Link-Scanner sind eine kritische Komponente bei verschiedenen Sicherheitslösungen, die eine Untersuchung eines verdächtigen Weblinks erfordern. Diese Lösungen verwenden Web-Clients, um den Inhalt eines Links abzurufen und vorab auf schadhafte Informationen und Inhalte zu testen. Doch es gibt Techniken für den Angreifer, der Entdeckung durch Link-Scanner zu entgehen.
Passives Fingerprinting kann einem Cyber-Angreifer eine saubere und einfache Umgehungsstrategie ermöglichen.
Passives Fingerprinting bezeichnet das Auslesen von Informationen, die beim Aufrufen einer Webressource durch einen Webclient technisch bedingt durch die verwendeten Protokolle übermittelt werden. Hierunter fallen beispielsweise mitgeschickte Header, die Browsertyp, -version und Betriebssystem sowie Netzwerk und Protokollinformationen verraten. Beim passiven Web-Client-Fingerprinting werden die Informationen der HTTP-Anfrage gemessen und analysiert. Im Mittelpunkt stehen dabei Eigenschaften und Merkmale auf jeder Ebene der eingehenden Anfrage – von der physischen bis zur Anwendungsschicht. Anhand der erhaltenen und analysierten Informationen können Angreifer Maßnahmen zur Umgehung des Web-Clients entwickeln. Das Interessante dabei ist, dass ein Server, der passives Fingerprinting durchführt, idealerweise nicht von einem normalen Server zu unterscheiden ist und unverdächtig bleibt.
Ein Angreifer, der Schadsoftware ausliefert (z.B. über Download-Links in E-Mails) kann also auf seinem Webserver die verbindenden Web-Clients durch passives Fingerprinting analysieren und die Requests der Link-Scanning-Tools von den Aufrufen der eigentlich Betroffenen unterscheiden. Im Zuge einer Untersuchung des Security-Anbieters Akamai wurde in einem Experiment untersucht, ob und wie die wichtigsten Link-Scanning-Sicherheitslösungen durch passives Fingerprinting erkannt werden können. Alle getesteten Produkte wiesen mindestens ein Offenlegungsmerkmal auf, die Angreifern nutzen können oder diesen bereits nutzen.
Hier einige Beispiele der gefundenen Fingerprint-Merkmale:
1. Veraltete Browser-Versionen
Die meisten Scanning-Lösungen haben schon vor Jahren erkannt, dass sie einen Web Browser simulieren müssen, indem sie sich im „User-Agent“-Header dafür ausgeben. Leider wird in der Software-Entwicklung Code oft nicht weiter beachtet, wenn er erwartungsgemäß und problemlos funktioniert. Das Ergebnis ist, das viele Link-Scanning-Produkte seit Jahren veraltete Browser Versionen benutzen. In der Untersuchung hat sich ein Produkt beispielsweise als Internet Explorer 6 ausgegeben, obwohl diese Browser-Variante seit dem 12. Januar 2016 nicht mehr unterstützt wird. Für den Angreifer sind das sehr einfach auszuschließende Fälle.
2. Hart codierter Referer-Header
Wenn ein User im Browser auf einen Link klickt, fügt der Browser die Quelle des Aufrufs im sogenannten „HTTP-Referer-Header“ hinzu. Damit wissen Website und Webserver woher der Aufruf kam. Einige Link-Scanning-Anbieter fälschen diesen Header beim Aufruf des zu prüfenden Links, um einen echten Browser zu simulieren. Angenommen, der bösartige Link führt zu www.malicious.server.com, dann haben einige Anbieter mit ihrem Scanning-Aufruf den Referer-Header auf www.google.com/search?q=malisious.server.com gesetzt. Obwohl der Gedanke dahinter nicht schlecht ist, ist dieser Referer-Header viel zu spezifisch, um echt zu sein. Beispielsweise fehlt der Referer-Header wenn ein Benutzer im Kontext des E-Mail-Desktop-Clients von Outlook auf einen Link klickt, da Outlook dies nie mitschickt. Wenn ein Angreifer weiß, dass das potenzielle Opfer Outlook verwendet, dann weiß er auch, dass jede Anforderung, die einen Referer-Header enthält, ein Sicherheitstool ist.
3. Offenlegung von AS
Ein Autonomous System (oft mit AS oder ASN abgekürzt) ist eine Entität, die IP-Adressbereiche an einen Netzbetreiber bindet. Hier gibt es zwei mögliche Probleme, die aus der Überprüfung der IP-AS-Identität des Clients entstehen. Das erste betrifft große Sicherheitsanbieter, die ihre eigenen AS betreiben. Datensätze, die eine IP mit einem AS verknüpfen, sind öffentlich, so dass ein Angreifer den Ursprungs-AS einer eingehenden Anfrage überprüfen und entsprechend reagieren kann.
Code Snippet aus einem Phishing-Kit, das IP-Ranges blacklisted.
(Bild: Akamai Technologies)
Ein zweites mögliches Problem ist eine IP, die mit Cloud-Diensten wie Amazon AWS oder den entsprechenden Diensten von Google und Microsoft verbunden ist. Sicherheitsdienste sind häufig gezwungen, diese Dienste zu verwenden, um große Mengen von Anforderungen auf skalierbare Weise zu analysieren, was immense Ressourcen erfordert. Die Verwendung einer mit diesen Anbietern verknüpften IP-Adresse ist jedoch ein starker Hinweis für einen Client, der kein echter Benutzer ist, da die überwiegende Mehrheit der potenziellen Opfer keinen Cloud-Dienst betreibt oder solche Dienste nicht als Gateway zum Internet verwendet. Dieses Problem kann zumindest teilweise durch die ordnungsgemäße Verwendung von Proxys behoben werden.
