Ende Juni warnten die IT-Sicherheitsdienstleister Mal­warebytes und Trend Micro vor Angriffen auf Internetnutzer: Website-Besucher wurden über bösartige Werbe­anzeigen auf das „Greenflash Sundown Exploit Kit“ umgeleitet. Ihr Rechner wurde mit einem Kryptowährungs-Miner infiziert.

Solche Angriffe auf Webnutzer über ­digitale Werbung werden als Malvertising bezeichnet. Die Wortneuschöpfung setzt sich aus „malicious“ - bösartig - und „Advertising“ zusammen. IT-Sicherheitsanbieter berichten von mehreren Wegen, wie arglose ­Internetnutzer angegriffen werden.

Der Ablauf folgt einer gewissen Regelmässigkeit, beobachtet Peter Meyer, Projektmanager bei Eyeo, Anbieter eines Werbeblockers, den viele auch dazu einsetzen, um sich vor Malvertising zu schützen. „Zuerst legen die Täter bei ­einem Werbenetzwerk ein Profil an und bauen Reputation auf. Sobald sie das Vertrauen des Werbenetzwerks als seriöser Werbungtreibender gewonnen haben, schleusen sie Malware-Kampagnen ein. Selbst mit einem kleinen Betrag von 4 oder 5 Dollar kann man so viel Schaden anrichten.“

Im eingangs geschilderten Fall war ein kompromittierter Adserver das Einfallstor. Die Täter schleusen Schadcode auf den Adserver des Publishers. So gelingt es ­ihnen, Werbeanzeigen zu „vergiften“.

Die Folge: Nutzer, die die Werbung sehen oder daraufklicken, werden auf einen Server mit einem Exploit Kit umgeleitet. Exploit Kits sind Sammlungen vorgefertigter Exploits - Programme, die ­automatisiert Sicherheitslücken aufspüren und ausnutzen.

Das Exploit Kit durchsucht das Gerät des Nutzers systematisch nach bestimmten Schwachstellen. Wird beispielsweise ein ungepatchter Browser, eine nicht aktualisierte Anwendung oder ein veraltetes Betriebssystem entdeckt, lädt das Exploit Kit die Schad-Software nach.

Helge Husemann, Channel Director DACH bei Malwarebytes, das Lösungen zur Prävention und Behebung von Mal­ware-Schäden anbietet, zählt auf, wie Nutzer durch Malvertising geschädigt werden: „Es muss nicht immer gleich ein Ransomware-Angriff sein, bei dem der Rechner verschlüsselt wird. Mit Malvertising können ein Bot-Netz aufgebaut oder über Phishing Zugangsdaten abgegriffen werden - oder eine Kryptomining-Software landet auf dem Rechner.“ Das alles sei mit geringem Einsatz möglich.

„Dynamische Werbemittel sind bei ­Cyberkriminellen sehr beliebt“, weiss ­Husemann. Bei diesen Werbemitteln wird im Hintergrund Inhalt nachgeladen. „Das Schadpixel kommt eine Millisekunde später“, erläutert er. Es ist nicht wahrnehmbar.

Der Sicherheitsexperte rät P­u­blishern und Adserver-Anbietern, immer genau zu prüfen, was im Hintergrund nachgeladen wird, wenn ein Werbemittel ausgeliefert wird.

Während IT-Sicherheitsanbieter offen über die Gefahren durch Malvertising sprechen - auch weil sie immer wieder Fälle aufdecken -, zeigt sich im auffälligen Gegensatz dazu die Adtech- und Vermarkterbranche schmallippig.

Weder der Adtech-Anbieter Xandr (besser bekannt unter dem Namen Appnexus) noch die Demand-Side-Plattform The Trade Desk noch der Mobile-Vermarkter Madvertise haben auf eine Anfrage von INTERNET WORLD BUSINESS, der Schwesterzeitschrift von com! professional, geantwortet. Das Thema ist für die Branche ­offenbar zu heikel.

