Clickjacking ist eine Technik, bei der ein Nutzer dazu gebracht wird, unbeabsichtigt eine bestimmte Aktion auszuführen. Das Besondere daran: Die Oberfläche, auf die der Nutzer klickt, ist nicht das, was sie vorgibt zu sein.

Ein Beispiel: Auf einer Webseite erscheint ein scheinbar gewöhnlicher Button – etwa „Video abspielen“ oder „Jetzt registrieren“. In Wahrheit liegt jedoch eine unsichtbare Schaltfläche darüber – zum Beispiel ein versteckter „Kaufen“-Button oder eine Zugriffsanfrage für Kamera und Mikrofon. Der Klick landet also nicht dort, wo man denkt, sondern wird für einen ganz anderen Zweck genutzt.

Clickjacking ist deshalb so heimtückisch, weil der Angriff komplett unsichtbar abläuft. Der Nutzer bemerkt nichts – weder ein Pop-up, noch einen Virenalarm. Alles sieht ganz normal aus. Gerade weil dieser Trick so subtil ist, wird er häufig nicht sofort entdeckt.

Hinzu kommt: Der Angriff funktioniert plattformübergreifend. Egal ob Sie mit dem Smartphone, Tablet oder PC im Netz unterwegs sind – wenn eine Seite nicht ausreichend geschützt ist, kann jeder Klick zur Falle werden.

Die Palette möglicher Auswirkungen ist breit:

Versehentliches Auslösen von Zahlungen: Nutzer klicken auf einen unsichtbaren Button und kaufen versehentlich ein Produkt oder schließen ein Abo ab.

Manipulation von Social-Media-Inhalten: Ein harmloser Klick kann unbemerkt ein "Gefällt mir" auf einer fremden Seite setzen oder Inhalte teilen.

Zugriff auf persönliche Hardware: In besonders dreisten Fällen wird der Nutzer dazu verleitet, den Zugriff auf Webcam oder Mikrofon zu genehmigen.

Veränderung von Einstellungen: In Online-Portalen können durch Clickjacking Sicherheitsfunktionen deaktiviert oder Passwörter geändert werden – ohne Wissen des Nutzers.

Diese Eingriffe sind nicht nur lästig, sondern können erhebliche finanzielle und datenschutzrechtliche Konsequenzen haben.

Grundsätzlich kann jede Person mit Internetzugang betroffen sein. Besonders im Visier von Angreifern stehen jedoch:

• Nutzer von sozialen Netzwerken
• Online-Shopping-Kunden
• Besucher von Streaming-Plattformen
• Bankkunden mit Onlinezugang
• Unternehmen mit Webportalen und Login-Funktionalitäten

Auch Webseitenbetreiber sollten Clickjacking ernst nehmen. Wird eine eigene Seite zur Angriffsfläche, leidet darunter nicht nur der Ruf, sondern möglicherweise auch die rechtliche Absicherung gegenüber Kunden.

Clickjacking basiert auf der Einbettung sogenannter Frames oder iFrames – also unsichtbare Webseitenbereiche, die über einen sichtbaren Bereich gelegt werden. In Kombination mit CSS-Manipulationen und JavaScript wird die täuschend echte Benutzeroberfläche gebaut.

Ein Klick auf ein sichtbares Element landet dann auf der darunterliegenden, unsichtbaren Oberfläche. Für den Nutzer ist nicht erkennbar, dass er soeben eine ganz andere Aktion ausgeführt hat.

Als Internetnutzer helfen einige einfache Maßnahmen, um sich vor Clickjacking zu schützen:

• Misstrauen bei unerwarteten Aufforderungen: Wenn Buttons auf Webseiten plötzlich nicht mehr das machen, was man erwartet, sollten Alarmglocken schrillen.
• Verwendung sicherer Browser-Add-ons: Erweiterungen wie „NoScript“ oder „uBlock Origin“ können helfen, verdächtige Skripte oder Frames zu blockieren.
• Regelmäßige Updates: Halten Sie Ihre Browser, Betriebssysteme und Sicherheitssoftware immer aktuell. Viele Clickjacking-Methoden basieren auf bekannten Schwachstellen.
• Auf HTTPS-Verbindungen achten: Verschlüsselte Seiten sind nicht automatisch sicher, aber ein erster Hinweis auf Seriosität.

Gerade Betreiber von Webseiten mit Login- oder Bezahlsystemen sollten Clickjacking nicht auf die leichte Schulter nehmen. Folgende Maßnahmen helfen beim Schutz:

• HTTP-Header „X-Frame-Options“ setzen: Damit lässt sich verhindern, dass eine Webseite in einem fremden iFrame geladen wird.
• Content Security Policy (CSP): Mit der Direktive frame-ancestors wird genau festgelegt, wer Inhalte einbetten darf – oder eben nicht.
• Framebuster-Skripte verwenden: Diese kleinen Programme prüfen, ob eine Seite in einem fremden Frame läuft und unterbinden dies aktiv.
• Sicherheitsüberprüfungen regelmäßig durchführen: Nur wer seine Webseite regelmäßig testet, erkennt frühzeitig Schwachstellen.

Clickjacking zeigt, dass es in der IT-Sicherheit nicht nur um Viren und Trojaner geht – sondern auch um Manipulationen, die mit einem einfachen Klick starten. Nutzer und Webseitenbetreiber sollten sich der Gefahr bewusst sein und gezielt Maßnahmen ergreifen, um sich zu schützen.

Denn wer heute seine Klicks schützt, spart sich morgen jede Menge Ärger.