Verseuchte Werbung

Gute Anzeigen sollen virale Wirkung haben. Das Credo haben Computerkriminelle weitergedacht. Zunehmend nutzen sie Werbebanner, um Computerviren und andere Schadsoftware zu verbreiten. Für die Kriminellen ist das ein einträgliches Geschäft. Für Verlagsportale ist das existenzbedrohend. Denn immer mehr Web-Surfer schützen sich mit Ad-Blockern vor unerwünschter Schadsoftware. Darunter leiden die Anzeigengeschäfte massiv. Die Verlage müssen handeln.

Von Peter Welchering, Medienbüro Welchering, Stuttgart

Die großen Nachrichtenportale waren am heftigsten betroffen. Anfang des Jahres 2016 hatte eine weltweit arbeitende Kriminellengruppe gleich drei auch in Deutschland gern gelesene Nachrichten-Websites mit aggressiver Schadsoftware bestückt. Mit fatalen Konsequenzen: Mehrere hunderttausend PCs und Laptops waren innerhalb weniger Stunden infiziert. Aufgedeckt wurde die Tat erst vor wenigen Monaten. „Die Kriminellen hatten ihre Spionagesoftware sehr gezielt auf ausgewählte Zielobjekte gebracht“, berichtet Thomas Hemker vom IT-Sicherheitsunternehmen Symantec. Ausgespäht werden sollten wohl hochrangiger Manager. Welche Daten allerdings wirklich abgeflossen sind, ist bis heute unklar.

„Bei dieser Attacke haben die Kriminellen allerdings nicht wie bisher direkt die Server angegriffen, auf denen die Nachrichtenportale aufliegen“, erläutert Sebastian Schreiber, Geschäftsführer der Syss GmbH in Tübingen. Es handelte sich um einen indirekten Angriff.

Die Schadsoftware war in Werbebannern  versteckt, die von Media-Agenturen auf die Nachrichtenportale gebracht worden waren. „Die kriminellen Angreifer haben also einfach eine Anzeige geschaltet“, bringt Mikko Hypponen, Chef des IT-Sicherheitsspezialisten F-Secure, die Strategie auf den Punkt.

Für die Kriminellen hat das viele Vorteile. „Die Server von Nachrichtenportalen sind inzwischen äußerst effizient gegen Hacker-Angriffe abgesichert“, meint Sebastian Schreiber. Hier Schadsoftware einzuschleusen würde enorm viel Zeit, Arbeitskraft und damit Geld kosten.

Werbebanner hingegen werden bisher kaum abgesichert. Sie liegen auf den Servern von Media-Agenturen und werden von dort aus direkt in die entsprechenden Frames der Nachrichtenportale eingespielt. „Dadurch werden hochgradig individuelle Werbemaßnahmen möglich“, weiß Schreiber.

Verlage haben keinen Einfluss auf Banner

Standardmäßig ermitteln Agenturen mit Tracking-Software Nutzerprofile aus Daten wie dem installierten Betriebssystem, der aktuellen Bildschirm-Auflösung, dem verwendeten Browser samt Zusatzprogrammen sowie den installierten Schriften und Sprachen. So können sie jedem Surfer individuelle Werbebanner anzeigen, die ihn interessieren.

Die personalisierte Werbung kann aber nur funktionieren, indem Werbebanner und damit der ihnen zugrundeliegende Code, ständig ausgetauscht werden. „Der Verlag hat also gar nicht mehr die Kontrolle darüber, welche Codes in welcher Seitenbeschreibungssprache und welche Skripte in welcher Skriptsprache auf seinen Anzeigeflächen eingeblendet werden“, zeigt Sebastian Schreiber das eigentliche Problem beim sogenannten „Malwaretising“, dem Verteilen von Schadsoftware per Werbebanner, auf.

Deshalb können auch die Systemadministratoren der Verlage die Werbebanner- Dateien gar nicht mehr analysieren und auf Schadsoftware untersuchen. „Genau das nutzen die Online-Kriminellen aus“, sagt Udo Schneider vom japanischen Sicherheitsunternehmen Trend Micro.

Dabei haben sich zwei Strategien der Kriminellen bewährt. Entweder sie greifen die mitunter nur miserabel gesicherten Server der Media-Agenturen an und schleusen in die dort gespeicherten Dateien mit den Werbebannern Computerviren ein. Oder sie greifen diese Dateien auf dem Weg von der Media-Agentur zum Verlagsserver ab und tauschen sie gegen infizierte Dateien aus.

