![[externer Link]](../../images/link.gif)
www.bmi.bund.de/cln_104/SharedDocs/Standardartikel/DE/Themen/Sicherheit/ohneMarginalspalte/Datenschutz/neues_Datenschutzrecht.html, die man womöglich in einer Zeitschrift findet, geht nicht gerade leicht von der Hand.Haben Sie auch schon einmal einen interessanten Beitrag im Web entdeckt und wollten sich die Adresse für eine spätere Nutzung merken? Ohne Notizmöglichkeit gerät man jedoch bei vielen "Deep Links", die den Tiefen eines Content-Management-Systems entspringen, schnell ans Ende seiner geistigen Merkfähigkeit. Und auch das Abtippen einer Webadresse wie www.bmi.bund.de/cln_104/SharedDocs/Standardartikel/DE/Themen/Sicherheit/ohneMarginalspalte/Datenschutz/neues_Datenschutzrecht.html, die man womöglich in einer Zeitschrift findet, geht nicht gerade leicht von der Hand.
Zu solchen Gelegenheiten kommen URL-Verkürzungsdienste gerade recht: Sie wandeln komplexe, lange und schwer merkbare Webadressen in kurze, leichter zu merkende oder zu publizierende Kürzel um – http://tinyurl.com/BMI-BDSG2009 ist doch erheblich handlicher als der Adressbandwurm im vorigen Absatz. Geradezu existenziell wird diese Funktion, wenn es darum geht, SMS zu schreiben oder beispielsweise über Twitter zu kommunizieren: Wo Nachrichten auf eine Länge von 140 oder 160 Zeichen begrenzt sind, möchte man nicht 130 für eine empfehlenswerte URL verbrauchen – sonst bleibt für die eigentliche "Message" nicht mehr viel übrig.
Vor nicht allzu langer Zeit gab es gerade mal eine Handvoll Verkürzungsdienste, Anfang 2008 hat der selbsternannte "Social Media Guide" Mashable gut 90 aufgezählt ( http://mashable.com/2008/01/08/url-shortening-services/), heute sind es weltweit mehrere Hundert. Womöglich gehen sogar noch einige weitere online, während Sie gerade diese Zeilen lesen – denn um einen Verkürzungsdienst anzubieten, braucht es nicht viel: eine einfache Bedienoberfläche, ein frei verfügbares, kompaktes PHP-Skript ( http://code.google.com/p/phurl/) und eine Datenbank – alles heute im Standard-Paket vieler Webhosting-Pakete dabei.
![[Illustration]](images/09-5-014-1.jpg)
Abbildung 1: Mittlerweile tummelt sich eine Vielzahl bekannter und weniger bekannter Anbieter von Kurz-URLs im Web.
Zu den bekannteren Diensten im WWW zählen unter anderem TinyURL.com, memURL.com, cli.gs, is.gd, notlong.com und bit.ly. Und die Dienste sind zunehmend gefragt: Laut cnet news wurden allein über bit.ly im Juli 2009 an einem typischen Tag 5–7 Millionen neuer Kurz-URLs erzeugt – 25 Millionen Abfragen will man täglich registriert haben, wo bit.ly selbst erst Mitte Januar den Meilenstein von einer Million täglicher Abfragen gemeldet hatte.
Allen Anbietern gemeinsam ist die – in der Regel kostenlose – Verkürzung einer beliebigen URL. Meistens ist es nicht einmal erforderlich, sich bei dem Anbieter anzumelden: Man besucht einfach die Webpage, gibt (s)eine URL ein und erhält eine verkürzte Form generiert.
Wobei "verkürzen" umgangssprachlich zu verstehen ist: Der Ausdruck mag suggerieren, dass eine lange Adresse durch ein (mathematisches) Verfahren gekürzt wird. Fakt ist aber eine einfache Ersetzung: Der Anbieter legt hierzu einfach einen Eintrag in einer Datenbank an, dessen alphanumerischer (kurzer) Schlüssel der langen URL zugeordnet ist, auf die dann weitergeleitet wird.
