöhten Datenschutzniveau. Aktuelle Browser kennzeichnen Webseiten ohne HTTPS als „unsicher“. Das bedeutet im Umkehrschluss aber nicht, dass Seiten mit HTTPS automatisch sicher sind! Denn auch Hacker können sich mühelos Webseiten mit verschlüsselten Verbindungen erstellen. Schauen Sie unbedingt immer in die Adressleiste, um zu überprüfen, ob Sie sich auch wirklich auf der Webseite befinden, die Sie besuchen wollen. Vor dem Klick auf einen Link führen Sie Ihre Maus zunächst nur über den Link. In der linken unteren Ecke Ihres Browsers wird Ihnen dann das Linkziel angezeigt.
3. Keine eingebundene Datenschutzrichtlinie
Jeder Webseitenbetreiber, der auf seiner Seite personenbezogene Daten erhebt, übermittelt, nutzt oder verarbeitet, ist gemäß DSGVO (EU-Datenschutz-Grundverordnung) dazu verpflichtet, die angewendete Datenschutzrichtlinie auf der Webseite zu veröffentlichen. Verfügt eine Webseite nicht über die zumeist am unteren Ende der Seite aufgeführte Datenschutzrichtlinie oder passt die Sprache nicht zur Sprache der Webseite, kann dies auf eine unseriöse Webseite hindeuten. Weitere Anzeichen können Auffälligkeiten bei den Kundenbewertungen, AGB oder beim Impressum sein.
4. Webshops mit Vertrauenssiegel
Viele Webshops binden „Trusted Shop“ Siegel ein, um ihre Seriosität zu untermauern. Die von unabhängigen Institutionen verliehenen Vertrauenssiegel sind tatsächlich ein guter Indikator für einen seriösen Shop. Allerdings sollten auch Siegel immer genau überprüft werden. Führt ein Mausklick auf die Seite des Institutes, welches das Siegel verleiht, können Sie von einem vertrauenswürdigen Shop ausgehen. Handelt es sich bei dem Siegel nur um ein Bild, ist Vorsicht geboten, weil dieses vermutlich illegal aus dem Netz kopiert wurde. Prüfen Sie generell auch andere, etwaige Gütesiegel, da oftmals weitere erfundene Siegel verwendet werden. Auch hier kann durch einen Klick auf das Siegel schnell die Echtheit überprüft werden.
5. Achtung Fake-Shops: Bei Webshops u.a. auf die Call-to-Action-Buttons achten
Betreiber von Online-Shops müssen sich an Richtlinien halten, die den Aufbau des Shops genau definieren. So müssen nach den Vorgaben der EU-Richtlinie für Verbraucher-Buttons, die eine Bestellung auslösen, mit „zahlungspflichtig bestellen/buchen“ oder „jetzt kaufen“ gekennzeichnet werden. Landen Sie in einem Shop, bei dem die Button-Bezeichnung ein lapidares „anmelden“, „weiter“ oder „bestellen“ aufweist: sehen Sie unbedingt von einer Bestellung ab. Hier ist die Wahrscheinlichkeit sehr hoch, dass es sich um einen Fake Shop handelt. Wenn sich in einem Shop auffallend niedrige Angebote häufen, sollte man ebenfalls genauer hinsehen - Betrüger arbeiten mit dieser Lockmethode! Wählen Sie zudem nur sichere Zahlungsoptionen aus. Bei unseriösen Shops werden bis zum Bestellschritt mehrere Zahlungsweisen angeboten, bei der eigentlichen Bestellung wird plötzlich nur noch Vorkasse, etwa in Form einer Überweisung verlangt.
6. Angepasste Browsereinstellungen
Jeder gängige Browser bietet die Möglichkeit, die einzelnen Sicherheitsfunktionen individuell einzustellen. So lassen sich beispielsweise Skripte ausschalten, seitenübergreifende Cookies verbieten oder Fingerprinter aussperren. Seiten, die Ihnen trotz der erhöhten Sicherheitseinstellungen angezeigt werden, sind zumeist auch vertrauenswürdig. Allerdings können zu harte Sicherheitseinstellungen auch die Funktionsweise seriöser Seiten beeinträchtigen. Hier ist Fingerspitzengefühl gefragt. Einige Tipps: Verzichten Sie auf die Nutzung aktiver Inhalte, sofern Sie diese nicht benötigen – dies gilt insbesondere für Techniken wie Java, die durch zusätzliche Plugins bereitgestellt werden und nicht bereits durch den Browser direkt unterstützt werden. Aktivieren Sie diese ggf. nur bei vertrauenswürdigen Webseiten und aktivieren Sie die integrierten Mechanismen zum Phishing- und Malware-Schutz.
7. Mit Tools die Seriosität prüfen
Google Safe Browsing ist ein hervorragendes Tool, um die Seriosität einer Webseite zu prüfen. Hierzu wird die URL der entsprechenden Seite in das Tool eingegeben und dadurch eine Analyse gestartet. Das Tool liefert anschließend zuverlässige Aussagen über die Sicherheit einer Seite.
8. Bei Unsicherheit: direkte Kontaktaufnahme suchen
Seriöse Online-Angebote verfügen über ein Impressum und über die Möglichkeit zur telefonischen Kontaktaufnahme. Wenn Sie sich unsicher sind: Rufen Sie den Anbieter an.Kann Ihr Gesprächspartner Ihre Fragen kompetent und umfassend beantworten, sollte von einem seriösen Anbieter auszugehen sein. Ist Ihre Auskunftsperson unsicher und kennt sich augenscheinlich nicht richtig aus und kann Ihre Fragen nicht zufriedenstellend beantworten: lassen Sie besser die Finger vom Angebot. Sie können sich sicher sein, dass auch mit der Online-Präsenz etwas nicht stimmt.
