Im Internet machen Nutzerinnen und Nutzer im privaten, geschäftlichen oder behördlichen Umfeld leicht Tippfehler bei der Eingabe von Internetadressen (Domains) für Webseiten oder E-Mail-Adressen. Angreifer nutzen dies aus, indem sie bei IT-Providern Internetadressen registrieren lassen, die den häufigsten Tippfehlern entsprechen und in Links leicht übersehen werden. Dieses Phänomen wird als Typosquatting bezeichnet (von engl. „typo“ = „Tippfehler“ und „squatting“ = etwas besetzen oder in Beschlag nehmen) und kann zu Risiken für die Rechte und Freiheiten der betroffenen Personen führen.
Das folgende Beispiel zeigt, wie Typosquatting aussehen kann.
Original-Internetadresse der Website: https://hessen.de
Typosquatting-Adresse der Website: https://hesssen.de
Hier wurde eine Typosquatting-Adresse der Webseite hessen.de mit drei 's' registriert.
Unabhängig von diesem Beispiel kann die Registrierung von Typosquatting-Adressen aus unterschiedlichen Motiven erfolgen. So können Angreifer beispielsweise rein monetäre Interessen verfolgen, indem sie versuchen, die Typosquatting-Adressen teuer an die Inhaber der ursprünglichen Internetadressen zu verkaufen. Die Registrierung von Typosquatting-Adressen kann aber auch mit kriminellen Absichten erfolgen.
Warum ist Typosquatting gefährlich?
Typosquatting birgt Gefahren für Internetnutzende, insbesondere im Hinblick auf den Datenschutz. So können Nutzerinnen und Nutzer Opfer von Passwort- und Identitätsdiebstahl werden: Teils ist die unter einer Typosquatting-Adresse erreichbare Webseite dem Original nachgebildet, um Nutzende zu täuschen. Gelangen Nutzende dann durch Tippfehler oder falsche Links auf solche Seiten, halten sie die Webseite für vertrauenswürdig. Werden dann Anmeldedaten eingegeben, so werden diese den Angreifer offengelegt. Angreifer können daraufhin auf Konten Nutzender und auf dort gespeicherte personenbezogene Daten zugreifen.
Durch fehlgeleitete E-Mails können außerdem personenbezogene Daten preisgeben werden. Dies führt zu Risiken für die Rechte und Freiheiten der betroffenen Personen. Zudem wird beim Versenden von E-Mails an Typosquatting-Adressen die Vertraulichkeit des Inhalts verletzt.
Ferner können beim Aufruf von Typosquatting-Webseiten Schwachstellen verwendeter Browser ausgenutzt und Schadsoftware auf den Rechnern Nutzender ausgeführt werden.
Werden im geschäftlichen oder behördlichen Umfeld aufgrund von Typosquatting personenbezogene Daten an Unbefugte weitergegeben, ist von einem Datenschutzvorfall auszugehen. Wenn dies voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat, muss die jeweilige Organisation als Verantwortliche den Vorfall gemäß Art. 33 DSGVO an die zuständige Datenschutzaufsichtsbehörde melden. Bei einem hohen Risiko sind die betroffenen Personen gemäß Art. 34 DSGVO unverzüglich zu benachrichtigen.
Was können Sie als Nutzende gegen Typosquatting tun?
Zum Schutz gegen Typosquatting können Sie einige Maßnahmen ergreifen:
1. Überprüfen Sie Internetadressen und E-Mail-Adressen auf Tippfehler
Überprüfen Sie nach der Eingabe der Internetadresse der Webseite, die Sie aufrufen möchten, ob diese korrekt ist. Gleiches gilt für eingegebene E-Mail-Adressen. Achten Sie auf Tippfehler bei der Eingabe, wie z. B. doppelte Buchstaben, nebeneinanderliegende Tasten auf der Tastatur und Buchstabendreher. Verwenden Sie ein Adressbuch, wie es z. B. viele Office-Anwendungen anbieten. Das reduziert die Gefahr von Tippfehlern.
2. Überprüfen Sie die Authentizität der Internetadresse
Wenn Sie Internetadressen für Webseiten oder E-Mail-Adressen aus fremden Quellen übernehmen, achten Sie darauf, dass diese Quellen vertrauenswürdig sind und der Link tatsächlich zur Original-Webseite bzw. zur richtigen E-Mail-Adresse gehört. Dazu können Sie Suchmaschinen verwenden oder Internetadressen mit Informationen aus offiziellen Veröffentlichungen vergleichen.
3. Im geschäftlichen und behördlichen Umfeld wenden Sie sich bitte an Ihren Verantwortlichen
Wenn Sie Typosquatting vermuten, wenden Sie sich bitte an die in Ihrer Organisation für solche Fälle benannte Person. Diese kann prüfen, ob Ihre Organisation im konkreten Fall weitere technische und organisatorische Maßnahmen ergreifen sollte.
Einen vollständigen Schutz gibt es nicht. Aber durch Sorgfalt und kritisches Hinterfragen können Sie die Wahrscheinlichkeit verringern, dass sie Opfer eines Typosquatting-Angriffs werden.