Krimineller Bannertausch mit Folgen

Viele Web-Surfer haben auf diese neue Gefahr aus dem Netz schon reagiert. Sie schauen sich die Angebote von Verlagsportalen und Nachrichten-Websites nur noch mit eingeschalteten Ad-Blockern an. Natürlich kann die Management- Software der Verlagsportale solche Ad-Blocker erkennen und dann den Zugriff auf das Informationsangebot des Portals verweigern. „Doch das verärgert die Surfer, und das wollen die meisten Verlagsportale ja gerade nicht“, meint Udo Schneider von Trend Micro. Nicht wenige Verlage haben deshalb Ad-Blocker auch wieder zugelassen, sind aber keineswegs zufrieden mit der Situation. Denn Ad-Blocker machen einen nicht gerade uninteressanten Teil des Werbegeschäfts kaputt.

Surfer schützen sich mit Ad-Blockern

Deshalb lautet die Strategie einiger Vorreiter in der Verlagsbranche, infizierte Werbebanner in Zusammenarbeit mit den Media-Agenturen unschädlich zu machen um Surfer dann nachweisbar maximale Sicherheit beim Surfen garantieren zu können. „Doch das ist in technischer Hinsicht nicht ganz trivial“, meint Sicherheitsberater Sebastian Schreiber. Denn ein solches Sicherheitskonzept muss gleich auf drei Seiten greifen. Zum einen gilt es die Server der Media-Agenturen viel besser gegen Hackerangriffe und das Einschleusen von Schadsoftware abzusichern.

Zweitens muss der Übertragungsweg der Werbebanner von der Media-Agentur zum Verlagsportal gegen Man-in-the-Middle-Attacken geschützt werden. Die Datenpäckchen mit dem Originalcode für die Werbebanner dürfen auf gar keinen Fall mehr gegen infizierte Dateien ausgetauscht werden können.

Drittens müssen die für bestimmte Anzeigenplätze auf dem Verlagsserver hinterlegten Banner-Dateien ständig in Echtzeit auf Schadsoftware überprüft werden. „Nur wenn alle drei Angriffsvektoren unterbunden werden, lässt sich die vom Surfer verlangte Sicherheit garantieren“, meint Udo Schneider von Trend Micro.

Nur Mehrfach-Absicherung hilft

Werbebanner liegen auf dem Serververbund von Media-Agenturen meist auf weniger geschützten Speicherplätzen. Zum einen weisen noch immer sehr viele Agenturserver einen absolut unzureichenden Schutz vor Hacking-Attacken auf. Zum anderen soll der Austausch zwischen Agentur-Server und Verlagsportal so unproblematisch wie möglich sein. Deshalb finden sich hier oft nur rudimentäre Schutzmaßnahmen.

„Wenn der Agenturserver ordentlich mit Sicherungssystemen wie Einbruchsmeldesoftware oder KI-basierten Algorithmen für die Schadsoftwareerkennung abgesichert ist, muss der Übertragungsweg zusätzlich geschützt werden“, meint Udo Schneider. Er empfiehlt neben einem virtuellen privaten Netzwerk für den Transport der Bannerdateien auch den Aufbau einer Zertifikate- Struktur. „Hier müssen wir ein ähnliches Sicherheitslevel erreichen wie im professionellen Cloud-Computing“, lautet Schneiders Einschätzung. Demzufolge müsste die auf Schadsoftware überprüfte Datei mit den Daten des Werbebanners auf dem Server der Media-Agentur per entsprechendem fälschungssicherem Prüfzertifikat versehen werden. Nach dem erfolgten Transport zum Verlagsserver via virtuellem privatem Netzwerk tauschen Agenturserver und Verlagsportal noch einmal Zertifikate aus, um abzusichern, dass die auf dem Verlagsserver eingelieferte Bannerdatei auch wirklich vom Agenturserver stammt.

Verlage haben Zertifikate unterschätzt

Danach wird das Zertifikat der Datei selbst noch einmal gegengecheckt, und bei erfolgreicher Überprüfung wird die Bannerdatei an das Sicherheitssystem des Verlagsportals übergeben. Entsprechende Scanner und Sicherheitsalgorithmen prüfen, ob sie bekannte Schadsoftwaremuster in der Datei finden. Ist das nicht der Fall, wird das Werbebanner an dem dafür vorgesehenen Anzeigenplatz eingeblendet.

