Defaults.Exposed › Glossary › Clickjacking

Clickjacking

Also known as: UI-Redress-Angriff, Klick-Entführung

Ein Trick, bei dem Ihre echte Website unsichtbar in der Seite eines Angreifers versteckt wird, sodass Besucher Dinge anklicken, die sie nicht sehen — abgewehrt durch eine einfache Einstellung, die verhindert, dass Ihre Seite eingerahmt wird.

Was es ist

Clickjacking ist eine Täuschung. Ein Angreifer lädt Ihre echte Website unsichtbar über (oder unter) seiner eigenen Seite und lockt einen Besucher dazu, auf etwas zu klicken, das wie eine harmlose Schaltfläche aussieht. In Wirklichkeit landet der Klick auf Ihrer versteckten Seite — bestätigt eine Zahlung, ändert eine Einstellung oder genehmigt etwas, das der Besucher nie beabsichtigt hat. Ihre echte Seite tut genau das, was ihr gesagt wird; der Besucher kann nur nicht sehen, worauf er tatsächlich klickt.

Warum es für Ihr Geschäft wichtig ist

Lässt sich Ihre Seite unbemerkt in die Seite eines anderen einbetten, kann ein Betrüger Ihre Kunden wie Marionetten zu Handlungen auf deren eigenen Konten bewegen — und für den Kunden sieht es so aus, als hätte Ihre Seite das getan. Das ist ein direkter Schlag gegen das Vertrauen und womöglich gegen das Geld Ihrer Kunden.

Die Abwehr ist unkompliziert: eine Einstellung, die Browsern sagt: „Erlaube nicht, dass meine Seite innerhalb des Rahmens einer anderen Seite angezeigt wird.” Sie ist für rechtmäßige Besucher unsichtbar und legt die Technik vollständig lahm. Es gibt selten einen Grund, warum eine gewöhnliche Geschäftsseite woanders einbettbar sein sollte — daher ist dies meist ein sicherer, kostenloser Gewinn.

Woran Sie es erkennen / was zu tun ist

Unser kostenloser Checker sagt Ihnen, ob Ihre Seite gegen das Einrahmen geschützt ist. Ist sie es nicht, zeigt die Clickjacking-Anleitung, wie Sie die schützende Einstellung hinzufügen — eine kleine Änderung, vorgenommen von Ihrem Website-Verantwortlichen, ohne Kosten.

Want to fix this on your own domain? See the free guide →