Interview über Adblocker und das Wohlergehen der Schadsoftware-Branche: „Das Problem Malvertising nicht aussitzen!“

Werbung kann mit Adblockern ausgeblendet werden. Das ist auch deswegen digitale Selbstverteidigung, weil zugleich die Installation ungewünschter Software verhindert wird. Über die steigenden Zahlen bei Schadsoftware, die Huckepack mit Werbung verbreitet wird, sprechen wir in einem Interview mit Thorsten Schröder.

„Das Malvertising-Problem fängt jetzt erst richtig an“, sagt IT-Sicherheitsberater Thorsten Schröder. – Public Domain Max Pixel

Das sogenannte Adblocking, also das technische Blockieren von Werbeeinblendungen, ist bei immer mehr Nutzern beliebt, um etwa nervtötenden Popup-Anzeigen zu entkommen. Ein Browser mit Adblocker lädt die besuchte Website oft schneller, auf dem Mobiltelefon verringert er zudem die Kosten für die Bandbreite, falls man keine Flatrate hat oder aus anderen Gründen auf sein Übertragungsvolumen achten muss. Von der Politik wird allerdings seit einigen Monaten ein gesetzliches Verbot von Adblockern gefordert, das teilweise bejaht, aber auch brüsk abgelehnt wird. Denn Adblocker schützen die Privatsphäre, indem sie das Tracking reduzieren. Die Gegenwehr rührt aber auch daher, dass ein weiterer Grund für den Einsatz von Adblockern das sogenannte Malvertising ist. Denn zusammen mit der Werbung (engl. Advertising) wird den Website-Besuchern nicht selten Schadsoftware (engl. Malware) untergejubelt. Schadsoftware wird quasi nebenbei installiert, wenn die Werbeanzeigen geladen werden.

Wir haben in einem Interview mehr über den Schutz vor Malware, das Malvertising und über Adblocker erfahren wollen und sprachen mit Thorsten Schröder.

Thorsten Schröder ist Hacker, arbeitet in seiner Firma modzero AG als IT-Sicherheitsberater und greift im Kundenauftrag Software- und Hardwareprodukte an, um deren Sicherheit zu testen. Er twittert, engagiert sich außerdem ehrenamtlich im Chaos Computer Club und kämpft für digitale Grundrechte.

Selbstbestimmt im Internet

thorsten schroeder
Thorsten Schröder.

netzpolitik.org: Wenn Du die jüngst wieder geäußerten Forderungen nach einem gesetzlichen Verbot von Adblockern in drei Sätzen kommentieren müsstest, was würdest Du sagen?

Thorsten Schröder: Der Gesetzgeber sichert damit nicht nur das wirtschaftliche Wohlergehen von Medienunternehmen, sondern unter anderem auch das der Malware-Branche. Ich verstehe die Motivation der Bundesregierung, die Umsätze der deutschen Verlagswirtschaft zu optimieren. Jedoch müssten wir das Problem grundsätzlicher angehen: Das reine Verbot eines technischen Verfahrens, wie es unser Gigabit-Gesetzgeber mehr oder weniger konkret plant, beseitigt keine Probleme, sondern schafft nur neue.

netzpolitik.org: Neben dem Schutz vor Malware, welche weiteren Gründe für die Nutzung von Adblockern findest Du wichtig?

Thorsten Schröder: Wenn wir als Malware all das klassifizieren, was Nutzer ausspioniert, täuscht, kompromittiert oder finanziell schädigt, haben wir im Grunde schon mal eine ganze Reihe an Gründen abgehakt. Nutzer müssen die Möglichkeit haben, selbstbestimmt das Schutzniveau ihres Computers bestimmen zu dürfen. Hat die Bundesregierung vielleicht mal das Bundesamt für Sicherheit in der Informationstechnik (BSI) gefragt? Es wäre eine gute Gelegenheit für das BSI, zu zeigen, was es drauf hat.

Foto: Screenshot Twitter Niggemeier
Stefan Niggemeier über Werbung bei stern.de, via Twitter.

Ein Adblocker ermöglicht es mir, meine souveräne Entscheidung umzusetzen, beispielsweise keine sogenannten „Skyscraper-Takeover“ mit bewegten Bildern oder schlimmer auf den Bildschirm zu lassen. Wenn mir ein TV-Programm nicht gefällt, dann mache ich es nicht an. Wenn mir eine Art zu Werben nicht gefällt, dann möchte ich das ausschalten können. Ich möchte selbstbestimmt im Internet agieren und konsumieren dürfen.

netzpolitik.org: Würdest Du also sagen, Adblocker gehören einfach zur digitalen Selbstverteidigung?

