Ob es um private Einkäufe oder geschäftliche Korrespondenzen geht, fast alles läuft heute über das Internet. Vor allem Web-Browser wie Firefox, Chrome & Co. sind für Nutzer das Tor ins World Wide Web. Doch durch die zunehmende Bedrohungslage der Cyberkriminalität stellt sich auch immer wieder die Frage, wie sicher Web-Browser überhaupt sind oder sein müssen. Hier lohnt sich ein genauerer Blick.

Immer wieder kommt es zu Phishing-Angriffen, die einen E-Mail-Empfänger über einen Link dazu auffordern, sensible Daten auf einer manipulierten Website einzugeben oder aber sich mitgeschickte Dateien herunterzuladen. Die abgegriffenen Daten können die Betrüger anschließend für ihre kriminellen Zwecke missbrauchen.

Das Aufsetzen von manipulierten Websites, die dem Original täuschend ähnlich sind, fällt professionellen Betrügern nicht sonderlich schwer. Zwar wurde durch die Einführung der internationalen Domainnamen Besserung gelobt, dennoch vervielfachen die Betrüger ihre Angriffe.

 

Der Weg zum Ziel: URL-Spoofing

Websitebesucher werden häufig durch URL-Spoofing manipuliert. URL-Spoofing dient dazu, dem Nutzer eine echte Website vorzutäuschen. Das kann in unterschiedlichen Varianten erfolgen. Nehmen wir zunächst das Link-Spoofing: Die Original-Website und deren gefälschte Variante unterscheiden sich ganz leicht innerhalb der URL. Ein gutes Beispiel stellen hier Websites von Unternehmen dar, deren Unternehmensnamen Umlaute enthalten. Hier sind zweierlei Schreibweisen möglich „ö“ oder „oe“. Jemand mit gutem Auge kann diesen Unterschied möglicherweise erkennen und rechtzeitig reagieren.

Anders beim Frame-Spoofing. Diese Manipulation ist nur sehr schwer erkennbar. Hierbei nutzen die Angreifer identisch aussehende Zeichen, die aber eine andere Bedeutung haben. Ein Beispiel: Bei der Internetadresse www.google.com lässt sich anstelle des kleinen „l“ ein großes „i“ verwenden. Auffallen wird das wohl kaum jemandem.

 

Sind Mindeststandards für Web-Browser die Lösung?

Um für mehr Sicherheit beim Surfen zu sorgen, hat das BSI vor kurzem die Mindeststandards für die Sicherheit von Web-Browsern veröffentlicht. In erster Linie wurden diese Standards für die Verwaltung auf Bundesebene entwickelt, jedoch sind sie durchaus auch für den Otto-Normal-Verbraucher geeignet, etwa wenn es um die Wahl des täglichen Web-Browsers geht.

Anforderungen können unter anderem sein, dass sich ein Web-Browser problemlos parallel in unterschiedlich konfigurierten Browser-Instanzen betreiben lässt. Außerdem dürfen nur Programmiersprachen und -werkzeuge verwendet werden, die sichere Funktionen unterstützen, sodass der Browser die vom Betriebssystem bereitgestellten Speicherschutzmechanismen nutzen kann.

Eine wichtige Regelung ist zudem, dass der Nutzer schnell und einfach erkennen kann, ob die Kommunikation mit dem Web-Server verschlüsselt oder unverschlüsselt, also im Klartext, abläuft. Der Anwender muss außerdem in der Lage sein, auf das Server-Zertifikat (SSL-Zertifikat) zuzugreifen.

 

Das SSL-Zertifikat

Gemütlich, einfach und schnell ist das Online-Banking. Gerade wenn es um das liebe Geld geht, ist Sicherheit jedoch das oberste Gebot. Und gerade hier ist es wichtig zu wissen, ob die Website der eigenen Bank auch sicher genug für Onlinegeschäfte ist. Werden persönliche Daten verschlüsselt oder können auch Dritte darauf zugreifen? Dies lässt sich problemlos über das SSL-Zertifikat überprüfen. Dieses dient einer Website sozusagen als Authentifizierungsnachweis. Wird es in der Adresszeile seines Browserfensters durch „https://“ kenntlich gemacht, sind Icons wie ein Vorhängeschloss oder eine grüne Adresszeile zu erkennen, handelt es sich um eine sichere Verbindung.

„HyperText Transfer Protocol Secure“ (HTTPS) ist bereits werkseitig in jeder Browsersoftware eingebaut und prüft, ob der Anbieter der Website auch tatsächlich derjenige ist, der er vorgibt zu sein. Diese Art der „Ausweiskontrolle“ bei Websites-Anbietern erschwert Phishing-Betrügern das Aufsetzen von Fake-Websites zunehmend.

Konnte sich der Anbieter korrekt ausweisen, kommt eine sichere Verbindungsebene (SSL) zum Tragen. Dabei arbeitet im Hintergrund sowohl ein Aufzeichnungsprotokoll (SSL-Record Protocol), welches für die Verschlüsselung des Kommunikationsverlaufs zwischen Nutzer und Anbieter sorgt, als auch das Handshake-Protokoll, welches die jeweiligen Identifikationsdaten übermittelt und für den weiteren Verlauf den Ver-und Entschlüsselungscode festlegt.

Das SSL-Zertifikat kann übrigens nur von einer offiziellen Zertifizierungsstelle ausgegeben werden, wodurch die Vertrauenswürdigkeit einer Website gewährleistet ist.

 

Wie kann ich mich vor manipulierten Websites schützen?

Eine Möglichkeit, sich vor manipulierten Websites zu schützen ist, in Erfahrung zu bringen, ob die Zielseite über ein SSL-Zertifikat verfügt. Was jetzt nach langer Recherche klingt, ist lediglich das Copy and Paste der URL auf eine Website wie checkdomain.de, die dann überprüft, ob die Zielseite vertrauenswürdig ist.

Wer auf Nummer Sicher gehen möchte, dem wird empfohlen, IT-Security-Lösungen in Anspruch zu nehmen, die vor Phishing und anderweitigen Angriffen wie Ransomware oder DDoS-Attacken schützen können. Mit Spam- und Webfilter-Lösungen minimieren Sie das Risiko, auf manipulierte Websites hereinzufallen.

 

Weiterführende Informationen: