Verein zur Förderung technischer Sicherheit und digitaler Resilienz i. G.

Wenn der Ghostwriter im Doppelbett liegt und der Klettergurt im Quellcode hängt

Zwei Domains, Beispiel einer KRITIS 3.0 Auswertung – und jede Menge digitaler Überraschungen

In einer Welt, in der Websites täglich um Klicks kämpfen, vergisst man leicht, dass im Hintergrund auch Sicherheit dazugehört. Doch manchmal zeigt sich: Der schönste Content nützt nichts, wenn im Quelltext ein Fremder sitzt und heimlich mitschreibt.

KRITIS 3.0 Audit - Bilder sprechen mehr als Worte

Audit 1
Audit 2
Audit 3

Die Ferienwohnung mit unerwartetem Mitbewohner

Der Vorfall

Auf den ersten Blick war alles in Ordnung: Bilder hübsch, Texte sauber, Preise fair. Doch KRITIS 3.0 bemerkte etwas, das kein Mensch je übersehen dürfte – zwischen den Worten „Doppelbett“ und „Einzelbett“ tauchte plötzlich das Stichwort „Ghostwriter“ auf. Das war kein Scherz, sondern eine SQL-Injektion, die über manipulierte Eingabefelder oder unsichere Plugins den Seiteninhalt veränderte.

Die technische Lage

KRITIS 3.0 erkannte mehrere Punkte:
– Veraltete Theme-Version mit bekannter Sicherheitslücke
– Fehlende HTTP-Header (HSTS, CSP, X-Frame-Options etc.)
– Aktiver REST-Endpunkt ohne Authentifizierung

 

Domain A

Im Klartext: Das System war offen genug, um Spam hereinzulassen, aber stabil genug, dass niemand merkte, dass er längst eingezogen war.

Die Kletterseite mit Höhenangst

Domain B
Befund

Der Fund

Die zweite Domain wirkte solide – technisch anspruchsvoll, sauber gestaltet. Doch unter der Oberfläche sah KRITIS 3.0 eine andere Geschichte: 96 Funde insgesamt, davon 1 kritisch und 90 mittlere. Keine Malware, aber viele kleine Schwachstellen, die in Summe gefährlich werden können.

Technische Details

KRITIS 3.0 protokollierte unter anderem:
– Cross-Site-Scripting-Schwachstellen (XSS) im Social-Plugin
– Offene REST-API ohne Zugriffsbeschränkung
– Fehlende Content Security Policy (CSP)
– Keine HSTS-Direktive
– Schwache Administrator-ID (1)

Das ist so, als würde man beim Klettern den Gurt anlegen, aber vergessen, ihn einzuhaken.

Die große Black-Hat-Strategie — Anatomy einer Link-Flut

Backlink

5.347.780 Backlinks sind kein Zufall.

Dieses außergewöhnliche Volumen ist das Ergebnis einer gezielten, großflächig koordinierten Linkaufbau-Strategie, die weit über herkömmliche SEO-Maßnahmen hinausgeht. Unsere Analyse zeigt, dass es sich hierbei um ein komplexes Netzwerk aus automatisierten Prozessen, kompromittierten Websites und manipulativen Strukturen handelt, deren einziges Ziel die künstliche Beeinflussung von Ranking-Signalen ist.

Solche Operationen entstehen in der Regel durch den massenhaften Einsatz von Link-Fabriken, Private Blog Networks (PBNs), Scraping und Content-Injection. Häufig werden dafür gekaperte WordPress-Installationen sowie Expired Domains genutzt, die unbemerkt in diese Netzwerke integriert werden. Durch automatisierte Skripte werden dabei in großem Umfang Backlinks erzeugt, manipulierte Ankertexte gesetzt und legitime Inhalte mit fremden Verweisen vermischt – oft so subtil, dass die Betreiber der betroffenen Seiten davon nichts bemerken.

Besonders kritisch: Selbst seriöse Websites können ungewollt Teil solcher Netzwerke werden – sei es durch unsichere Plugins, fehlende Sicherheitsupdates oder kompromittierte Drittanbieter-Dienste.

Wir werden versuchen, die betroffenen Webmaster über die identifizierten Auffälligkeiten zu informieren. Doch so effektiv Analyse- und Erkennungsframeworks wie KRITIS 3.0 auch sein mögen: Dauerhafte Abhilfe kann nur durch klare rechtliche Regelungen und verbindliche Mindeststandards für IT-Sicherheit und Website-Betrieb geschaffen werden.

Zu diesen Mindeststandards sollten gehören:

  • Agenturen – zum Nachweis verpflichten,  Dokumentation regelmäßige Sicherheitsupdates betreuter Kundendomains 
  • Zentrale Meldepflichten für Website-Kompromittierungen, ähnlich wie bei Datenschutzverletzungen nach DSGVO, um betroffene Betreiber frühzeitig zu warnen.
  • Verpflichtende Aktivierung sicherheitsrelevanter HTTP-Header (HSTS, CSP, X-Frame-Options, Referrer-Policy) auf allen öffentlich erreichbaren Servern.
  • Regelmäßige Schwachstellenanalysen für kommerzielle Websites, öffentliche Einrichtungen und NGOs.
  • Förderprogramme für Sicherheitszertifizierung kleiner und mittlerer Websites, um die Umsetzung der Standards auch außerhalb großer Unternehmen zu gewährleisten.

Solche Mindeststandards würden nicht nur die Ausbreitung von Black-Hat-SEO-Netzwerken eindämmen, sondern auch die digitale Integrität des deutschen Webraums stärken und Betreiber verpflichten, technische Sicherheit als Grundvoraussetzung ihrer Online-Präsenz zu verstehen.

Bevor wir Millionen für Panzer ausgeben, sollten wir erst unsere verwundbaren Systeme absichern – das ist meine Überzeugung. Der nächste Krieg wird nicht auf traditionellen Schlachtfeldern entschieden, sondern im Cyberraum. Unsere kritische Infrastruktur, Energieversorgung und digitalen Netzwerke sind heute die primären Angriffsziele.
Was nützen uns die modernsten Panzer, wenn ein einziger Cyberangriff unsere Stromnetze lahmlegt, unsere Kommunikationssysteme kompromittiert oder 25.000 -75.000 deutsche Unternehmensseiten lahm legt? Cybersicherheit muss Priorität haben – sie ist die Grundlage für jede andere Form der Verteidigung.
– Ich hoffe dieser Weckruf wird verstanden.