Ein ähnliches Verhalten wurde bereits bei einigen Angriffstools festgestellt, die Aufrufe von einige IP-Ranges vollständig ignorieren. Im Screenshot links ein Beispiel aus einem Phishing-Kit.
4. Ungewöhnliche MTUs
Eine maximale Übertragungseinheit oder eine MTU (engl. maximum transmission unit) definiert die Obergrenze für eine Paketgröße, die in einer einzelnen Transaktion auf Netzwerkebene transportiert werden kann. Die Werte weisen eine geringe Streuung auf und korrelieren eng mit verschiedenen Arten von Link-Layer-Implementierungen. Ethernet impliziert beispielsweise normalerweise einen Wert von 1500, DSL hingegen 1492. Seltsamerweise haben einige Hosting-Dienstanbieter eindeutige Werte, die nirgendwo anders vorhanden sind und leicht als Erkennungsmechanismus genutzt werden können.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
5. TCP-Funktionen und User-Agent-Korrelation
Windows, Linux und Mac implementieren den TCP-Stack unterschiedlich. Flags und Optionen, die neben der Größe des Pufferfensters festgelegt werden, sind nur einige der Eigenschaften, die es uns ermöglichen, einen Fingerabdruck auf TCP-Ebene zu erstellen. Daraus ergibt sich eine sehr wirkungsvolle Taktik: Zuerst wird die Betriebssystemvariante anhand der TCP-Parameter ermittelt und dann der User-Agent-Header und das vereinfachte Betriebssystem überprüft, zum Beispiel:
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36, was auf ein Mac-Betriebssystem schließen lässt. Wenn es einen Widerspruch zwischen dem von TCP implizierten Wert und dem Header gibt, dann ist es wahrscheinlich, dass es Datenverkehr von einem Scanner ist. Dies ist ein sehr häufiges Problem, da viele Hersteller sich für Linux-basierte virtuelle Maschinen entscheiden, die historisch gesehen einfacher und kostengünstiger zu skalieren sind.
Möglichkeiten zum Schutz
Die Einstellung eines User-Agents oder die Entfernung redundanter Header sind erste Sicherheitsvorkehrungen, die keine großen finanziellen Aufwände bedeuten und verhältnismäßig leicht umgesetzt werden können. Einen User-Agent konsequent auf dem neuesten Stand zu halten, ist etwas mühsam, aber selbst eine Änderung alle paar Monate dürfte ausreichen, um von Angreifern nicht wahrgenommen zu werden.
Eine weitere Überlegung sollte sein, wie schwierig es für einen Gegner ist, Indikatoren zu sammeln. Zum Messen und Analysieren der MTU- und TCP Eigenschaften der eingehenden Aufrufe muss der Angreifer spezielle Software wie beispielsweise p0f aufwendig integrieren, während das Blockieren durch User-Agents durch die Bearbeitung gut dokumentierter Konfigurationsdateien wie Apaches ״htacess״ sehr einfach erreicht werden kann. Man stelle sich ein Szenario vor, in dem ein Angreifer es geschafft hat, eingeschränkten Zugriff auf eine kompromittierte Webseite zu erlangen. Er hätte dann die Möglichkeit Server Konfigurationen wie „htaccess“ hinzuzufügen oder zu modifizieren, aber einen neuen Prozess wie p0f unter bestimmten Bedingungen auszuführen ist schwierig und zieht schnell unerwünschte Aufmerksamkeit auf sich, z.B. vom Serverbetreiber.
Als Service Provider sollte man die Grenzen seines Produktes kennen und schadhafte Techniken wie passives Fingerprinting verstehen, welche die eigenen User bedrohen. Neue client-unabhängige Mitigationsstrategien können eine Lösung sein, um das Risiko einer URL bereits vor dem Aufruf zu bewerten und gefährliche Inhalte daraufhin zu blockieren. Machine Learning Modelle spielen bei diesen Technologien eine immer wichtigere Rolle, um beispielsweise direkt bei der DNS-Abfrage eine Risikobewertung vorzunehmen und Security-Beauftragten beim Verhindern von passivem Fingerprinting zu unterstützen.
Über die Autoren
Gal Bitensky ist Senior Security Researcher bei Akamai Technologies.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/d5/d0/d5d02c4f6e269699961f516f2a58d6be/0124386294v1.jpeg "In diesem Tool-Tipp zeigen wir die ersten Schritte und Möglichkeiten mit Nikto, einem Open-Source-Schwachstellen-Scanner für Webserver. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/e9/18e9a988d3ca7593fb3324e8abc33e56/0124025380v2.jpeg "Anhand des Beispiels von DeepSeek zeigten Sicherheitsanalysten von Zscaler, wie einfach es sein kann, Phishing-Webseiten mit KI zu erstellen und sich Code liefern zu lassen, der Sicherheitsmaßnahmen umgeht. (Bild: Blue Planet Studio - stock.adobe.com)")