View Categories

Clickjacking

3 min read

Clickjacking auch als UI-Redressing bezeichnet ist eine Täuschungstechnik, bei der ein Angreifer eine legitime Webseite oder deren Elemente mit einer unsichtbaren oder manipulierten Schicht überlagert, sodass ein Nutzer unbeabsichtigt Aktionen auf der Zielseite ausführt (z. B. Klicks bestätigen, Einstellungen ändern oder Transaktionen auslösen).

Wie funktioniert Clickjacking?

Angreifer stellen eine bösartige Seite bereit, die die Zielseite (z. B. eine legitime Online Banking Seite oder Social Media Account) in einem iFrame oder in einem anderen eingebetteten Container lädt. Durch CSS/HTML-Tricks oder unsichtbare Overlays wird die eingebettete Seite so positioniert, dass sichtbare Schaltflächen auf der Angreifer Seite genau über sensible Steuerelemente der Zielseite liegen. Klickt der Benutzer auf die scheinbar harmlose Schaltfläche, löst er in Wahrheit eine Aktion auf der Zielseite aus. Oft werden Social Engineering Methoden (z. B. Lockangebote, gefälschte Buttons, E-Mails) genutzt, um Nutzer auf die Angreifer-Seite zu locken.

Typische Clickjacking Angriffe:

  • Unbeabsichtigte Transaktionen: Ein Klick, der wie das Herunterladen eines Dokuments aussieht, initiiert im Hintergrund eine Zahlung.
  • Likejacking: Nutzer liken / teilen ungewollt Inhalte in sozialen Netzwerken.
  • Permission Abuse: Aktivierung von Kamera/Mikrofon, Freigabe von Standortdaten oder Erteilung von App-Berechtigungen.
  • Cookiejacking: Zugriff auf Cookies oder lokale Dateien durch kombinierte Schwachstellen.

Ursachen fĂĽr Clickjacking

Die Angriffsfläche ergibt sich, weil Browser standardmäßig erlauben, dass Seiten in iFrames eingebettet werden, und weil Web-UIs häufig Interaktionen ohne zusätzliche Bestätigung ausführen. Fehlen serverseitige Schutzmechanismen oder sichere UI-Designs, lässt sich die Seite leicht in fremde Layouts integrieren und damit missbrauchen.

Clickjacking-Risiken erkennen:

  • Manuelle Tests: Mittels einfacher HTML-Testseite lässt sich prĂĽfen, ob eine Seite in einem fremden iFrame geladen werden kann.
  • Automatisierte Scans / WAF-Logs: Security-Scanner und Web-Application-Firewalls erkennen ungewöhnliche Einbettungsversuche oder verdächtige Frame Konstellationen.
  • Clientseitige Sichtbarkeitstests: Skripte wie die Intersection Observer API können erkennen, ob kritische Elemente sichtbar sind oder ĂĽberdeckt werden.

Mögliche Schutzmaßnahmen

FĂĽr Entwickler

    • X-Frame-Options (HTTP-Header)
      • DENY — verhindert jegliches Framing.
      • SAMEORIGIN — erlaubt Framing nur von derselben Origin.

Wird von den meisten Browsern unterstützt, ist jedoch älterer Standard.

  • Content Security Policy (CSP) frame-ancestors
    Mit Content Security Policy frame-ancestors lässt sich präzise steuern, welche Domains einbetten dürfen. Browser bevorzugen in der Regel frame-ancestors im Gegensatz zu X-Frame-Options
  • SameSite Cookies
    Durch SameSite Cookies kann verhindert werden, dass Sitzungscookies bei Anfragen aus Drittkontexten automatisch mitgesendet werden das reduziert die Wirkung von Clickjacking, weil viele Aktionen ohne gĂĽltige Cookies fehlschlagen.

FĂĽr Nutzer

  • Explizite Bestätigungen: FĂĽr sicherheitsrelevante Aktionen zusätzliches Passwort oder MFA (Multi-Faktor-Authentifizierung) verlangen, statt allein auf einen Klick zu vertrauen. 
  • Vorsicht vor unbekannten Links, fragwĂĽrdigen Pop-ups oder Seiten, die zum schnellen Klicken verleiten.
  • Bei kritischen Vorgängen (Buchungen, Zahlungen, Zugangsdaten) nach Möglichkeit Re-Authentifizierung verlangen.

Fazit

Clickjacking zeigt, wie leicht sich Nutzer durch visuelle Täuschung zu ungewollten Aktionen verleiten lassen. Der Angriff nutzt keine technischen Lücken, sondern menschliches Vertrauen und kann somit gravierende Folgen haben, etwa bei Social Media Accounts oder Online Banking Seiten.

Mit den richtigen Schutzmaßnahmen wie Sicherheitsheadern X-Frame-Options oder Content Security Policy frame-ancestors lässt sich verhindern, dass fremde Seiten eigene Inhalte in unsichtbaren Frames einbetten. Auch zusätzliche Bestätigungen bei sensiblen Vorgängen erhöhen die Sicherheit.

Für Nutzer gilt: Browser aktuell halten, misstrauisch bei unbekannten Seiten bleiben und sich regelmäßig aus wichtigen Konten abmelden. Wer diese Grundregeln beachtet, ist vor Clickjacking in der Regel gut geschützt.