Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Gefährliche Links
Anklicken von Links in E‑Mails oder Facebook-Nachrichten kann zu einer Infektion mit Schadsoftware führen, die sowohl die Daten auf dem eigenen Rechner gefährdet, als auch weitere Angriffe ermöglicht, unter anderem auch auf das Firmennetzwerk. Eine solche Nachricht zuverlässig zu erkennen kann schwieriger sein als viele Anwender vermuten.
Denn hinter dem Link könnte sich eine gefährliche Webseite verbergen, die Ihren PC mit einem Schadprogramm (zum Beispiel mit einem Virus oder einem Trojaner) infiziert, ohne dass Sie es merken. Diese Art der Verbreitung der Schadsoftware heißt „Drive-by-Download“. Sie nutzt die Sicherheitslücken in den Browsern aus. Deswegen ist es wichtig, Ihren Browser aktuell zu halten.
Meine Kollegen und ich haben an der Friedrich-Alexander-Universität Erlangen-Nürnberg Anfang 2014 an die studentischen Teilnehmer eines Experiments eine persönliche Nachricht mit einem Link geschickt [1]. Aus den 975 Studenten, die den Link per E‑Mail bekommen haben, haben mehr als 20% (316) auf den Link geklickt. Aus den 280 Studenten, die den Link in einer Facebook-Nachricht bekommen haben, haben 43% (120) den Link angeklickt. Im Experiment führte der Link natürlich nicht zu einer mit Drive-by-Downloads verseuchten Webseite, sondern zu einer harmlosen, die den Nutzer mit der „Access denied“ Meldung empfangen hat.
US-amerikanische Forscher haben im Rahmen von einem Experiment mehrere E‑Mails an 1359 zufällig ausgewählte Mitarbeiter einer mittelgroßen Firma (6000 Mitarbeiter) geschickt [2]. Eine dieser E‑Mails gab vor, von einer im Unternehmen eingesetzten Terminverwaltung-Anwendung zu kommen und bat den Nutzer, einer Terminänderung unter einem gefälschten Link zuzustimmen. Eine andere kam von einem nicht existierenden Kollegen und beinhaltete einen gefälschten Link zu einem angeblichen Artikel über die Firma in der Zeitung Washington Post. Je nach der Beschaffenheit dieser Nachrichten haben zwischen 30% und 60% der Mitarbeiter auf den Link geklickt.
Das würde ich doch nie tun!
Dass Ihnen die Gefahr bewusst ist, die vom Klicken auf Links ausgehen kann, ist zwar sehr gut, aber leider immer noch nicht ausreichend, um gut geschützt zu sein. Die Interviews mit den Teilnehmern, die im Rahmen des oben vorgestellten amerikanischen Experiments durchgeführt wurden, haben das gezeigt. Obwohl alle Interviewten am jährlichen Security Awareness Training teilgenommen haben, und vielen von ihnen sowohl die Gefahr als auch die Gegenmaßnahmen bewusst waren, haben dennoch einigen von ihnen auf einen oder mehrere Links geklickt. Dafür gab es zwei Hauptgründe:
- Das Thema der E‑Mail hat die Mitarbeiter interessiert. Aus der psychologischen Forschung ist bekannt, dass starke Emotionen, z.B. starkes Interesse oder Ärger über eine vermeintliche Terminänderung, das rationale Denken behindern können. Der Kopf wird sozusagen von den Emotionen ausgeschaltet, und genau damit rechnen die Angreifer.
- Die Mitarbeiter befanden sich im Arbeitsfluss, waren damit beschäftigt, mehrere Aufgaben so effizient wie möglich zu erledigen, und haben auch nebenbei versucht, ihre E‑Mails abzuarbeiten. Eine solche Situation ist auch Ihnen bestimmt aus dem Arbeitsalltag bekannt. Dadurch, dass die Mitarbeiter sich nicht gänzlich auf die E‑Mails konzentriert haben, oder wenig Aufmerksamkeit jeder einzelnen E‑Mail geschenkt haben, haben sie auf den Link geklickt, eher sie über die Situation nachgedacht haben. Die Hand war schneller als das rationale Denken.
Wie kann man sich schützen?
