Threat Intelligence, oft auch als Cyber Threat Intelligence bezeichnet oder mit Daten zur Bedrohungsaufklärung umschrieben, ist das Ergebnis der Analyse von Daten mit dem Ziel, brauchbare Informationen bereitzustellen, die zum Verständnis von Sicherheitsrisiken beitragen.

 

Datenpunkte, die aus mehreren Quellen gesammelt wurden, werden zur Unterstützung von Sicherheitsexperten aufbereitet. Threat Intelligence hilft den Teams, proaktiv mit Cyberbedrohungen umzugehen: Die möglichen Motivationen und Fähigkeiten von Angreifern werden berücksichtigt, und es wird ein umfassenderes Bild der damit verbundenen Risiken vermittelt, als es ein einzelnes Unternehmen jemals erfassen könnte.

 

Die Daten zur Bedrohungsaufklärung werden oft so angepasst, dass die für das jeweilige Unternehmen spezifischen Sicherheitslücken und Ressourcen im Mittelpunkt stehen, sodass sich eine maßgeschneiderte Verteidigungsstrategie ableiten lässt.

Und so funktioniert es

Wie funktioniert Threat Intelligence?

Threat Intelligence ist Wissen, das auf Beweisen beruht und Informationen zu Kontext, Mechanismen, Indikatoren und Implikationen sowie umsetzbare Anleitungen für aktuelle oder zukünftige Bedrohungen der Ressourcen eines Unternehmens bietet. Dieses Wissen kann eine zentrale Rolle für die Entscheidungsfindung hinsichtlich der Reaktion auf Bedrohungen spielen, sodass die Sicherheitsteams Sicherheitslücken priorisieren, Tools für die Cybersicherheit bewerten und Abhilfemaßnahmen implementieren können.

Im Wesentlichen zeigt Threat Intelligence Gefährdungsindikatoren (IoCs), Taktiken, Techniken und Verfahren (TTPs) auf, die von den Missetätern verwendet werden. Dank dieser Anzeichen können Unternehmen Cyberangriffe schnellstmöglich erkennen und abwehren. Die Zeit bis zur Erkennung eines Angriffs wird verkürzt, wodurch die möglichen Auswirkungen einer Sicherheitsverletzung verringert werden.

Weitere Informationen

 

Wenn Threat Intelligence richtig implementiert ist, bekommen Unternehmen diejenigen Werkzeuge an die Hand, die sie zur Abwehr zukünftiger Angriffe benötigen. Dabei können sie ihre Sicherheitsmaßnahmen durch Netzwerk- und Cloud-Sicherheitstools verstärken.

 

Der Kern der Bedrohungsanalyse durch Threat Intelligence besteht darin, die Cybersicherheitslandschaft zu verstehen und neu auftretende Formen von Malware, Zero-Day-Exploits, Phishing-Angriffe und anderen Cybersicherheitsproblemen im Auge zu behalten. 

Warum ist Cyber Threat Intelligence so wichtig?

 

 

Bei der Cybersicherheit lässt sich die Dynamik zwischen Angreifern und Verteidigern mit einem Schachspiel vergleichen: Beide Seiten entwickeln ständig neue Strategien, um sich gegenseitig auszumanövrieren. Bedrohungsakteure suchen ständig nach neuen Angriffswegen, und die Verteidiger tun ihr Bestes, um die Angriffe zu blockieren. Beide legen dann jeweils nach und passen ihre Taktik in jeder neuen Runde an. Um bei diesem ständigen Kampf auf der Gewinnerseite zu stehen, sollten die Unternehmen in leistungsfähige Threat Intelligence investieren.

 

Grundlegende Abwehrmechanismen wie Firewalls und Systeme zur Abwehr von Eindringversuchen (IPS) sind wichtig, aber dabei handelt es sich im Wesentlichen um passive Systeme. Als Bestandteil eines aktiven Vorgehens zur Erhöhung der Sicherheit liegt bei Threat Intelligence der Schwerpunkt darauf, Angriffe, zu denen auch Advanced Persistent Threats (APTs) gehören, unschädlich zu machen. 

