Malvertising: Die dunkle Seite der Werbung

Ende Juni warnten die IT-Sicherheitsdienstleister Malwarebytes und Trend Micro vor Angriffen auf Internet-Nutzer: Website-Besucher wurden über bösartige Werbeanzeigen auf das "Greenflash Sundown Exploit Kit" umgeleitet. Ihr Rechner wurde mit einem Kryptowährungs-Miner infiziert.

Solche Angriffe auf Webnutzer über ­digitale Werbung werden als "Malvertising" bezeichnet. Die Wortneuschöpfung setzt sich aus "Malicious Advertising" zusammen, "malicious" heißt auf Deutsch "bösartig". IT-Sicherheitsanbieter berichten von mehreren Wegen, wie arglose ­Internet-Nutzer angegriffen werden.

Der Ablauf folgt einer gewissen Regelmäßigkeit, beobachtet Peter Meyer, Projektmanager bei der Eyeo GmbH. Eyeo ist Anbieter eines Werbeblockers, den viele auch dazu einsetzen, um sich vor Malvertising zu schützen. "Zuerst legen die Täter bei ­einem Werbenetzwerk ein Profil an und bauen Reputation auf. Sobald sie das Vertrauen des Werbenetzwerks als seriöser Werbungtreibender gewonnen haben, schleusen sie Malware-Kampagnen ein. Selbst mit einem kleinen Betrag von vier oder fünf US-Dollar kann man so viel Schaden anrichten."

Im eingangs geschilderten Fall war ein kompromittierter Adserver das Einfallstor. Die Täter schleusen Schadcode auf den Adserver des Publishers. So gelingt es ­ihnen, Werbeanzeigen zu "vergiften". Die Folge: Nutzer, die die Werbung sehen oder darauf klicken, werden auf einen Server mit einem Exploit Kit umgeleitet.

Exploit Kits sind eine Sammlung von vorgefertigten Exploits. Das sind Programme, die ­automatisiert Sicherheitslücken aufspüren und ausnutzen. Das Exploit Kit durchsucht das Gerät des Nutzers systematisch nach bestimmten Schwachstellen. Wird beispielsweise ein ungepatchter Browser, eine nicht aktualisierte Anwendung oder ein veraltetes Betriebssystem entdeckt, lädt das Exploit Kit die Schadsoftware nach.

Helge Husemann, Channel Director DACH bei Malwarebytes, einem Anbieter zur Prävention und Behebung von Mal­ware-Bedrohungen, zählt auf, wie Nutzer durch Malvertising geschädigt werden: "Es muss nicht immer gleich ein Ransomware-Angriff sein, bei dem der Rechner verschlüsselt wird. Mit Malvertising können ein Botnetz aufgebaut oder über Phishing Zugangsdaten abgegriffen werden - oder eine Kryptomining-Software landet auf dem Rechner." Das alles sei mit einem geringen Einsatz möglich.

"Dynamische Werbemittel sind bei ­Cyberkriminellen sehr beliebt", weiß ­Husemann. Bei diesen Werbemitteln wird im Hintergrund Inhalt nachgeladen. "Das Schadpixel kommt eine Millisekunde später", erläutert er. Es ist nicht wahrnehmbar. Der Sicherheitsexperte rät Publishern und Adserver-Anbietern, genau zu prüfen, was im Hintergrund nachgeladen wird, wenn ein Werbemittel ausgeliefert wird.

Während IT-Sicherheitsanbieter offen über die Gefahren durch Malvertising sprechen - auch weil sie immer wieder Fälle aufdecken -, zeigt sich die Adtech- und Vermarkterbranche schmallippig. Weder der Adtech-Anbieter Xandr (besser bekannt unter dem Namen Appnexus) noch die Demand-Side-Plattform The Trade Desk und der Mobile-Vermarkter Madvertise haben auf eine Anfrage von com! professional geantwortet. Das Thema ist für die Branche ­offenbar zu heikel.

Einzig Google hat auf die Anfrage ­reagiert und allgemein auf den sogenannten "Bad Ads Report" verwiesen, den das Unternehmen jedes Jahr veröffentlicht. Im Jahr 2018 hat Google demnach 79 Millionen Anzeigen entfernt, die Nutzer auf mit Malware infizierte Seiten geleitet haben. Google setzt eigene Technologien und Tools zur Erkennung von Malware ein, mit denen Werbemittel regelmäßig überprüft werden. Auf einer eigenen Webseite informiert der digitale Werberiese, welche Maßnahmen Publisher ergreifen können.

Wie häufig Malvertising vorkommt und wie viele Nutzer dadurch geschädigt werden, ist nicht klar. "Malvertising lässt sich nicht in Zahlen fassen", unterstreicht Huse­mann. Denn Adtech-Anbieter machen es nicht öffentlich, wenn über ihren Adserver Kampagnen mit Schadcode ausgespielt wurden. Andreas Hamdorf, stellvertretender Vorsitzender der Fokusgruppe Digital Marketing Quality im Bundesverband ­Digitale Wirtschaft, geht davon aus, dass Malvertising in Deutschland sehr selten ist.

Das Bundesamt für Sicherheit in der ­Informationstechnik (BSI) jedoch schätzt die Gefahr von schadhafter Online-Werbung als mittel bis hoch ein. Denn in der Vergangenheit gelang es Angreifern immer wieder, selbst auf seriösen Webseiten Schadprogramme zu platzieren.

Werbung ist ein globales Geschäft, Angreifer können Malvertising-Attacken von überall aus starten. Dass auch deutsche Nutzer davon betroffen sind, zeigt die Auswertung von Trend Micro zum "Greenflash Sundown Exploit Kit": Deutschland lag bei den Aktivitäten der Schadsoftware auf Platz drei.