Thorsten Schröder: Ich würde sagen, Adblocker gehören genau dann zur digitalen Selbstverteidigung, wenn ich das für mich so beschlossen habe. Ich empfehle den Leuten immer gern, die Systeme und Werkzeuge zu nutzen, mit denen sie sich sicher und wohl fühlen, mit denen sie sich am besten auskennen und wo auch die Nachteile bekannt sind. Wenn sich jemand mit Linux sicherer fühlt als mit Windows oder OSX, dann soll die Person das eben benutzen. Das gilt eben auch bei der Wahl des Browsers oder der Browser-Extensions.

Das Problem Malvertising

netzpolitik.org: Malvertising ist seit vielen Jahren bekannt, schon seit 2010 in größerem Umfang, längst sind auch große Verlage wie die New York Times oder in Deutschland Der Spiegel betroffen. Was ist der Grund, warum Malvertising noch immer ein Problem ist?

Thorsten Schröder: Die Technologie, auf der das alles basiert, stammt aus einer Zeit, in der ein Telekom-Vorstand das Internet für nicht relevant hielt. Technologisch hat sich hier offenbar nicht viel getan, organisatorisch allerdings schon. Das bedeutet: Viele neue Ideen und Strategien der Werbebranche wurden auf einem nicht zeitgemäßen Fundament gebaut. Es ist ein historisch gewachsenes Werkzeug, welches allmählich seine Schwächen offenbart.

Ich bin der Überzeugung, dass das Problem des Malvertisings jetzt erst richtig anfängt. Im Jahr 2016 hat die Malware-Industrie einen regelrechten Boom erlebt, beispielsweise mit den Crypto-Trojanern. Hier lässt sich viel Geld bei relativ geringem Risiko machen. Früher oder später werden die herkömmlichen Transportwege von Malware wie beispielsweise Spam-Mails aufgrund der Bildung von Nutzern und besserer Technologien geschlossen werden. Die Verbreitung über Online-Werbenetzwerke ist ein vielversprechender Ansatz, da die Nutzer schwerer differenzieren können zwischen Content aus einem Werbenetzwerk, Paid Content aus dem Verlags-Marketing und echtem Content aus der Redaktion eines Nachrichtenportals. Das dürfte die Basis für ein zeitgemäßes Malware-Business sein.

netzpolitik.org: Kannst Du Zahlen nennen zum heutigen Umfang von Malware oder zum Phishing, die Huckepack mit Werbung verbreitet werden?

Thorsten Schröder: Ich habe Zahlen von einem deutschen Antiviren-Software-Hersteller aus Tettnang vorliegen, die aus ihrer zentralen Früherkennung Angaben über die per HTTP verbreitete Malware machen können. Daraus kann man gut ableiten, welche davon über Werbenetzwerke verbreitet wurden.

Die Zahlen basieren auf 11,5 Millionen „Unique Active User“, also den Sensoren an den Endpunkten, und einem Zeitraum von einem Monat, nämlich Februar 2017.

Ganz allgemein – möglicherweise auch ohne direkten Bezug zu Online-Werbung – wurden in dem Zeitraum 2,4 Millionen Zugriffe auf echte Schadsoftware verzeichnet. Auch Phishing-Angriffe können hier identifiziert werden, mit 817.000 solcher Fälle rangiert diese auf Social Engineering basierte Betrugsmasche auf Platz zwei. Es folgen Zugriffe auf Malicious Search Engines (311.000 Fälle) und Potentially Unwanted Applications/PUA (115.000).

netzpolitik.org: Über welche Domains wird die Schadsoftware unter die Leute gebracht?

Thorsten Schröder: Über die Domains, über die eine Verbreitung von Schadsoftware identifiziert wurde, gibt es eine Statistik:

  1. traffichaus.com (390.000),
  2. adnetworkperformance.com (190.000),
  3. facebookdating.link (111.000),
  4. hilltopads.net (102.000),
  5. adhoc1.net (101.000).

Hier kann man ganz gut erkennen, dass es noch eine ganze Menge weiterer Domains geben muss, um auf die 2,4 Millionen Zugriffe zu kommen. Zugriffe auf Schadsoftware, die über iframes eingebettet wurden, finden sich hauptsächlich auf einschlägigen Porn-Sites.