 

Die Urheber von APTs sind raffinierte Cyberkriminelle, die versuchen, über einen längeren Zeitraum in das System einzudringen, um Daten zu stehlen, auszuspionieren und sogar das System zu stören oder zu zerstören. Nachdem sie nützliche Daten entwendet haben, wird das Opfer schließlich noch erpresst. Beim Aufbau einer effektiven Verteidigung ist ein tiefgreifendes Verständnis der APT-Strategien vorteilhaft.

 

Ein aktiverer Ansatz für die Cybersicherheit sollte Threat Intelligence mit einbeziehen, damit die Sicherheitsteams nicht im Dunkeln tappen. Threat Intelligence bringt nicht nur die Motive der Angreifer ans Licht, sondern auch die Taktiken, Techniken und Verfahren (TTPs), die hinter den APTs stecken.

 

Schließlich können die IT-Abteilungen Daten zur Bedrohungsaufklärung nutzen, um Stakeholder wie Vorstände und CTOs fundiert über die bestehenden Risiken aufzuklären. Damit stehen den Entscheidern Erkenntnisse über die potenziellen Bedrohungen zur Verfügung, die als Basis für optimal auf die Risikotoleranz des Unternehmens abgestimmte strategische Entscheidungen dienen können.

Der Lebenszyklus der Daten zur Bedrohungsaufklärung

 

 

Threat Intelligence ist ein iterativer Vorgang, der aus sechs Hauptphasen besteht. Während dieser Phasen werden die erfassten Rohdaten von den Cybersicherheitsexperten in einen Kontext gesetzt, in dem aus den Daten Erkenntnisse und Hinweise gewonnen werden.

 

Der Begriff „Lebenszyklus“ ist aus der Biologie entlehnt. Er wird verwendet, weil die Phasen kontinuierlich ablaufen und einen Kreislauf bilden.

 

1. Planung

In dieser grundlegenden Phase werden die Anforderungen an die Threat Intelligence definiert. Oft werden sie als Fragen formuliert, um die spezifischen Bedrohungen zu verstehen, die für das Unternehmen relevant sind. Sicherheitsanalysten definieren diese Anforderungen zusammen mit Stakeholdern wie Führungskräften und Abteilungsleitern. In dieser Phase erfolgt auch die Priorisierung der Threat Intelligence-Ziele anhand von verschiedenen Faktoren – Auswirkungen, zeitliche Randbedingungen, Übereinstimmung mit den Unternehmenswerten usw.

 

2. Erfassung der Daten zur Bedrohungsaufklärung

Im Hinblick auf einen exakten Threat-Intelligence-Prozess sind Rohdaten unerlässlich. Diese können aus verschiedenen Kanälen stammen. Die erfassten Daten können sowohl aus Open-Source-Quellen als auch von kommerziellen Anbietern stammen und alles von Echtzeit-Updates der Gefährdungsindikatoren (IoCs) bis hin zu gründlichen Analysen von echten Angriffen umfassen. Weitere Quellen für die Datenerfassung sind interne Protokolle, z. B. SIEM-Systeme (Security Information and Event Management) oder spezielle Erkenntnisse aus ISACs (branchenspezifischen Informationsaustausch- und Analysezentren).

 

3. Verarbeitung

Das wichtigste Ziel in dieser Phase besteht in der Aggregierung und Standardisierung der erfassten Rohdaten, damit diese leichter genutzt werden können. Sicherheitsanalysten setzen spezielle Threat-Intelligence-Tools ein, von denen viele mit künstlicher Intelligenz und Machine Learning arbeiten, um Muster in den Daten zu erkennen. Hinzu kommen noch Metadaten, die bei zukünftigen Analysen und Nachverfolgungen helfen. In dieser Phase entfernen die Cybersicherheitsteams erkannte Fehlalarme, um die Genauigkeit der Daten zu verbessern.

 

4. Analyse

Diese Phase ist die wichtigste, um Erkenntnisse zu gewinnen, wobei der Schwerpunkt auf der Umwandlung der verarbeiteten Daten in verwertbare Daten zur Bedrohungsaufklärung liegt. Sicherheitsanalysten arbeiten mit etablierten Frameworks wie MITRE ATT&CK und einer breiten Palette von Wissensdatenbanken, die auf realen Beobachtungen von Taktiken und Techniken basieren, die von den Angreifern verwendet werden.

