Benachrichtigungen über Schwachstellen oder Fehlkonfigurationen im Zusammenhang mit gehackten Webservern

Hinweis: Diese Seite befindet sich teilweise noch im Aufbau - schauen Sie gerne später noch einmal vorbei.

Privatpersonen, Vereine, Selbstständige oder kleine und mittelständische Unternehmen (KMU) stellen den größten Anteil aller Webseiten. Oftmals fehlt es aber gerade in dieser Gruppe an Ressourcen, um Websites professionell zu betreuen und regelmäßig zu warten. Entsprechend ist es oftmals schwierig zu erkennen, wenn die eigene Website Sicherheitslücken aufweist und gehackt wurde. Im Rahmen des vom Bundesministerium für Bildung und Forschung (BMBF) geförderten Projekts INSPECTION haben wir fremdverursachte schädliche Website-Weiterleitungen, eine bestimmte Art des SEO Spams, untersucht, anhand dessen Website-Besitzer:innen schon frühzeitig erkennen können, dass ihre Website kompromittiert wurde. Untersucht wurden Suchmaschineneinträge, über die Websites gefunden wurden, die auf Fake Shops weiterleiten. Diese Weiterleitungen wurden von Angreifer:innen in den Dateien der Website versteckt. Für die Betreiber:innen der Websites ist dieses Hacking zunächst „unsichtbar“, da die Website selbst normal dargestellt wird und auch weiterhin erreichbar ist. In den entsprechenden Suchmaschineneinträgen lassen sich allerdings die manipulierten Weiterleitungen finden – Angreifer:innen müssen Zugriff auf das Dateisystem der Website gehabt haben. Entsprechend wichtig ist es, dass die Webseitenbetreiber:innen informiert und dabei unterstützt werden, die Webseite zu bereinigen und generelle Sicherheitsmaßnahmen zu ergreifen.

Worum ging es bei INSPECTION

Ziel von INSPECTION war es, Webseiten, die von fremdverursachte schädliche Website-Weiterleitungen betroffen sind, durch Crawling eines möglichst großen Teils des deutschsprachigen Internets und durch Klassifikation der Webseiten mit KI-Technik von außen automatisiert zu identifizieren. In einem Human Centered - Ansatz wurden parallel dazu (potentiell) Betroffene, aber auch Dienstleister, wie zum Beispiel Webhoster, für die Problematik sensibilisiert und – sofern sie selbst gehackt waren – über den Vorfall informiert.

Dazu wurden Maßnahmen entwickelt, um betroffene Website-Betreiber:innen zu informieren und bei der Behebung zu unterstützen. Dabei wurde der sogenannte "Teachable Moment" genutzt, d.h. die Tatsache, dass in dem Moment, in dem man die Betreiber:innen auf das konkrete Problem ihrer Webseite hinweist, diese am ehesten bereit sind, die Sicherheit ihrer Webseite zu erhöhen.

Anhand von Interviews mit potentiell betroffenen und bereits benachrichtigten Unternehmen haben wir evaluiert, welche Kommunikationskanäle und Absender für Schwachstellen-Benachrichtigungen geeignet wären. Basierend auf den Erkenntnissen haben wir mit dem von uns entworfenen Benachrichtigungstext untersucht, welchen Effekt Absender und Framing haben und, ob es einen Interaktionseffekt zwischen Absender und Framing gibt. Außerdem haben wir anhand von leitfadengestützten Interviews untersucht, welche Gründe Website-Betreiber:innen haben, den Hack trotz Benachrichtigung nicht zu beheben.

Im Konsortium des Projekts befanden sich Expert:innen aus dem Bereich Webanalyse (mindUp Web & Intelligence GmbH), dem Incident Response Management zur Analyse von Cyber-Angriffen (BDO Wirtschaftsprüfungsgesellschaft AG) sowie der verständlichen Kommunikation effektiver IT-Sicherheits- und Awareness-Maßnahmen (SECUSO@KIT). Zudem waren Webhoster, Branchen- und Sicherheitsverbände und internationale Multiplikator:innen als assoziierte Partner an dem Projekt beteiligt.

Wie wurden die Maßnahmen umgesetzt

Im Rahmen des INSPECTION-Projekts wurden verschiedene Awareness-Materialien entwickelt, die Website-Betreiber:innen dabei helfen sollen, auf die fremdverursachte schädliche Website-Weiterleitungen aufmerksam zu werden und diese zu beheben. Dazu zählen zum Beispiel Hinweise, wie man Betroffene effektiv über Hackings informieren kann. Außerdem wurden Materialien entwickelt, anhand derer Website-Betreiber:innen selbst identifizieren können, ob die eigene Website gehackt ist. Weiterhin werden Maßnahmen zur Behebung beschrieben und Tipps gegeben, wie Betroffene die eigene Website in Zukunft sichern können. Konkret sind folgende Materialien entstanden:

  • Zwei Awareness-Videos zu fremdverursachte schädliche Website-Weiterleitungen, wie man diese erkennt, behebt und Schutzmaßnahmen gegen zukünftige Hackings ergreift
  • Ein Awareness-Vortrag für Veranstaltungen
  • Der Benachrichtigungstext, um betroffene Webseitenbetreiber:innen über fremdverursachte schädliche Website-Weiterleitungen zu informieren

Veröffentlichungen

  • A. Hennig, et al. 2022. Standing out among the daily spam: How to catch website owners attention by means of vulnerability notifications. In Conference on Human Factors in Computing Systems (CHI ’22 Extended Abstracts), Available: https://doi.org/10.1145/3491101.3519847
  • A. Hennig. 2022. Your website has been hijacked: Raising awareness for an invisible problem. In Sicherheit 2022: Sicherheit, Schutz und Zuverlässigkeit: Konferenzband der 11. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.v. (GI), Available: https://doi.org/10.18420/sicherheit2022_18
  • A. Hennig et al. 2022. Your Cookie Disclaimer is not in line with the ideas of the GDPR. Why? In Human Aspects of Information Security and Assurance. Available: https://doi.org/10.1007/978-3-031-12172-2_17
  • A. Hennig et al. 2022. Poster: How to best inform website owners about vulnerabilities on their websites. European Symposium on Usable Security (EuroUSEC 2022), Available: https://publikationen.bibliothek.kit.edu/1000157146
  • A. Hennig et al. 2023. Poster: Ihre Website wurde gehackt: Awareness schaffen für ein unsichtbares Problem. 2023 Nationale Konferenz IT-Sicherheitsforschung: Die digital vernetzte Gesellschaft stärken, Available: https://publikationen.bibliothek.kit.edu/1000157190
  • A. Hennig et al. 2023. Poster: Beware of website hackers: Developing an awareness video to warn for website hacking. 19th Symposium on Usable Privacy and Security. Co-located with USENIX Security ’23 (SOUPS 2023), Available: https://publikationen.bibliothek.kit.edu/1000160706
  • A. Hennig et al. 2023. Vision: What the hack is going on? A first look at how website owners became aware that their website was hacked. In: Proceedings of the 2023 European Symposium on Usable Security (EuroUSEC 2023), pp. 312-317, Available: https://doi.org/10.1145/3617072.3617101