Eine der derzeit beliebtesten Angriffsmethoden auf Computer ist das sogenannte Malvertising – ein Kunstwort aus „Malware“, also „Schadsoftware“, und „Advertising“, „werben“. Auf einer eigentlich harmlosen und sehr oft stark besuchten Webseite wird Werbung geschaltet, die das Ziel verfolgt, den Computer mit Schadsoftware zu infizieren. Ein kürzlich veröffentlichter Report von Cyphort (PDF, englisch) spricht von einer Zunahme dieser Angriffsform von 325% im Jahr 2014 gegenüber dem Vorjahr, Tendenz weiter steigend.
Wie Malvertising funktioniert
Eine große Anzahl von Webseiten erwirtschaftet Einkommen durch Werbeanzeigen, die neben oder zwischen den eigentlichen Inhalten der Webseite platziert werden. In der Regel ist es so, dass die Betreiber der Webseite diese Werbung nicht persönlich aussuchen. Stattdessen vermieten sie den für Werbung vorgesehenen Bereich an entsprechende Dienstleister. Auch diese Dienstleister platzieren die Werbung nicht unbedingt selbst, sondern arbeiten ihrerseits wiederum mit mehreren kleineren Dienstleistern zusammen. Der Werbeplatz wird vollautomatisch anhand solcher Faktoren wie zum Beispiel dem Standort des Betrachters versteigert. So entsteht eine Kaskade aus Anbietern, an deren Ende dann der Auslieferer der eigentlichen Werbung steht. Von diesem stammt letztendlich die eingeblendete Werbeanzeige.
Solche Werbung funktioniert besser, wenn sie sich bewegt und zum Klicken animiert, deshalb ist es üblich, dass sie im Flash-Format ausgeliefert wird. Flash ist eine Technik von Adobe, die für bewegliche, klickbare Inhalte im Internet verwendet wird, bis hin zu vollständigen Spielen, den sogenannten Browsergames.
Flash ist leider ein immenses Sicherheitsrisiko. Es ist extrem weit verbreitet, muss aber, da es kein Teil des Betriebssystems ist, auf Windows-PCs manuell aktuell gehalten werden. Das tun die wenigsten Anwender. Dementsprechend laufen auf vielen Computern veraltete Versionen dieser Software, deren Sicherheitslücken sehr gut dokumentiert sind. Durch entsprechend programmierte Flash-Anzeigen ist es daher leicht, nach einem Klick oder, bei besonders gravierenden Lücken, sogar ohne jedes Zutun des Betrachters schon beim Laden der Anzeige das Betriebssystem, den Browser oder Flash selbst auf weitere Lücken abzuklopfen, durch die dann wiederum Schadsoftware auf dem PC installiert wird.
Malvertising-Anzeigen sind so gestaltet, dass sie besonders zum Klicken animieren. Sie können echten erfolgreichen Anzeigen nachempfunden sein, sie können attraktive Versprechungen machen (Gewinnspiele, kostenlose Produkte) oder drohen vielleicht mit auf dem Computer vorgefundenen Viren, die durch Klick auf die Werbung entfernt werden sollen. Es ist auch möglich, dass die Werbung bewusst wie ein Teil der Seite gestaltet ist.
Klickt man nun auf eine solche Werbung, löst dies die oben beschriebene Kaskade aus Verweisen von einem Zwischenhändler zum nächsten aus. Die Sicherheits-Firma Cyphort beschreibt in einem Blogartikel (engl.) eine Malvertising-Kampagne, die von der eigentlichen Webseite aus beim Klick auf die betreffende Werbung zunächst über sechs Zwischenstationen zu einem Werbeserver läuft, von dort aus auf zwei weitere Seiten und dann noch zwei Weiterleitungen zu dem eigentlichen PHP-Script, das dann das System, auf dem die Werbung angezeigt wird, auf Sicherheitslücken abklopft und im Erfolgsfall durch diese eine Infektion durchführt. Und das in diesem Fall auf einer Webseite, die selbst 100 Millionen Besucher im Monat aufweist und über einen Werbedienstleister, der seinerseits sogar fast doppelt so viele monatliche Aufrufe hat!
Wie man sich schützen kann
Die überwältigende Mehrheit von Angriffen auf Sicherheitslücken beziehen sich auf das Betriebssystem Windows. Auf Computern mit diesem Betriebssystem ist es unerlässlich, eine zuverlässige Schutzsoftware vor Viren etc. zu installieren und aktuell zu halten.
Neben Flash wird auch Java gerne zur Infektion von Systemen genutzt. Beide Technologien müssen deshalb ebenfalls immer auf aktuellem Stand gehalten werden. Noch sicherer ist es, ganz darauf zu verzichten, wenn es für Sie keine Anwendungen gibt, die Flash oder Java benötigen. Beide Technologien sind Programme, die auf normale Weise deinstalliert werden können. Flash wird auf den üblichen mobilen Plattformen (Android, iOS) ohnehin nicht mehr unterstützt und befindet sich auf einem absteigenden Ast.
Verwechseln Sie Java bitte nicht mit JavaScript. Trotz der Namensähnlichkeit haben diese beiden Technologien nichts miteinander zu tun. JavaScript ist eine Technik, die auf fast allen Webseiten benutzt wird und die nicht einzeln deinstalliert werden kann, wohl aber blockiert (siehe unten).
Eine weitere Möglichkeit sich zu schützen besteht in der Verwendung von entsprechenden Browser-Erweiterungen. Nicht jeder Browser unterstützt Erweiterungen und nicht jede Erweiterung existiert für jeden Browser. Exemplarisch nenne ich hier zwei Erweiterungen für Firefox:
- AdBlock Plus ist eine Erweiterung, die speziell dafür gedacht ist, Werbeanzeigen zu blockieren. Allerdings ist diese Blockade ein zweischneidiges Schwert, denn wenn Anzeigen blockiert werden, verliert die Webseite eine Möglichkeit, mit legitimen Anzeigen Geld zu verdienen. Deaktiviert man den Adblocker für Seiten, denen man diese Einkommensquelle nicht entziehen will, fällt der Schutz vor Malvertising durch diese Erweiterung auf dieser Seite weg.
- NoScript ist eine Erweiterung, die die Ausführung von Techniken wie Java, Flash, JavaScript und anderen unterbindet, und zwar vor allem für andere Webseiten als die aktuell dargestellte. Das bedeutet, dass -je nach Einstellung- die Webseite, die man gerade bewusst besucht, diese Technologien benutzen darf, die weiteren Werbequellen aus der oben beschriebenen Kaskade aus Dienstleistern aber nicht. Leider ist NoScript nicht gerade trivial einzustellen, so dass es nicht leicht ist, ein Gleichgewicht aus Script-Blockade und Bedienungskomfort der besuchten Webseite herzustellen. Häufig führt ein einfach nur installiertes und dann nicht sauber eingestelltes NoScript dazu, dass die gewohnten Webseiten nicht mehr normal funktionieren, und mit der korrekten Einstellung sind normale Anwender dann leider überfordert.
Ein hervorragender Schutz besteht darin, anstelle von Windows auf andere Betriebssysteme zu setzen. Besonders bietet sich Linux an, welches in der Praxis um mehrere Größenordnungen sicherer als Windows ist. Zumindest sollte aber auf die Verwendung des -mit Windows 10 ohnehin zum Sterben verurteilten- Internet Explorer verzichtet werden, da dieser Browser durch seine tiefe Verzahnung mit Windows ein besonderes Sicherheitsrisiko darstellt.