 

Durch Tests, Verifizierung und Interpretation von Datenmustern entdecken Analysten potenzielle Sicherheitslücken und Taktiken, die von bestimmten Gruppen von Cyberkriminellen genutzt werden. Die Ergebnisse der Analyse sind auf die Zielgruppe zugeschnitten und werden in unterschiedlichen Formaten geliefert – von prägnanten Bedrohungslisten bis hin zu detaillierten, von anderen Experten geprüften Berichten.

 

5. Verbreitung

Die Erkenntnisse aus der vorherigen Phase werden an die relevanten Stakeholder weitergegeben, einschließlich der Sicherheitsteams und des Top-Managements des betreffenden Unternehmens. Zu den Maßnahmen, die sich aus dieser Phase ergeben, können Aktualisierungen der SIEM-Erkennungsregeln oder das Blockieren verdächtiger IP-Adressen gehören. Zur Steigerung der Effizienz werden die Daten über eine spezielle Software bereitgestellt, die sich in Sicherheits-Intelligence-Systeme wie SOAR (Security Orchestration, Automation and Response) und XDR (Extended Detection and Response) integrieren lässt.

 

6. Feedback

Am Ende des Lebenszyklus erfolgt eine Bewertung oder Reflexion bezüglich der vorangegangenen Phasen mit dem Ziel, neue Fragen aufzuwerfen oder unerkannte Lücken aufzudecken. Die Schlussfolgerungen aus dem Feedback fließen in den nächsten Zyklus ein und schließen somit den Kreislauf, bei dem der gesamte Prozess iterativ langfristig verbessert wird.

 

Arten von Threat Intelligence

 

 

Cyber Threat Intelligence (CTI) liefert eine breite Palette von Ressourcen, von taktischen und operativen bis hin zu eher strategischen Anwendungsfällen.

 

Taktische Threat Intelligence

Taktische Threat Intelligence richtet sich an eine eher technisch orientierte Zielgruppe – vom Security Operations Center (SOC) über die Incident Responder, die im Falle eines Sicherheitsvorfalls eingreifen, bis hin zu Sicherheitsexperten. Die Daten zur taktischen Bedrohungsaufklärung sind in der Regel in maschinenlesbarem Format verfügbar. Sie lassen sich über APIs und programmierte Threat-Intelligence-Feeds einfach in verschiedene Threat-Intelligence-Tools und -Plattformen integrieren.

 

Die Datenpunkte, die zur Erkennung von bösartigen Aktivitäten genutzt werden, werden als Indicators of Compromise (IoCs) bezeichnet und sind Schlüsselelemente bei dieser Art der Bereitstellung von Daten zur Bedrohungsaufklärung. Zu den IOCs gehören IP-Adressen, die mit bekannten Bedrohungen verknüpft sind, Namen von Schaddomänen und Datei-Hashes, die als schädlich identifiziert wurden.

 

Da sich diese Indikatoren sehr schnell weiterentwickeln, ist es wichtig, eine Quelle zu haben, die stets auf dem neuesten Stand ist.

 

Da sie unmittelbar verwertbare Daten ohne langfristige Analysen oder umfassende Erkenntnisse liefern, ergänzen die Daten zur taktischen Bedrohungsaufklärung operative und strategische Informationen. Wenn sich ein Unternehmen nur auf die Daten zur taktischen Bedrohungsaufklärung verlässt, besteht ein erhöhtes Risiko für Fehlalarme, also Fälle, in denen harmlose Aktivitäten fälschlicherweise als bösartig erkannt werden.

 

Einsatzmöglichkeiten und Beispiele für taktische Cyber Threat Intelligence

· Feeds mit Bedrohungsdaten: Kontinuierliche Datenströme, die Informationen über potenzielle Bedrohungen liefern.

· Echtzeit-Warnmeldungen: Sofortige Benachrichtigungen, die Unternehmen über aktive Bedrohungen in ihrer Umgebung informieren.

· Automatische Malware-Analyse: Automatisierte Prozesse, die Schadsoftware untersuchen, um ihre Funktion und ihr Bedrohungspotenzial zu verstehen.

 

Operative Threat Intelligence

Bei den Daten, die im Rahmen der operativen Threat Intelligence gesammelt werden, geht es um den Kontext im IT-Betrieb. Es werden Erkenntnisse über Cyberangriffe gesammelt, um grundlegende Fragen zu den Kampagnen und Operationen der Angreifer zu klären. Der Schwerpunkt liegt hierbei auf den Taktiken, Techniken und Verfahren (TTPs) sowie der Absicht und dem Timing der Angriffe.