Sicheres Surfen: Mit diesen Maßnahmen schützen Organisationen Ihr Netzwerke
Möglichst umfassender System- und Netzwerkschutz basiert auf mehreren IT Security Layern, die optimal ineinander greifen sollten. Als grundlegender Basis-Schutz sind Protection Tools, wie Firewalls und AV-Lösungen, Pflicht, genau wie regelmäßige Updates von Betriebssystemen und eingesetzter Software. Durch zielgerichtetes Patch-Management werden Sicherheitslücken geschlossen und die Gefahr „offener Scheunentore“ in der IT-Infrastruktur verringert. Security Audits, bestehend aus Penetration Tests und automatisiertem Schwachstellenscanning, sollten in regelmäßigen Abständen durchgeführt werden. Im Vergleich zum (beispielsweise jährlichen) Penetrationstest liefert das IT-Schwachstellenscanning in wesentlich kürzeren Zeitabständen (z.B. monatlich oder wöchentlich) eine exakte Aussage über das vorhandene IT-Sicherheitsniveau der zu prüfenden Infrastruktur.
Social Engineering Audits
Die Durchführung regelmäßiger Social Engineering Audits dient der Überprüfung der Security Awareness der Mitarbeiter Ihres Unternehmens, genauer gezielt die “Schwachstelle Mensch”. Die Audits stellen die Verhaltensregeln aller Mitarbeiter eines Unternehmens im Umgang mit IT-Systemen auf den Prüfstand – und werden gleichzeitig dazu genutzt, Schwachstellen aufzudecken und Mitarbeiter für Awareness Themen zu sensibilisieren. Im Zuge des Audits werden Konzepte entwickelt, die die unternehmensinterne IT-Sicherheit auch abseits der technischen Ebene erhöhen.
IR Readiness
Damit Unternehmen im Falle eines Cyberangriffs zielgenau reagieren können, bedarf es einer optimalen Vorbereitung auf diesen Ernstfall. Voraussetzung für eine permanente Incident Response Readiness (IR Readiness) eines Unternehmens ist allerdings die Entwicklung und Implementierung einer umfassenden Cyber-Abwehrstrategie. Diese Defense-Strategie versetzt Unternehmen in die Lage, komplexe Angriffe zu erkennen, abzuwehren und den Sicherheitsstatus präventiv zu erhöhen. Mit der richtigen IR Readiness Strategie bekommen Unternehmen detaillierte Richtlinien, Werkzeuge und Prozesse an die Hand, um angemessen und effektiv auf einen Sicherheitsvorfall zu reagieren.
Managed Detection and Response (MDR) Lösung zur Angreiferfrüherkennung
Mit unserem Active Cyber Defense (ACD)-Service versetzen wir Sie in die Lage, sich vor den Folgen von Cyber-Kriminalität zu schützen, indem wir Angreifer in Ihrem Netzwerk erkennen bzw. identifizieren, bevor sie irgendeine Art von Schaden angerichtet wird. ACD ist ein Full Managed Security Service, welcher Netzwerke proaktiv und kontinuierlich auf Anomalien analysiert und so die Kommunikation der Angreifer zu ihren Command & Control Servern (C&Cs) identifiziert. Sie benötigen für das permanente Monitoring und für die Incident Detection keine eigenen personellen Ressourcen bereitzuhalten. Unsere IT Security Analysten überwachen Ihre IT-Infrastruktur rund um die Uhr nach auffälligen Aktivitäten und informieren bei Handlungsbedarf unmittelbar. ACD wird vollständig als on-premise Lösung implementiert. Bei Handlungsbedarf wird die unternehmensinterne IT umgehend informiert. Durch den Active Cyber Defense Service lassen sich Netzwerke aktiv, vorausschauend und permanent absichern. Dabei werden immer alle Systeme innerhalb eines Netzwerkes überwacht – von Desktop-Rechnern über Mobiltelefone und Tablets bis hin zu IoT-Geräten.
Fazit
Trotz aller Vorteile ist das Internet auch immer ein Ort potenzieller Gefahr. Mitarbeitende in Unternehmen sollten daher unbedingt durch Awareness Schulungen sensibilisiert werden, damit sie seriöse Webseiten von gefälschten Angeboten unterscheiden können. Um das technische Risiko zu minimieren, ist ein grundlegender Basis-Schutz aus Protection Tools, wie Firewalls und AV-Lösungen, genauso wie das zeitnahe Schließen von Sicherheitslücken durch Patches, Pflicht. Mit regelmäßigen Schwachstellenscans und Penetrationstests erhalten Unternehmen ein umfassendes Bild, wie gut die IT Security für reale Angriffe aufgestellt ist – und die Möglichkeit, nachzujustieren, bevor der Ernstfall eintritt. Mit einer individuell maßgeschneiderten Incident Response Readiness verfügen Unternehmen über Richtlinien und Prozesse zur angemessenen Behandlung von Sicherheitsvorfällen. Die Handlungsempfehlungen stellen eine optimale Vorbereitung auf den Ernstfall dar. Prävention mittels Angriffsfrüherkennung durch aktives Threat Hunting ist ebenfalls wichtig, um ein Höchstmaß an Netzwerksicherheit zu erreichen: Allgeier secion bietet mit ACD einen solchen effektiven und effizienten “Managed Detection and Response”-Service an.