Einzig Google hat auf die Anfrage ­reagiert und allgemein auf den „Bad Ads Report“ verwiesen, den das Unternehmen jedes Jahr veröffentlicht. Im Jahr 2018 hat Google demnach 79 Millionen Anzeigen entfernt, die Nutzer auf mit Malware infizierte Seiten geleitet haben. Google setzt eigene Technologien und Tools zur Erkennung von Malware ein, mit denen Werbemittel regelmässig überprüft werden. Auf einer eigenen Webseite informiert der digitale Werberiese, welche Massnahmen Publisher ergreifen können.

Wie häufig Malvertising vorkommt und wie viele Nutzer dadurch geschädigt werden, ist nicht klar. „Malvertising lässt sich nicht in Zahlen fassen“, unterstreicht Helge Huse­mann. Adtech-Anbieter machen es nämlich nicht öffentlich, wenn über ihren Adserver Kampagnen mit Schadcode ausgespielt wurden. Andreas Hamdorf, stellvertretender Vorsitzender der Fokusgruppe Digital Marketing Quality im Bundesverband ­Digitale Wirtschaft, geht davon aus, dass Malvertising in Deutschland sehr selten ist.

Das Bundesamt für Sicherheit in der ­Informationstechnik (BSI) jedoch schätzt die Gefahr von schadhafter Online-Werbung als mittel bis hoch ein. Denn in der Vergangenheit gelang es Angreifern immer wieder, selbst auf seriösen Webseiten Schadprogramme zu platzieren.

Werbung ist ein globales Geschäft, Angreifer können Malvertising-Attacken von überall aus starten. Dass auch deutsche Nutzer davon betroffen sind, zeigt die Auswertung von Trend Micro zum Greenflash Sundown Exploit Kit: Deutschland lag hier bei den Aktivitäten der Schad-Software auf Platz drei.

Andreas Hamdorf, stellvertretender Vorsitzender der Fokusgruppe Digital Marketing Quality im Bundesverband Digitale Wirtschaft, sieht kein grosses Malvertising-Pro­blem im deutschen digitalen Werbemarkt.

com! professional: Wie häufig kommt Malvertising im deutschen digitalen Werbemarkt vor?

Andreas Hamdorf: Malvertising-Attacken werden nicht erfasst. Ich kenne ­keine Zahlen dazu. Meiner Erfahrung nach ist Malvertising in Deutschland sehr selten. Digital-Vermarkter haben Schutzmechanismen eingerichtet, um Malver­tising zu verhindern. Viele prüfen beispielsweise mit einer Lösung von Maanto, was nachgeladen wird, wenn ein Werbemittel lädt. Auch die Adserver-Anbieter selbst bieten Schutzmechanismen an. Adform prüft zum Beispiel den Quellcode bei Werbemitteln und ob Anfragen an ein externes System gestartet werden.

com! professional: Begünstigt Programmatic Advertising das Ausliefern von Werbekampagnen mit verstecktem Schadcode? Schliesslich sind dabei viele Intermediäre beteiligt und alles ist recht unübersichtlich.

Hamdorf: Der deutsche Markt funktioniert anders als der amerikanische. Der Anteil von Programmatic Advertising ist im deutschen digitalen Werbemarkt insgesamt niedriger als in den USA. Im amerikanischen Markt kommt es vor, dass infizierte Werbe-Scripts in ein Werbenetzwerk hochgeladen und mit der Kreditkarte bezahlt werden. Werbekampagnen per Kreditkarte einzubuchen, ist hier doch sehr unüblich und oft nicht möglich. 

In Deutschland werden Werbekampagnen meist per Rechnung bezahlt, sodass ersichtlich ist, wer der Auftrag­geber einer Kampagne ist. Sobald so ­eine Eins-zu-eins-Beziehung besteht, ist das Risiko für Malvertising geringer.

Eine weitere Hürde für potenzielle ­Täter sind Mindestbuchungsvolumen bei Demand-Side-Plattformen. Ein Betrüger müsste bereit sein, hohe Beträge zu ­investieren, um Malvertising-Kampagnen zu verbreiten.

Hamdorf: Die Fokusgruppe Digital Marketing Quality bedient die gleichen Themen wie die Trustworthy Accountability Group. Deren Initiativen färben auch auf den deutschen Markt ab, weil viele amerikanische Adtech-Anbieter, die sich dort engagieren, hier aktiv sind.