 

Diese Daten lassen sich nicht so einfach erfassen, da sie aus verschiedene Quellen stammen – von Chatrooms, sozialen Medien und Protokollen von Virenschutzprogrammen bis hin zu Aufzeichnungen aus früheren Angriffen. Herausforderungen bei diesem Ansatz ergeben sich dadurch, dass die Angreifer häufig Datenverschlüsselung, mehrdeutige oder verschlüsselte Sprache und private Chatrooms nutzen. Große Datenmengen können zwar oft mithilfe von Data Mining und Machine Learning verarbeitet werden, aber um eine definitive Analyse zu erstellen, müssen die Informationen von Experten in den richtigen Kontext gesetzt werden.

 

Die Nutzung der operativen Threat Intelligence in SOCs trägt dank Daten zur operativen Bedrohungsaufklärung zur Verbesserung der Cybersicherheitsmethoden wie Management von Sicherheitslücken, Bedrohungsüberwachung, Reaktion auf Sicherheitsvorfälle usw. bei.

 

Einsatzmöglichkeiten und Beispiele für operative Cyber Threat Intelligence

· Täter-Profiling: Verstehen und Kategorisieren von Cyber-Angreifern anhand ihrer Taktiken, Techniken und Verfahren.

· Patch-Priorisierung: Bestimmung der vorrangig zu behebenden Software-Sicherheitslücken auf der Grundlage der Daten zur Bedrohungsaufklärung.

· Reaktion auf Sicherheitsvorfälle: Maßnahmen, die bei Bedrohungen ergriffen werden, um sie nach ihrer Erkennung direkt zu entschärfen. 

 

Strategische Threat Intelligence

Die im Rahmen der strategischen Threat Intelligence gewonnenen komplexen und detaillierten Daten werden so umgesetzt, dass Stakeholder wie Vorstand, Führungskräfte und leitende Entscheidungsträger sie als Basis für ihre Maßnahmen verwenden können. Die von der strategischen Threat Intelligence gelieferten Daten können Präsentationen, Berichte über die unternehmensweiten Risiken und die Darstellung vergangener, gegenwärtiger und zukünftiger Risiken innerhalb des Unternehmens und im Vergleich mit Branchenstandards sowie Best Practices umfassen. Die Erkennung, welche Defizite bei der Einhaltung von Vorschriften vorliegen, ist ein wesentlicher Grund für den Einsatz von strategischer Threat Intelligence.

 

Diese Art von Daten zur Bedrohungsaufklärung wird zwar in Form von zusammenfassenden Berichten ausgegeben, muss aber auch eine umfassende Analyse lokaler und globaler Trends, aufkommender Cyberrisiken und sogar geopolitischer Faktoren liefern. Daten zur strategischen Bedrohungsaufklärung sind ein wesentlicher Bestandteil der langfristigen Planung, des Risikomanagements und umfassender strategischer Entscheidungen. Die Unternehmen nutzen die Daten zur strategischen Bedrohungsaufklärung für ihre langfristige Planung zur Abstimmung ihrer Cybersicherheitsstrategien mit den Geschäftszielen.

 

Einsatzmöglichkeiten und Beispiele für strategische Cyber Threat Intelligence

· Bedrohungen durch Insider: Entwicklung umfassender Strategien zur Identifizierung und Bekämpfung von Bedrohungen, die aus dem Unternehmen stammen. Hierzu werden Verfahren wie die Analyse von Verhaltensmustern und Zugriffsprotokollen eingesetzt.

· Täuschungsoperationen: Entwerfen und Implementieren von Täuschungsstrategien, um potenzielle Angreifer in die Irre zu führen und zu verfolgen, wobei ihre Techniken und Absichten aufgedeckt werden können, ohne wirkliche Ressourcen zu gefährden.

· Ressourcenzuweisung: Bestimmung, wie Ressourcen für die Cybersicherheit auf der Grundlage der Bedrohungslandschaft am besten zugewiesen werden können. Dabei geht es um Investitionen in neue Sicherheitstechnologien, die Einstellung von Fachpersonal oder die Freigabe von Mitteln für Mitarbeiterschulungsprogramme.

