Gajus - Fotolia
Das unterschätzte Risiko von Short-Links
Ob sich bei den vielfältig eingesetzten Kurz-URLs eine sichere Domain oder eine potenziell gefährliche Webseite hinter den Short-Linksverbirgt, ist nicht immer ersichtlich.
Short-Links erfüllen eine Vielzahl von Funktionen, etwa für das Tracking in Newslettern und in sozialen Netzwerken. In QR-Codes integriert, können sie einfach mit Smartphones gescannt werden. Doch die Vorteile kommen nicht ohne gewisse Sicherheitsrisiken einher. Phishing-Angriffe, die gefälschte Webseiten nutzen, um sensible Daten zu stehlen, sind eine der Hauptgefahren. Drive-by-Malware, bei der bösartige Software ohne das Wissen des Nutzers heruntergeladen wird, wird ebenso häufig unterschätzt. Darüber hinaus kann ein potenzieller Vertrauensverlust in die Marke entstehen, wenn Nutzer auf gefährliche Inhalte stoßen, die dann mit der Marke in Verbindung gebracht werden.
Linklänge und ihre Bestimmungsfaktoren
Die Länge eines Links hängt von zahlreichen Parametern ab, darunter die URL-Struktur, die Länge des Domain-Namens, der Ziel-Pfad sowie etwaige Tracking-Informationen. UTM-Tags in einem Link messen die Effektivität von Werbekampagnen und können Links auf 200 bis 500 Zeichen verlängern, was sie unübersichtlich macht. Kurz-URL-Dienste wie Bit.ly und TinyURL spielen hierbei eine nützliche Rolle, da sie diese langen und manchmal unpraktischen Links in kurze und benutzerfreundliche URLs umwandeln. Diese Dienste sind besonders beliebt in sozialen Netzwerken und bei mobilen Anwendungen, wo der Platz begrenzt ist. Allerdings erfassen diese Dienste nicht nur Daten für die Ersteller des Kurzlinks, sondern sie sammeln auch eigene Statistiken über die Nutzung der Links, was zusätzliche Datenschutzbedenken aufwirft. Nutzer, die auf einen Short-Link klicken, sollten sich daher der potenziellen Risiken bewusst sein, die mit der Verwendung von Kurz-URLs verbunden sind.
Unsichtbare Gefahren hinter Kurz-URLs
Kurz-URLs stellen nicht nur eine potenzielle Bedrohung für die Privatsphäre dar, sondern können auch die Sicherheit von Geräten und Daten erheblich gefährden. Eine grundlegende Sicherheitsmaßnahme sollte darin bestehen, Links stets vor dem Anklicken zu überprüfen. Bei Kurz-URLs jedoch kann man im Voraus nie genau wissen, ob sie auf eine sichere Domain führen. Angreifer erstellen harmlose Kurzlinks, die auf gefährliche Webseiten umleiten. Zero-Click-Schwachstellen im Browser können ausgenutzt werden, wodurch ein System sofort infiziert wird. Die Gefahr ist groß, da Schadsoftware ohne Benutzerinteraktion heruntergeladen wird – daher ist Vorsicht bei der Nutzung von Kurz-URLs geboten.
URL-Shimming: Eine wachsende Bedrohung
Angreifer nutzen auch die Flexibilität von Kurz-URL-Diensten, um die Zieladresse bei Bedarf kurzfristig und in Echtzeit zu ändern. Es gibt dafür spezielle Services, die beispielsweise für Musiker die Ziel-URL vor und nach jedem Konzert aktualisieren. Solche Smart Music Links sind spezialisierte Links, die Musikern und Labels ermöglichen, mit einem einzigen Link auf alle wichtigen Streaming- und Verkaufsplattformen zu verweisen. Diese Links sind besonders nützlich, da sie mehrere Anforderungen ans Marketing erfüllen, Reportings- und Echtzeitanalysen bieten und den Zugang zur Musik auf verschiedenen Plattformen erleichtern. Diese Technik, bekannt als URL-Shimming, ermöglicht es, die Zieladresse eines Links nachträglich zu modifizieren, ohne dass der ursprüngliche Link geändert werden muss. Dadurch können Phishing-Seiten, die schnell erkannt und gesperrt wurden, durch neue Adressen ersetzt werden, während die ursprünglichen E-Mails mit den Kurzlinks weiterhin gültig bleiben. Dies erschwert die Erkennung und Blockierung bösartiger Inhalte und untergräbt das Vertrauen in sichere Links und Domains. Diese ständige Anpassungsfähigkeit erschwert es IT-Verantwortlichen, eine dauerhafte Lösung zu finden. Die Konsequenzen: Nicht nur wird die Erkennung und Blockierung bösartiger Inhalte erschwert; es wird auch das Vertrauen der Nutzer in scheinbar sichere Links und vertrauenswürdige Domains untergraben. Die ständige Überwachung kostet IT-Abteilungen zusätzliche Ressourcen und Zeitaufwand.
Man-in-the-Middle-Angriffe durch Link Shortener
Neben der dynamischen Anpassung von Kurz-URLs durch URL-Shimming gibt es weitere ernsthafte Bedrohungen durch bestimmte Link Shortener. Einige dieser Tools, wie Sniply, bieten nicht nur verkürzte Links, sondern auch die Möglichkeit, die Aktivitäten der Nutzer auf der Zielwebseite zu verfolgen. Bei einem solchen Man-in-the-Middle-Angriff wird der Datenverkehr über einen zwischengeschalteten Dienstknoten geleitet. Dies kann Anmeldedaten, private Nachrichten aus sozialen Netzwerken und andere sensible Informationen umfassen. Solche Praktiken stellen erhebliche Datenschutz- und Sicherheitsrisiken dar, da abgefangene Informationen ohne Wissen der Nutzer weiterverwendet oder verkauft werden können. IT-Sicherheitsexperten müssen sich auch dieser Bedrohungen bewusst sein und geeignete Maßnahmen ergreifen, um den Schutz der Nutzerdaten zu gewährleisten.
