M 5.173 Nutzung von Kurz-URLs und QR-Codes
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Fachverantwortliche, Leiter IT
Webseiten werden üblicherweise über eine URL (Uniform Resource Locator) angesteuert, die daher auch Web-Adresse genannt wird. Die Komplexität vieler Webseiten führt häufig zu relativ langen Web-Adressen, die schwer zu merken sind und vor allem bei mobilen Endgeräten wie Smartphones nicht in einer Zeile dargestellt werden können. Daher haben sich verschiedene Methoden entwickelt, um den Benutzern die Nutzung von Webadressen zu erleichtern. Prominente Vertreter sind Kurz-URLs und QR-Codes.
Kurz-URLs
Kurz-URLs bezeichnen einen weitverbreiteten Dienst im Internet, bei dem lange URLs durch kürzere URLs ersetzt werden. Kurz-URLs sind vergleichbar mit einem Link-Text in HTML, der auch beliebig kurz gewählt werden kann. Anders als bei solchen Links auf Internetseiten ist die Zuordnung zwischen kurzer und langer URL dabei in einer Datenbank hinterlegt und daher nicht so leicht erkennbar. Gründe für die weite Verbreitung von Kurz-URLs sind unter anderen:
- Durch Kurz-URLs können Zeilenumbrüche von URLs in E-Mails vermieden werden. Durch einen Zeilenumbruch in einer URL bedeutet es meist mehr Aufwand, den zugeschickten Link zu öffnen. Kurz-URLs sind für gewöhnlich so kurz, dass sie nicht umgebrochen werden müssen.
- Um Links in Mikro-Blog-Einträgen wie etwa Tweets von Twitter einzubetten, können keine langen URLs benutzt werden. Mikro-Blogs besitzen eine starke Zeichenbeschränkung von in der Regel 140 Zeichen pro Eintrag, da Mikro-Blogs von den Nutzern für gewöhnlich am Handy und nicht am PC verfasst werden. Daher haben sich Kurz-URLs als die gängige Form von Links in Mikro-Blog-Einträgen durchgesetzt.
- Kurz-URLs erleichtern es, Referenzen und Verweisen in Zeitschriftenartikeln zu folgen. Viele Artikel in papiergebundenen Zeitschriften verweisen auf Quellen aus dem Internet bzw. enthalten Hinweise zu Internetseiten. Anders als bei Online-Artikeln müssen diese per Hand abgetippt werden. Kurz-URLs verringern den Aufwand dafür erheblich.
Neben all diesen Vorteilen können Kurz-URLs aber auch Gefährdungen mit sich bringen (siehe G 5.177 Missbrauch von Kurz-URLs oder QR-Codes). Die Mitarbeiter der Institution sollten für diese Probleme sensibilisiert werden. Alle Mitarbeiter sollten wissen, dass Kurz-URLs mit Vorsicht zu genießen sind.
Um nicht auf andere als die gewünschten Webseiten weitergeleitet zu werden, können die Vorschaudienste von Kurz-URL-Anbietern genutzt werden. Dort wird einerseits die dahinter verborgene Adresse angezeigt und andererseits ein Bild der Seite gezeigt. Diese Funktion gibt es auch direkt als Erweiterung für gängige Internetbrowser. Die Vorschaufunktion von Kurz-URLs sollte möglichst immer genutzt werden. Anbieter von Kurz-URLs ohne eine Vorschaufunktion sollten nicht verwendet werden. Allerdings kann die Vorschaufunktion durch iterative Kurz-URLs ausgehebelt werden. Iterativ heißt eine Kurz-URL, wenn sie selbst auf eine andere Kurz-URL (statt auf eine echte Seite) verweist. Es sollten daher möglichst nur Anbieter von Kurz-URLs benutzt werden, welche iterative Kurz-URLs verbieten. Schwerer zu unterbinden sind iterative Kurz-URLs über mehrere Anbieter hinweg. Da iterative Kurz-URLs keinen praktischen Nutzen außer für Angreifer haben, sollten Benutzer iterative Kurz-URLs generell nicht anklicken.