 

Best Practices für die CTI-Implementierung – wichtige Fragen

 

 

Durch die Integration von Threat Intelligence in die allgemeine Cybersicherheitsstrategie Ihres Unternehmens stärken Sie für die Zukunft die proaktive Komponente Ihrer Abwehr, da Sie möglichen Sicherheitsverletzungen immer einen Schritt voraus sein werden. Der Einführungsprozess hat einen viel mehr von strategischen Überlegungen geprägten Charakter als nur die reine Auswahl von Tools, denn er erfordert die Zusammenarbeit der internen Teams zur effektiven Implementierung von Threat Intelligence.

 

·       Wie lässt sich CTI (Cyber Threat Intelligence) mit den Umsatzzielen meines Unternehmens vereinbaren? 

Mit dem richtigen CTI-Ansatz schützen Sie Ihre Einnahmequellen und -prozesse direkt, denn damit stellen Sie sicher, dass kritische Systeme sicher sind, das Vertrauen der Kunden erhalten bleibt und Ihr Geschäft reibungslos und ohne Unterbrechung läuft. Richten Sie Ihre Investition in CTI an dem für das Unternehmen erforderlichen Schutz aus.

 

·       Was versteht man unter verwertbaren Erkenntnissen? 

Verwertbare CTI-Erkenntnisse liefern klare, sofort umsetzbare Schritte, mit denen die zuständigen Teams die Verteidigung des Unternehmens verbessern können. Es ist wichtig, diese Art von Erkenntnissen klar zu definieren und so weit wie möglich zu nutzen, da sie den Schutz vor potenziellen Sicherheitsverletzungen erhöhen und die in diesem Zusammenhang auftretenden Kosten verringern.

 

·       Wie kann Threat Intelligence am besten in meine bestehenden Systeme integriert werden? 

Durch die Integration von CTI in Ihre bestehenden Systeme lassen sich die Stärken Ihrer aktuellen Sicherheitsinfrastruktur besser nutzen und deren Leistungsfähigkeit mit minimalen zusätzlichen Investitionen erweitern. Zum Beispiel befreit die Automatisierung zuvor manuell durchgeführter Prozesse Ihr Team von Routineaufgaben, sodass es schneller auf Bedrohungen reagieren kann. Die Integration der Daten zur Bedrohungsaufklärung sollte Ihrem vorhandenen Team helfen, seine Arbeit umfassender, schneller und genauer zu erledigen und somit den ROI zu steigern. 

 

·       Wie lässt sich meine Threat Intelligence langfristig verbessern? 

Um Ihre Threat Intelligence langfristig zu verbessern, sollten Sie eine CTI-Lösung wählen, die den individuellen Anforderungen Ihre Unternehmens gerecht wird. Geben Sie Systemen den Vorzug, die anpassungsfähige Feedback-Mechanismen bieten, sodass eine kontinuierliche Verfeinerung und Weiterentwicklung möglich ist. Suchen Sie nach einem Partner für Cybersicherheit, der Sie bei der Implementierung eines CTI-Systems unterstützt, das nicht nur zu Ihrem aktuellen Geschäftsbetrieb passt, sondern sich auch mit ihm weiterentwickelt und langfristige Verbesserungen sowie eine Wertsteigerung bringt.

Welche weiteren effektiven Tools und Techniken gibt es für Threat Intelligence?

 

 

 

Neben den drei oben beschriebenen Hauptkategorien von Cyber Threat Intelligence – taktisch, operativ und strategisch – sind weitere, im Rahmen von Threat Intelligence genutzte Tools und Techniken erwähnenswert, die Sie beim Implementierungsprozess berücksichtigen sollten:

 

  • · Threat Intelligence Platforms (TIPs): Zentrale Verteilerpunkte wie TIPs sind unerlässlich, wenn es darum geht, Bedrohungsdaten aus mehreren Quellen in Echtzeit zu konsolidieren, anzureichern und zu analysieren. Für die praktische Umsetzung sollten Sie Plattformen in Betracht ziehen, für die ein Testzeitraum oder eine Demoversion angeboten wird, sodass Ihr Team die Kompatibilität mit den im Unternehmen vorhandenen Systemen analysieren kann. Die Plattform Advanced Threat Intelligence (ATI) von Bitdefender bietet hierfür die Lösung IntelliZone, die Daten aus einem riesigen Netzwerk von Sensoren sowie ein Ökosystem von Technologielizenzen bereitstellt.