War der Ursprung der Kurz-URLs Medienberichten zufolge der schlichte Wunsch, störende URL-Umbrüche in E-Mails zu vermeiden, gehen aktuelle Dienste erheblich weiter: So erstellt beispielsweise bit.ly auch Klick-Statistiken, mit denen sich verfolgen lässt, wie häufig eine verkürzte URL benutzt wird – was beispielsweise sehr nützlich ist, um Marketingaktionen zu beobachten und zu optimieren, die Short-URLs verwenden. Und UnHub.com liefert in einem Kopfbalken zu einer Kurz-URL neben statistischen Angaben zur Verbreitung der Adresse in bekannten Web-2.0-Diensten auch einen Link zum Erzeuger der jeweiligen Abkürzung, sodass dieser selbst dann noch einen "Credit" erhält, wenn nur die Kurz-URL weitergegeben wird.
Auf den ersten Blick erscheint alles risikolos: URL-Shortener sind nützlich und gratis – aus unmerkbaren URL-Monstern werden handliche Adressen. Wo lauern die Probleme?
Einer der am häufigsten genannten Kritikpunkte ist die "Unsichtbarkeit" der Zieladresse. Während bei einer normalen URL-Langadresse die Zieldomain sichtbar bleibt (inkl. der Unterverzeichnisse und Parameter), ist bei Kurz-URLs gar nichts mehr ersichtlich: Hinter fünf bis sechs Zeichen verschwindet die Adresse –wohin ein Link führt, ist nicht mehr ohne Weiteres erkennbar. Ein Text auf einer Webseite oder in einer E-Mail wie "Holen Sie sich Ihre Gratis-Software unter http://tinyurl.com/kjlzcy und sparen Sie 549,– €" sagt alles und nichts – ob man wirklich zu einem Unternehmen kommt, das ein (seriöses?) Programm verschenkt, oder zu einer ganz anderen Seite, ist mehr als offen. Was ist, wenn die Kurz-URL zu einer Adresse mit Pornografie oder illegalen Inhalten führt, Phishing- oder Malware-Sites verschleiern hilft?!
Andererseits: Wie "sicher" eine Website ist, lässt sich anhand ihrer Adresse heute ohnehin kaum noch einschätzen. Wer will sagen, was sich an Risiken oder Chancen hinter einem völlig unbekannten Domainnamen verbirgt oder welche Einsichten oder Untiefen "User-generated Contents" auf einer Web-2.0-Plattform verheißen? Etliche seriöse Inhalte sind über derartige Dienste verfügbar und etliche seriöse Seiten sind heute mit Malware oder bösartigen Links "verseucht". Wie viel verwertbare Information man verliert, wenn man die Zieladresse nicht im Blick hat, erscheint somit fraglich – zudem gibt es hierfür bereits Lösungsansätze (s. u.).
Ein weniger diskutiertes Risiko ist die Verfügbarkeit der Verkürzungsdienste: Was geschieht, wenn ein Internet-Start-up, das einen solchen URL-Shortener betreibt, Insolvenz anmelden muss? Was ist, wenn einem Mitbewerber eine feindliche Übernahme gelingt und er den Dienst einstellt? Im einfachsten Fall verschwindet das Angebot von der Bildfläche – und mit ihm alle generierten Abkürzungen: Zigtausende bis hin zu Millionen von Kurz-URLs sind dann nicht mehr funktionsfähig! Denn die Weiterleitung von der kurzen Form zur echten (Lang-)Adresse funktioniert ja nur, solange der Verkürzungs-Dienst online ist.
Ein abgeschalteter URL-Dienst ist bei privater Nutzung schmerzlich, aber für ein Unternehmen eine überaus ernste Sache: Denn alle kommunizierten Business-URLs, die via Shortener angesprochen wurden, sind hinfällig. Wehe dem Unternehmen, dass hier auf den faschen Service gesetzt hat!
----------Anfang Textkasten----------
Im Blog von tr.im wurde am 10. August 2009 das bevorstehende Ende des Verkürzungsdienstes bekanntgegeben: Die Betriebskosten seien auf Dauer zu hoch und man habe bisher keinen Investor gefunden – tr.im sei populär, aber man sehe keine Chance, gegen den Mitbewerber bit.ly zu bestehen, der durch Twitter zum "Standard" erklärt wurde, verlautbarte die amerikanische Betreiberfirma Nambu. Die verkürzten URLs sollten noch bis zum Jahresende verfügbar sein, neue Kurz-URLs würden aber nicht mehr generiert werden.
![[Screenshot]](images/09-5-014-4.jpg)
Dieses Szenario zeigt, wie schnell selbst ein etablierter Dienst wie tr.im von der Bildfläche verschwinden könnte. Hauptproblem ist hier, wie bei manch anderen Web-Anwendungen, die Dienstleistungen gratis anbieten, das mangelnde (mangelhafte?) Geschäftsmodell: Darauf zu warten (zu hoffen?), von einem finanzkräftigen Player aufgekauft zu werden, genügt einfach nicht.