„Unternehmen sollten die Verwendung von Kurz-URLs, QR-Codes und anderen Maskierungsmethoden proaktiv thematisieren und ihre legitimen Domains als vertrauenswürdige Anker etablieren. Durch transparente Kommunikation und umfassende Schulung der Mitarbeiter im sicheren Umgang mit URLs kann das Risiko erheblich minimiert werden.“
Christian Dallmayer, united-domains
Die Rolle der Domain als Vertrauensanker
Eine robuste Domain-Strategie sollte Teil einer jeden IT-Sicherheitsstrategie sein, um das Vertrauen von Nutzern auch von Partnern oder Lieferanten zu sichern. Unternehmen sollten daher eine klare Domain-Strategie verfolgen und ihre verwendeten Domains transparent kommunizieren. Der Kurznachrichtendienst X (ehemals Twitter) hat dies mit der Integration von t.co-Short-URLs umgesetzt, was das Vertrauen der Nutzer in diese Kurz-Links gestärkt hat. Ebenso setzt Threads von Meta auf ähnliche Methoden, um die Sicherheit und das Vertrauen der Nutzer zu erhöhen. Unternehmen können durch die Nutzung einer eigenen, kurzen Domain, wie beispielsweise sz.de für die Süddeutsche Zeitung oder ud.ag für united-domains, eine vertrauensbildende Maßnahme ergreifen und somit ihre Markenidentität stärken. IT-Verantwortliche sollten ihre Mitarbeiter schulen, um das Bewusstsein für sichere Linkpraktiken zu stärken. Die Schulung sollte technisches Wissen über URL-Strukturen und Sicherheitsmechanismen sowie praktische Übungen zur Identifikation verdächtiger Links umfassen. Ein fundiertes Verständnis der Bedrohungen und der geeigneten Gegenmaßnahmen ist essenziell, um die Risiken durch unsichere Links zu minimieren. Neben technischen Schulungen sollten regelmäßige Security Briefings und Workshops abgehalten werden, um das Bewusstsein für aktuelle Bedrohungen zu schärfen und die Mitarbeiter auf den neuesten Stand der Sicherheitstechnik zu bringen.
Schulung und Sensibilisierung als Schlüssel zur IT-Sicherheit
Nutzer und Mitarbeiter können durch gezielte Maßnahmen lernen, sichere von unsicheren Links zu unterscheiden. Ein wichtiger Schritt ist es, die Quelle und den Link stets gründlich zu prüfen. Links von bekannten und vertrauenswürdigen Quellen sollten bevorzugt werden, während unbekannte oder kryptische Domains mit äußerster Vorsicht behandelt werden sollten. Dringende Aufforderungen, einen Link zu klicken, sollten immer skeptisch hinterfragt werden. Moderne Browser bieten Vorschaufunktionen, um das Ziel der URL vorab zu überprüfen, was das Risiko durch bösartige Links minimiert und die Sicherheit im digitalen Raum erhöht. Technologien wie Secure DNS und erweiterte Vorschaufunktionen erhöhen die Sicherheit zusätzlich. IT-Führungskräfte sollten eine Kultur der Wachsamkeit und des kontinuierlichen Lernens fördern, um die Resilienz ihres Unternehmens gegenüber Phishing-Angriffen und anderen Bedrohungen zu stärken. Die Schulung und Sensibilisierung der Mitarbeiter ist ein kritischer Bestandteil einer umfassenden IT-Sicherheitsstrategie.
Fazit
Unternehmen sollten die Verwendung von Kurz-URLs, QR-Codes und anderen Maskierungsmethoden proaktiv thematisieren und ihre legitimen Domains als vertrauenswürdige Anker etablieren. Durch transparente Kommunikation und umfassende Schulung der Mitarbeiter im sicheren Umgang mit URLs kann das Risiko erheblich minimiert werden. Eine klare und sichtbare Domain-Strategie trägt wesentlich dazu bei, das Vertrauen der Nutzer zu stärken und die Integrität des Unternehmens zu gewährleisten. Letztlich sind es die gut informierten und geschulten Mitarbeiter und Nutzer, die maßgeblich zur Sicherheit beitragen. Eine proaktive und informierte Haltung gegenüber Kurz-URLs und maskierten Links ist unerlässlich, um den vielfältigen Bedrohungen wirksam entgegenzutreten.
Über den Autor:
Christian Dallmayer ist Manager bei der united-domains AG. Christian Dallmayer verfügt über mehr als 15 Jahre Erfahrung im Web-, Technologie- und E-Commerce-Bereich, darunter bei der Q&A-Plattform gutefrage.net, dem Softwareunternehmen equinux AG und dem Shopping-Anbieter 1-2-3.tv. Er hat einen Abschluss als Diplom-Politologe (Univ.) mit Schwerpunkt Politikwissenschaft, Marketing, Methoden der empirischen Sozialforschung an der Otto-Friedrich-Universität Bamberg. Seit 2022 ist er als Manager bei der united-domains AG für die Bereiche B2B und B2C verantwortlich.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
