Definition

Clickjacking ist eine Angriffstechnik, bei der Angreifer unsichtbare oder getarnte Bedienelemente über scheinbar harmlose Webseiteninhalte legen, um Nutzerinnen und Nutzer zu unbeabsichtigten Klicks zu verleiten, die tatsächlich andere, versteckte Aktionen auslösen.

Erklärung / Hintergrund

Bei einem Clickjacking-Angriff wird eine eigentlich vertrauenswürdige Webseite oder ein Bedienelement, etwa ein Bestätigungsbutton, unsichtbar über oder unter einer scheinbar harmlosen Oberfläche eingebettet. Nutzerinnen und Nutzer glauben, auf einen bestimmten Button zu klicken, lösen dabei jedoch unbemerkt eine völlig andere, potenziell schädliche Aktion aus.

Für Unternehmen ist Clickjacking relevant, weil auf diese Weise unbemerkt Berechtigungen erteilt, Einstellungen verändert oder sogar Zahlungen ausgelöst werden können, ohne dass die betroffene Person die tatsächliche Handlung bewusst wahrnimmt. Der Angriff nutzt gezielt das Vertrauen in eine bekannte, scheinbar sichere Oberfläche aus.

Für Architektur- und Ingenieurbüros ist dies relevant, weil Mitarbeitende beim täglichen Zugriff auf Projektplattformen, Cloud-Dienste oder E-Mail-Konten unbemerkt Opfer eines Clickjacking-Angriffs werden könnten, etwa wenn dadurch ungewollt Freigaben erteilt oder Sicherheitseinstellungen verändert werden, ohne dass dies unmittelbar auffällt.

Abzugrenzen ist Clickjacking von Social Engineering, das primär auf psychologischer Täuschung durch Nachrichten beruht, sowie vom Captcha, das gezielt Bots statt echte Nutzerklicks erkennen soll. Account freezing kann als Sofortmaßnahme relevant werden, sollte durch Clickjacking bereits ein Konto kompromittiert worden sein.

Praxisrelevanz

Für Sie als Geschäftsführerin oder Geschäftsführer eines Planungsbüros ist Clickjacking relevant, weil dieser Angriff besonders unauffällig abläuft und selbst aufmerksamen Mitarbeitenden schwer auffällt, da die eigentliche Webseite oder Oberfläche vertrauenswürdig und unverändert erscheint. Wichtige technische Schutzmaßnahmen liegen größtenteils in der Verantwortung Ihres Software-Anbieters oder IT-Dienstleisters, etwa durch entsprechende Sicherheitseinstellungen auf genutzten Webseiten und Plattformen. Als Geschäftsführung sollten Sie bei der Auswahl von Software gezielt nachfragen, ob Schutzmaßnahmen gegen Clickjacking implementiert sind. Ergänzend hilft es, Mitarbeitende zu sensibilisieren, bei ungewöhnlichem Verhalten einer bekannten Webseite, etwa unerwarteten Bestätigungsdialogen, besonders aufmerksam und vorsichtig zu reagieren und Auffälligkeiten umgehend zu melden.

Praxisbeispiel

Ein Mitarbeiter eines Architekturbüros klickt auf einer vermeintlich harmlosen externen Webseite auf einen Button, um ein kostenloses Zusatztool herunterzuladen. Tatsächlich war über diesem sichtbaren Button unsichtbar ein Bestätigungsfeld einer geöffneten Cloud-Anwendung platziert worden, wodurch der Mitarbeiter unbemerkt eine weitreichende Freigabe für den Zugriff auf einen freigegebenen Projektordner erteilt. Erst eine routinemäßige Überprüfung der Freigabeeinstellungen durch die IT-Abteilung deckt die ungewöhnliche, nicht autorisierte Berechtigung auf und macht den Vorfall überhaupt erst sichtbar. Die betroffene Freigabe wird umgehend widerrufen, und das Büro führt künftig regelmäßige Kontrollen aller erteilten Zugriffsrechte ein, um vergleichbare Vorfälle frühzeitig zu erkennen und dauerhaft zu vermeiden.

FAQ

Was ist Clickjacking?

Clickjacking ist eine Angriffstechnik, bei der unsichtbare Bedienelemente über harmlose Webseiteninhalte gelegt werden, um Nutzer zu unbeabsichtigten Klicks mit versteckten Folgen zu verleiten.

Warum ist Clickjacking so schwer zu erkennen?

Die sichtbare Webseite oder Oberfläche erscheint unverändert und vertrauenswürdig, während die eigentliche, schädliche Aktion durch ein unsichtbares Element im Hintergrund ausgelöst wird.

Warum ist Clickjacking für Architektur- und Ingenieurbüros relevant?

Mitarbeitende könnten beim Zugriff auf Projektplattformen oder Cloud-Dienste unbemerkt ungewollte Freigaben erteilen oder Sicherheitseinstellungen verändern, ohne dies zu bemerken.

Wie schützt man sich vor Clickjacking?

Der technische Schutz liegt größtenteils bei Software-Anbietern, weshalb bei deren Auswahl gezielt nach entsprechenden Sicherheitsmaßnahmen gefragt werden sollte, ergänzt durch aufmerksame Mitarbeitende.

Wie lassen sich unbemerkte Folgen eines Clickjacking-Angriffs erkennen?

Regelmäßige Überprüfungen erteilter Zugriffsrechte und Freigaben helfen, ungewöhnliche, nicht autorisierte Berechtigungen frühzeitig aufzudecken und zu widerrufen.

Verwandte Begriffe

Social Engineering – nutzt im Gegensatz zum technischen Clickjacking primär psychologische Täuschung durch Nachrichten.

Captcha – erkennt gezielt automatisierte Bots, während Clickjacking echte, menschliche Klicks gezielt umleitet.

Account freezing – kann als Sofortmaßnahme nötig werden, sollte durch Clickjacking ein Konto kompromittiert worden sein.

Cyberversicherung – deckt je nach Vertrag finanzielle Folgen ab, die durch einen Clickjacking-Angriff entstehen können.