Die Resonanz auf tr.ims Ankündigung war hoch: Nach Protesten und Sympathiekundgebungen der Anwender war der Dienst einen Tag später wieder uneingeschränkt nutzbar. Nambus Kritik an Twitter, ein Monopol zu schaffen, blieb bestehen. tr.im ist wieder online – als neues Ziel wurde kommuniziert, den Dienst der Community zu übereignen: "tr.im will begin its migration into the public domain, becoming 100% community-owned, operated, and developed." ( http://blog.tr.im/post/165049236/tr-im-to-be-community-owned)
Der Vorfall belegt, wie wichtig es ist, sich mit dem Markt auseinanderzusetzen und nicht kurzerhand nur aufgrund von Features einen Dienst aus der Anbietervielzahl auszuwählen. Falsche Entscheidungen können unter Umständen enorme Folgekosten nach sich ziehen, um die URLs eines eingestellten Dienstes für das eigene Business zu retten.
----------Ende Textkasten----------
Wie die erfolgreiche Attacke auf den Shortener cli.gs gezeigt hat, sind auch die Dienste selbst im Fadenkreuz von Angreifern: Im Juni 2009 gelang es Unbekannten, rund 2,2 Millionen Kurz-URLs zu hacken. Dabei wurden die originalen Adressen durch eine Weiterleitung auf das Blog eines mutmaßlich Unbeteiligten ersetzt (vgl. www.sophos.com/blogs/gc/g/2009/06/16/cligs-short-url). cli.gs konnte zwar mehrheitlich alle Daten wieder restaurieren, aber einige Fragezeichen bezüglich der Infrastruktur-Sicherheit bleiben bestehen. Wer kann letztlich sagen, wie sicher ein Gratis-Dienst wirklich sein kann und welcher Aufwand für Backup und Informations-Sicherheit dort betrieben wird?
Dass bei der Nutzung von Computern und Web-Diensten Risiken existieren, ist nichts Neues. Das eigentliche Problem besteht oftmals eher darin, dass Anwender das Nutzungsrisiko nicht beurteilen können oder ihnen keine Alternativen bekannt sind, um mit einer Anwendung verbundene Risiken zumindest zu minimieren. Wenn "alle Welt" Kurz-URLs nutzt, gehören diese schlicht zum Business – man kann sich derartigen Trends schwerlich verweigern. Und selbst das Sperren von URL-Verkürzungsdiensten via http-Filter ist letztlich keine wirkungsvolle Maßnahme, um die hiermit verbundenen Risiken zu verringern.
Sicherheitsverantwortliche, CISO & Co. sollten jedoch dafür sorgen, das Risiko bei der Nutzung so weit wie möglich zu minimieren. Der erste und wichtigste Punkt dabei ist die Information der Anwender! Dies kann im Rahmen von Security-Awareness-Programmen, Sicherheitsmeetings oder via Intranet erfolgen. Anzusprechen sind dabei minimal folgende Punkte:
![[Screenshot]](images/09-5-014-2.jpg)
Abbildung 2: Einige Kurz-URL-Dienste wie TinyURL (siehe Screenshot) und is.gd bieten Vorschauoptionen, um vor der Weiterleitung die Zieladresse einsehen zu können.
Erfreulicherweise haben einige der URL-Shortener inzwischen das Problem der "unsichtbaren Zieladresse" erkannt und Lösungen implementiert: TinyURL bietet beispielsweise einen Preview-Modus an, der anwenderbezogen über ein Browser-Coockie aktiviert wird: Bei Anwahl einer TinyURL-Adresse wird dann immer zuerst die Langadresse angezeigt (vgl. Abb. 2). Auch bei der Veröffentlichung von – dann einem Wort längeren – URLs kann man die Vorschau per Präfix erzwingen (z. B. http://preview.tinyurl.com/kjlzcy). Eine vergleichbare Option erreicht man bei is.gd, durch Anhängen eines Bindestrichs ("Minus") an die Kurzform (z. B. http://is.gd/1-) – eine generelle Präferenz per Cookie bietet is.gd ebenfalls an.