„Die ganzen Sicherheitsprozeduren beanspruchen nur wenige Millisekunden“, erklärt Udo Schneider. Das Echtzeitgeschäft in der personalisierten Werbung wird dadurch also nicht beeinträchtigt. In nicht wenigen Fällen übersteigen die Kosten für diese Sicherheitsmaßnahmen aber die mit Werbebannern erzielten Anzeigeerlöse massiv. Und dann schrecken Agenturen und Verlage vor diesen Sicherheitsmaßnahmen zurück und öffnen den kriminellen Banner- Hackern Tür und Tor.

„Das kann natürlich kein Weg sein“, urteilt Sebastian Schreiber und fordert sehr nachdrücklich eine bessere Absicherung der Werbebanner-Dateien auf den Servern und während des Transportes. Finanziert werden könnte das z. B. durch bessere Integration der Banner in Werbekampagnen, die bis hin zum Native Advertising ein ganzheitliches Kommunikationsangebot unterbreiten.

Media-Agenturen sind gefragt

Die Arbeitsteilung in der Kommunikationsbranche ist Schuld. Denn Verlage stellen auch auf ihren Portalen nur den Anzeigenplatz zur Verfügung. Die großen Ad-Networks errechnen mit ihren Big-Data-Analysen individuelle Werbebanner für einzelne Internet-Surfer. Und die Media-Agenturen liefern diese Banner dann in Echtzeit an die Portale. Dabei bleiben Sicherheitsfragen weitgehend auf der Strecke. Als erstes müssen die Media-Agenturen die Server für die Werbebanner besser absichern. Helfen kann dabei Fuzzing-Software. Sie erzeugt zufällige Daten und gibt sie an das zu untersuchende Zielsystem weiter. Eine zeitgleich mitlaufende Monitoring-Software überwacht und protokolliert, wie das zu untersuchende System auf die zufällig generierten Daten reagiert.

So wird z. B. ständig der Verbrauch an Rechenzeit, der Speicherbedarf oder der Abbruch eines Algorithmus überwacht. „Das gesamte Laufzeitverhalten eines Computerprogramms wird genau nach verfolgt“, erläutert Professor Hartmut Pohl von der Sicherheitsberatung Softscheck in Sankt Augustin.

Ergeben sich Auffälligkeiten im Programmverhalten, schlägt die Überwachungssoftware Alarm. Ein Systemanalytiker kann sich dann sämtliche Systemparameter und das Verhalten der Software anschauen und so sehr schnell Sicherheitslücken entdecken und eine Strategie entwickeln, wie diese Lücken geschlossen werden können. „Der Vorteil liegt in der Automatisierung der Suche nach Schwachstellen“, betont Hartmut Pohl. Gegenwärtig sind ungefähr 300 Fuzzing-Werkzeuge verfügbar, mit denen Systeme auf Sicherheitslücken getestet werden können. Allerdings werden die bei weitem noch nicht so flächendeckend eingesetzt, wie es nötig wäre, um ein ausreichendes Maß an IT-Sicherheit gewährleisten zu können.

Zwei Ansätze sieht Sicherheitsexperte Michal Hange, der frühere Präsident des Bundesamtes für die Sicherheit in der Informationstechnik, hier als aussichtsreich an. Er wirbt nachhaltig für eine breit angelegte Informationskampagne für mehr IT-Sicherheit. „Die muss ähnlich angelegt sein wie die Kampagnen für Verkehrssicherheit in den siebziger Jahren“, fordert er. Immerhin surfen rund 15 % der deutschen User weitgehend ungeschützt im Netz und haben nicht einmal aktuelle Antivirensoftware auf ihrem PC. Zum zweiten sieht Hange, dass IT-Schutz mit Virensignaturen und Firewalls nicht mehr ausreichen wird.

Verlags-Clouds müssen noch sicherer werden

„Vor allen Dingen beim jetzt besonders intensiv diskutierten Cloud-Computing müssen aufwändigere Sicherheitssysteme mit eingepreist werden“, empfiehlt der IT-Schützer den Cloud-Anbietern. Welche Sicherheitssysteme allerdings die auf unterschiedliche Internet-Server ausgelagerten Datenbestände der Unternehmen wirkungsvoll schützen, blieb offen. Hier konnten sich die Experten nicht auf Schutzstandards einigen.

Sandboxverfahren und abgeschottete Systeme empfiehlt Michael Hange. Neue Daten werden in einem besonders abgesicherten Teil des Computersystems erst einmal gründlich untersucht, bevor sie an die Anwendungsprogramme weitergereicht werden. Auf diese Weise soll versteckter Schadcode aufgespürt und ausgesondert werden.

2018-02-02T15:56:23+00:00 02. Februar 2018|

impresso