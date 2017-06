Gegen Malvertising hilft eine einfache Maßnahme: Ad-Blocker. Das Bundesamt für Sicherheit in der Informationstechnik sieht das nach Angaben der Bundesregierung anders. Die Behörde zog ihre Empfehlung für Ad-Blocker zurück, schließlich würden damit die Geschäftsmodelle von Anbietern gestört. Wir veröffentlichen die Antwort der Bundesregierung.

Welche aktuelle Position hat die Bundesregierung zum sogenannten Malvertising und zum Schutz mit Ad-Blockern? Malvertising bezeichnet das Ausliefern von Schadsoftware, die Huckepack mit Werbung an die Nutzer verteilt wird. Ad-Blocker, die eigentlich vor allem Werbung ausblenden sollen, haben den Zweitnutzen, dass sie Nutzer auch vor solcher Schadsoftware schützen. Generell vertritt die Regierung die Haltung, dass der Einsatz von Ad-Blockern „eine Maßnahme zum Schutz der Nutzer“ sei und zieht daher bei diesen Fragen das Bundesamt für Sicherheit in der Informationstechnik (BSI) wegen seiner Expertise zu Rate. Schaut man aber genauer hin, ist die Position der Bundesregierung alles andere als konsistent. Aus einer Antwort (pdf) auf eine parlamentarische Anfrage (pdf) der Fraktion der Linken im Bundestag werden die inhaltlichen Widersprüche deutlich.

Welcher konkrete Schaden aus Malvertising und damit schädlicher oder betrügerischer Online-Werbung erwächst, kann die Bundesregierung nicht beziffern. Sie nennt dafür als Gründe, dass Nutzer nach einer Infektion mit Schadsoftware kaum Anzeigen erstatten oder sich beim BSI melden würden. Auch polizeiliche Statistiken würden hier keine Zahlen hergeben.

Nach der Antwort zu urteilen wurde jedoch nur ein Ausschnitt der Schäden betrachtet. Denn man muss es auch einen echten Schaden nennen, wenn permanent Tausende Computer infiziert werden, wenn Tausende Stunden Arbeit von Nutzern selbst und auch von Professionellen geleistet werden, um den Schund wieder von der Platte zu kratzen, und wenn Gigabytes an sinnlosem und gefährlichem Datenverkehr durch die Netze geschoben werden.

Nun werden sich viele fragen: Was empfiehlt denn nun das BSI zum Einsatz von Ad-Blockern? Die Antwort der Bundesregierung wird bei jedem, dem an der IT-Sicherheit liegt, die Kinnlade entgleiten lassen. Denn das BSI habe früher „das Produkt Ad-Block Plus“ empfohlen, allerdings …

… ist das Blockieren aller […] Werbebanner unverhältnismäßig und greift in das Geschäftsmodell von Content-Anbietern ein. Daher zog das BSI seine Empfehlung für Ad-Blocker zurück.

Das Geschäftsmodell der Content-Anbieter ist demnach wichtiger als das Eindämmen von Schadsoftware. Für eine Behörde, deren Ziel schon dem Namen nach die Sicherheit in der Informationstechnik ist, sollte allerdings nicht nur an der klaren und unzweideutigen Empfehlung für Ad-Blocker gelegen sein, sondern sinnvollerweise auch Informationen anbieten, die Nutzern zeigen, welche Ad-Blocker mit welchen Techniken für welche Systeme sinnvoll sind. Stattdessen aber die Empfehlung für Ad-Blocker zurückzuziehen, schwächt die IT-Sicherheit bei den Nutzern – wegen Geschäftsmodellen, die das Malvertising selbst unterbinden könnten.

Regierung empfiehlt besser ein Antivirus-Programm

Wenn man auf das Nutzerverhalten und die Reaktionen der Werbe-Verteiler blickt, kann man von einer Art „Aufrüstungswettlauf“ sprechen, der im Gange ist: Die Anzahl der Ad-Blocker-Nutzer steigt kontinuierlich, einige Nachrichtenseiten greifen im Gegenzug zu Ad-Blocker-Blockern, schließen also diejenigen aus, deren Ad-Blocker leicht detektierbar sind. Rechtlich gesehen gibt es jedoch bisher keine Handhabe gegen die Nutzer, denn Ad-Blocking ist nicht verboten. Es ist aber ein Streben der Verlegerverbände zu beobachten, zu einem gesetzlichen Verbot von Ad-Blockern zu kommen.

Das wäre aber zugleich eine Frage der IT-Sicherheit. Denn laut Regierung sei „aus IT-Sicherheitssicht“ zu Ad-Blockern zu raten. Allerdings wird eine „Gewichtung von Schutzmechanismen“ vorgenommen. Demnach wäre das Aktualisieren von verwendeter Software wichtiger sowie das „Vorhandensein eines Antivirenprogrammes“. Letzteres dürfte sicher nicht jeder unterschreiben, der sich mit IT-Sicherheit auseinandersetzt.

Was aber empfiehlt das BSI denn nun zum Schutz vor Malvertising? Das fragen die Linken-Abgeordneten die Regierung und erhalten eine denkbar generische Antwort: Die Behörde veröffentliche „präventive Maßnahmen“, nicht aber speziell gegen das Malvertising, sondern zum Schutz von jeder Art von „webbasierten-Schadcode-Angriffen“. Ansonsten wird noch auf das Portal „BSI für Bürger“, den BSI-Newsletter sowie „BSI Pressemitteilungen“ (sic) verwiesen.

Keine einzige Empfehlung gegen Malvertising wird jedoch konkret benannt, obwohl das genau die Frage war. Das ist insofern bemerkenswert, da gegen Malvertising eben einfache Maßnahmen helfen, die aber längst nicht gegen alle „webbasierten-Schadcode-Angriffe“ schützen. Und das sind ebenjene Ad-Blocker. Dabei wird die Installation von Schadsoftware, die zusammen mit ausgelieferter Werbung verteilt wird, durch die Ad-Blocker auch dann verhindert, wenn ein Antivirus-Programm die Schadsoftware nicht erkennt. Insofern kann die von der Regierung favorisierte Gewichtung, die Antiviren-Programme bevorzugt, auch nicht überzeugen.

Auch wenn es um die Haftung geht, greift die Bundesregierung in ihrer Antwort zu recht vagen Formulierungen: Bei Malvertising „könnte § 13 Absatz 7 des Telemediengesetzes (TMG) herangezogen werden“, da dort Mindestanforderungen für Diensteanbieter formuliert sind. Da aber der Paragraph erst im Juli 2015 in Kraft getreten sei, „bleibt abzuwarten, ob und wie die Rechtsprechung diese Vorschrift auf Sachverhalte des Malvertising zur Anwendung bringt“. Wie sich die Bundesregierung selbst bei Fragen der Haftung wegen Malvertising positioniert, bleibt also schwammig. Aber wenn Ad-Blocker verboten werden, erübrigt sich die Frage ja auch.