Meistens hilft gesunder Menschenverstand und einige Regeln, die man bei der Bearbeitung von E‑Mails und anderen Nachrichten beachten sollte:
- Kurz innehalten, bevor Sie klicken und überlegen: wie wahrscheinlich ist es, dass dieser Mensch Ihnen eine solche Nachricht schickt?
- Wenn die Nachricht von einem Unbekannten kommt, nicht klicken! Man kann auch auf einem anderen Wege zu der gewünschten Information kommen, zum Beispiel durch eine Suche im Intra- oder Internet, oder durch den direkten Zugriff auf die Informationsquelle, wie die Homepage der Zeitung.
- Wenn die Nachricht von einer Ihnen persönlich bekannten Person kommt, könnte diese Person sich ein Schadprogramm eingefangen haben, das nun diesen Link in ihrem Namen verschickt. Also, Vorsicht! Im Zweifelsfall fragen Sie lieber beim Sender nach.
- Melden Sie verdächtige E‑Mails der IT-Sicherheitsabteilung.
Es ist nicht schwer, sich diese Regeln zu merken. Viel schwieriger ist es, wie oben beschrieben, den Kopf im vielfältigen Arbeitsalltag tatsächlich „einzuschalten“. Hier hilft vielleicht ein Bewusstsein dafür, dass auch die einfache Bearbeitung der E‑Mails einen gewissen Grad an Aufmerksamkeit verlangt.
Es gibt keinen vollständigen Schutz
Ganz unabhängig davon, wie viel Awareness Training die Mitarbeiter absolvieren, ein Restrisiko bleibt immer. Es ist unrealistisch zu erwarten, dass alle Mitarbeiter zu jedem Zeitpunkt und zu jeder Gelegenheit zu 100% richtig „funktionieren“. Das zeigt die aktuelle IT-Sicherheitsforschung unmissverständlich immer und immer wieder. Deswegen ist es sehr wichtig, nicht nur die technischen und nicht-technischen Schutzmaßnahmen zu entwickeln, sondern auch darauf vorbereitet sein, dass einige Angriffe gelingen werden. Ein Incident-Response-Plan zur Begrenzung des Schadens ist mindestens genauso wichtig wie die Schutzmaßnahmen.
Weitere Informationen zu den wissenschaftlichen Artikeln
[1] Z. Benenson, A. Girard, N. Hintz, N., & A. Luder (2014). Susceptibility to URL-based Internet attacks: Facebook vs. email. In 6th IEEE International Workshop on SEcurity and SOCial Networking (SESOC), pages 604–609.
[2] D. D. Caputo, S. L. Pfleeger, J. D.Freeman, & M. E. Johnson (2014). Going Spear Phishing: Exploring Embedded Training and Awareness. IEEE Security & Privacy Magazine, 12(1), pages 28–38.
Bild: © Rike / pixelio.de
Ein Kommentar zu Gefährliche Links
Schreiben Sie einen Kommentar
Dr. Zinaida Benenson, Friedrich-Alexander-Universität Erlangen-Nürnberg

Dr. Zinaida Benenson ist Diplominformatikerin und promovierte in 2008 zu Sicherheit in drahtlosen Sensornetzen an der Universität Mannheim. 2011 wechselte sie in die Arbeitsgruppe von Prof. Felix Freiling an der Friedrich-Alexander-Universität Erlangen-Nürnberg. Ihre Forschungsgruppe “Human Factors in Security and Privacy” betreibt Forschung und Lehre zum Faktor Mensch in IT-Sicherheit und Datenschutz.

dargestelltes Ergebnis widerspricht referenziertem Artikel !!!
Also, was jetzt?
“Aus den 975 Studenten, die den Link per E‑Mail bekommen haben, haben mehr als 20% (316) auf den Link geklickt. Aus den 280 Studenten, die den Link in einer Facebook-Nachricht bekommen haben, haben 43% (120) den Link angeklickt.”
In dem unter [1] referenzierten Artikel (N=398) steht genau das Gegenteil:
“clicked on link email: 89/158 [56%]; FB: 90/240 [38%]”
siehe https://www1.informatik.uni-erlangen.de/filepool/publications/zina/2014-benenson-sesoc14-url-based-attacks-facebook-email.pdf
Handelt es sich doch um 2 separate Experimente? Wenn ja, warum dann die unterschiedlichen Ergebnisse?
Fragwürdig.