Das Risiko, durch Kurz-URLs auf ungewünschte oder gefährliche Seiten im Internet geleitet zu werden, kann nur verringert, aber nicht ausgeschlossen werden. Damit schädliche Auswirkungen vermieden werden, müssen unbedingt die aktuellen Sicherheitsupdates für Browser und Betriebssystem eingespielt sein sowie ein Virenscanner aktiv sein.
Zusätzlich zu diesen Maßnahmen kann eine Institution entscheiden, dass Kurz-URLs ein zu großes Risiko darstellen und daher nicht verwendet werden dürfen. In diesem Fall kann der Zugang zu Kurz-URL-Dienstanbieter gesperrt werden, z. B. über entsprechende Filterregeln.
Nutzung von QR-Code
Um Anwendern das Abtippen von Kurz-URLs, WLAN-Zugangsdaten, Telefonnummern und anderen Informationen abzunehmen, werden vermehrt QR-Codes (Quick Response Codes) verwendet. Hierbei werden Daten in einer Abbildung, einem meist quadratischen Pixelmuster, so kodiert, dass sie zuverlässig von IT-Systeme ausgelesen werden können. Hierfür ist es erforderlich, über Endgeräte wie Smartphones mit entsprechender Ausstattung den QR-Code abzufotografieren oder einzuscannen, um die hierin kodierten Informationen auslesen zu können.
Die Spezifikation von QR-Code ist offen gelegt und QR-Codes können lizenz- und kostenfrei verwendet werden, so dass sie mittlerweile stark verbreitet sind. Klassische QR-Codes können Informationen bis zu 2.953 Byte beinhalten. QR-Codes verfügen über eine hohe Fehlertoleranz, je nach Fehlerkorrektur-Level können zwischen 7% und 30% beschädigter Informationen eines QR-Codes rekonstruiert werden. Neben den verbreiteten QR-Codes gibt es Weiterentwicklungen, in denen Informationen (teilweise) verschlüsselt abgelegt werden, die besonders kleine Abmessungen haben oder in denen Bilder, Texte oder Logos erkennbar sind.
Die in QR-Codes abgelegten Informationen können nicht ohne Weiteres von den Benutzern gelesen werden. Dadurch ergeben sich, ähnlich wie bei Kurz-URLs, einige Gefährdungen (siehe G 5.177 Missbrauch von Kurz-URLs oder QR-Codes). Ein Benutzer könnte beispielsweise auf seinem Endgerät einen QR-Code einlesen, der auf über die darin kodierte URL auf eine mit Schadsoftware infizierte Webseite verweist. Daher muss darauf geachtet werden, dass auf dem Endgerät nach dem Einlesen eines QR-Codes keine weiteren Aktionen automatisch ausgeführt werden. Bei einer URL sollte also zuerst die dahinter verborgene Adresse angezeigt werden, bevor die entsprechende Web-Seite geöffnet wird. Generell sollte nach dem Einlesen auch keine Telefonnummer automatisch angerufen oder eine SMS versendet werden, Benutzer sollten ausgehende Anrufe erst bestätigen, bevor gewählt wird.
Das Sicherheitsmanagement sollte deswegen die Mitarbeiter über den Umgang mit QR-Codes aufklären. Außerdem sollten auf den Endgeräten nur QR-Applikationen eingesetzt werden, bei denen nach dem Einlesen von QR-Codes keine Aktionen automatisch ausgeführt werden, sondern diese vorher vom Benutzer bestätigt werden müssen.
Sollen Informationen für einen kleinen Benutzerkreis veröffentlicht werden, kann überlegt werden, die hierin abgelegten Informationen zu verschlüsseln. Beispielsweise können hierfür Secure-QR-Codes (SQRC) verwendet werden. Dafür müssen die eingesetzten Lesegeräte beziehungsweise IT-Systeme diese natürlich auch dekodieren können.
Prüffragen:
-
Sind die Mitarbeiter für die Kurz-URL-Problematik sensibilisiert?
-
Werden die Inhalte von Kurz-URLs und QR-Codes vor der Ausführung angezeigt?