 

  • · Security Intelligence: Dieser noch umfassendere Ansatz erstellt anhand einer Kombination aus externen und internen Daten ein umfassendes Bild Ihrer Bedrohungslandschaft. Führen Sie zu Beginn interne Prüfungen durch, um Datenquellen zu identifizieren, die Ihre Sicherheitsinformationen ergänzen können, und kombinieren Sie diese mit den externen Bedrohungsdaten.

 

  • · Open-Source Threat Intelligence: Durch die Nutzung öffentlich zugänglicher Daten zur Bedrohungsaufklärung lassen sich mit geringem Kostenaufwand oder sogar kostenfrei Trends und Muster ermitteln. Ihre Hauptaugenmerk hierbei sollte vertrauenswürdigen, z. B. von CERT-Abteilungen bereitgestellten Foren und Datenbanken oder den Informationen von renommierten Cybersicherheitsunternehmen gelten. Als Einsteiger sollten Sie sich mithilfe eines bewährten Open-Source-Leitfadens für Threat Intelligence oder eines Online-Kurses durch den Prozess zur Erfassung und Analyse öffentlicher Daten leiten lassen. Beachten Sie dabei, dass zur Erhaltung der Datenintegrität jede Information anhand von anderen glaubwürdigen Quellen gegengeprüft werden muss.

 

Der Einsatz all dieser Tools und Techniken muss sorgfältig durchdacht sein, und ein strategischer Ansatz für die Integration ist unverzichtbar. Da hierbei eine Anpassung an Ihre spezifischen Sicherheitsanforderungen und -ziele notwendig ist, zögern Sie nicht, das Know-how von Experten in Anspruch zu nehmen, um die Tools und Techniken optimal nutzen zu können.

Wie kann ich mit der Implementierung von Cyber Threat Intelligence in meinem Unternehmen beginnen?

Die Implementierung einer Threat-Intelligence-Lösung in die Sicherheitsinfrastruktur Ihres Unternehmens ist ein wichtiger strategischer Schritt, der sorgfältige Planung und Überlegung erfordert.

Wählen Sie eine professionelle CTI-Lösung, die Ihren Erfordernissen und Prioritäten am besten entspricht. Es wird dringend empfohlen, die IT-Teams und Cybersicherheitsexperten des Unternehmens in diesen Prozess einzubeziehen.

Gibt es Risiken im Zusammenhang mit Cyber Threat Intelligence?

Nein, durch die CTI selbst ergeben sich keine Risiken, aber es können Schwierigkeiten auftreten, die Sie im Hinterkopf haben sollten. Dabei kann unzureichende Planung oder eine ungeeignete Zuweisung von Ressourcen eine große Rolle spielen.

Den Unternehmen muss klar sein, dass es möglicherweise zu einer Informationsüberflutung kommen kann.

Ohne geeignete Filter- und Analysemechanismen könnte das Auftreten von falsch positiven oder negativen Ergebnissen wertvolle Ressourcen verschwenden. Damit eine solche Implementierung erfolgreich wird, ist es unerlässlich, in hochwertige Threat Intelligence zu investieren. Hierzu muss ein mehrschichtiger, automatisierter Ansatz gewählt werden, der hochwertige externe Lösungen und strategische interne Ressourcen – einschließlich der kontinuierlichen Unterstützung des Teams – kombiniert.

Was sind Daten zur technischen Bedrohungsaufklärung?

Technische Cyber Threat Intelligence ist auf den Nachweis von Cyberbedrohungen spezialisiert. Die Daten werden oft als Teilmenge der operativen Threat Intelligence betrachtet, aber der Schwerpunkt liegt auf direkten Nachweisen für Bedrohungen.

Dies bedeutet, dass sie auch eine wichtige Rolle sowohl bei der taktischen als auch bei der operativen Threat Intelligence spielen können. Die Daten der technischen Threat Intelligence liefern spezifische Details zu laufenden und potenziellen Angriffen, indem sie Gefährdungsindikatoren (IoCs) identifizieren. Dazu gehören IP-Adressen, die mit böswilligen Aktivitäten in Verbindung stehen, Inhalte von Phishing-E-Mails, bekannte Malware-Muster und irreführende URLs.