![[Screenshot]](images/09-5-014-3.jpg)
Abbildung 3: prevurl.com ermöglicht eine Vorschau auf das Ziel beliebiger Kurz- und Umleitungs-URLs
Wird ein Dienst verwendet, der keine solche Preview-Funktion offeriert, hilft www.prevurl.com weiter: Dieser Gratis-Service zeigt auf Anfrage im Browser die reale Adresse hinter jeder URL an, wofür er allerdings Javascript erfordert (vgl. Abb. 3). Technisch gesehen folgt der Preview-Dienst dabei so lange allen Weiterleitungen bis er die Zieladresse erreicht. Im Idealfall wird dann auch noch gleich ein verkleinerter Schnappschuss der Ziel-Webseite als Grafik angezeigt oder gegebenenfalls auf Anfrage erzeugt.
Eine ähnliche Funktionalität offeriert www.longurlplease.com: Über ein so genanntes Bookmarklet oder ein Plug-in für den Firefox-Browser werden verkürzte URLs entweder automatisch (nur per Plug-in) oder auf Mausklick direkt in der Darstellung von Webseiten (z. B. Twitter) in die Langform überführt – der Benutzer sieht damit also wahlweise die "echten" statt der Kurz-URLs in der Seite.
Während eine Handvoll Anbieter den Suchmaschinenmarkt dominiert, ist bei URL-Verkürzungsdiensten das Feld, wie eingangs bemerkt, noch recht breit gestreut. Die Dienste liefern sich einen stetigen Wettkampf um die Gunst der Anwender und immer wieder werden Services eingestellt (vgl. Kasten "Ausgetr.imt – oder doch nicht?!") und neue angeboten.
Mittelfristig dürfte sich aber auch hier der Markt konsolidieren und wahrscheinlich auch danach trachten, ergebnisorientiert zu arbeiten: Denn eine steigende Nutzung bedeutet nicht nur mehr Arbeit, sondern auch die Möglichkeit für den Dienstbetreiber, durch Werbung Umsatz zu generieren.
Vor einer geschäftsmäßigen Nutzung von URL-Shortenern sollte man sich die potenziell infrage kommenden Anbieter auch außerhalb der Kürzungsfunktion genau ansehen. Interessante Fragen sind dabei unter anderem:
Je detaillierter die verfügbaren Antworten sind, umso größer ist die Chance, den "besten" Dienst für das eigene Unternehmen auszuwählen. Zu berücksichtigen sind natürlich auch noch Randbedingungen wie beispielsweise:
Hat man sich jedoch für einen Dienst entschieden, sollte dieser als Standard innerhalb des Unternehmens bekanntgemacht werden. Begleitend dazu sollte man dann auch die entsprechenden Tools (beispielsweise Plug-ins oder Webadressen) zur Verfügung stellen und die Anwender im Umgang mit den Diensten schulen.
IT-Sicherheit genießt nur selten den Ruf eines "Business-Enablers", häufig aber den des "Spaß-Verderbers" – daher ist es sehr wichtig, Sicherheit nicht einfach nur per Vorschrift anzuordnen, sondern auch "zu leben". Im ersten Ansatz mag es für das vorliegende Problemfeld genügen, der "Standarddefinition eines URL-Verkürzungsdienstes" ein Gesicht zu geben, einen Namen, kurzum einen Menschen (Mitarbeiter) zu bennenen, der das Thema vorantreibt. Hier ist ein Kollege gefragt, den man ansprechen kann, ein Partner, der Hilfestellung geben kann, das Thema präsentiert und auch offene Probleme einsammelt und adressiert.
Diese Kontaktperson muss nicht unbedingt der CISO oder IT-Sicherheitsbeauftragte selbst sein, aber zumindest für die Einführungsphase sollte schon jemand zur Verfügung stehen, der als "Fahnenträger" fungiert: Denn nur, wenn Mitarbeiter sehen, dass Maßnahmen seinem Schutz ebenso dienen wie dem Unternehmen, wird man Bereitschaft finden, Verhaltensweisen gegebenenfalls auch zu ändern. Und der Anwender muss sein Verhalten ändern: Er muss den "Verlockungen" einer Vielzahl von Services widerstehen und sich auf die beschränken, die das Unternehmen vorgibt.
Ralph Dombach ( www.secuteach.de) ist freier Autor und arbeitet als Sicherheits-Administrator für einen Versicherungskonzern.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2009#5, Seite 14
tag:kes.info,2007:lp:2009-5-A
| 