Die Zukunft des Malware-Business und der Verlage

netzpolitik.org: Kannst Du abschätzen, wohin sich diese Zahlen in naher Zukunft entwickeln werden?

Foto: Screenshot Twitter Ellen Miller
Die Forderung, Adblocker auszuschalten, sei vergleichbar mit der Forderung: „Bitte stecken Sie Ihre Hand in diesen Abfallbehälter mit benutzten Taschentüchern und dann lecken sie daran.“ Via Twitter.

Thorsten Schröder: Es wird ganz eindeutig mehr werden. Die technischen Möglichkeiten, die das Malware-Business über den Verbreitungsweg der Online-Werbung bekommt, sind attraktiv. Solange das Business mit den herkömmlichen Methoden via E-Mail und Co. noch Geld in die Kassen gespült bekommt, wird sich nicht viel ändern. Spätestens wenn hier der Umsatz zurückgeht, wird die Malware-Industrie in neue Technologien investieren, und dann werden wir einen explosionsartigen Anstieg der Verbreitung über Werbenetzwerke verzeichnen.

netzpolitik.org: Wenn man kritisch über Werbung berichtet, sieht man sich oft mit der Frage konfrontiert, wie man denn sonst Geld verdienen solle. Wird Dir diese Frage auch gestellt? Und wenn ja, was antwortest Du darauf?

Thorsten Schröder: Diese Frage wird natürlich oft gestellt. Sie ist sehr komplex und erfordert eine komplexe Antwort. Zusammenfassend kann ich sagen, dass ich mir der Problematik bewusst bin, dass sich nicht-subventionierte Online-Newsportale vorwiegend durch Werbung finanzieren müssen. Was also konkret für Werbung spricht, ist die zwingende Notwendigkeit unabhängiger Nachrichten, die von allen Menschen kostenlos konsumiert werden können.

Ich glaube, jede in diesem Kontext plausible Alternative zur Werbung hat seine Schwächen. Daher könnte ein gangbarer Weg die Kombination verschiedener Lösungsansätze sein. Vermutlich wird in einer solchen Lösung auch Online-Werbung eine Rolle spielen, daher ist es allerhöchste Zeit, die Konzepte und Technologien der Online-Werbung an die gegenwärtigen Bedrohungsszenarien anzupassen. Hier sind besonders die Werbenetzwerkbetreiber gefordert, weil nur sie in der Lage wären, einen Missbrauch technisch einzuschränken. Verlage sind, solange sie diese Dinge outsourcen, allenfalls in der Lage, Druck aufzubauen. In jedem Fall müsste sich die Branche mal geschlossen an einen Tisch setzen, um die Problematiken zu diskutieren und transparente Lösungen zu finden. Die Menschen, die ein werbefinanziertes Nachrichtenportal in Ordnung finden, weil sie etwa aus finanziellen Gründen niemals über eine Paywall blicken könnten, müssen in der Diskussion genauso berücksichtigt werden. Und da auch die Computer dieser Menschen keinem besonderen Risiko ausgesetzt werden sollen, muss sich grundlegend etwas am Format der Werbeeinblendungen ändern.

Die Diskussion über ein Verbot von Adblockern in Deutschland ist jedenfalls erneut ein dramatisches Zeugnis ausgeprägter Inkompetenz im Bundestag. Die Bundesregierung dürfte gern ein bisschen mehr Druck in Richtung Werbenetzwerke aufbauen, aber das wäre der unbequeme Weg.
 

Foto: malware in den letzten zehn jahren
Aufgefundene Schadsoftware in der letzten Dekade. Quelle: F-Secure: State of Cyber Security 2017 (pdf), S. 59.

 
netzpolitik.org: Unter welchen Umständen würdest Du eine Website, die Werbung ausliefert, in Deinem Adblocker whitelisten, also deren Werbung in Deinem Browser zulassen?

Thorsten Schröder: Aus technischer Sicht: Wenn mir ein Online-Newsportal zum Beispiel per AGB garantieren würde, dass alle Werbeinhalte auf schadhafte Inhalte geprüft würden und der Verlag für Schäden haftet, dann würde ich das Portal in meinem Adblocker whitelisten. Es wäre ebenfalls durchaus vorteilhaft, wenn auf die Verwendung aktiver Inhalte wie JavaScript, Java, Flash etc. grundsätzlich verzichtet werden würde. Ich betrachte das Thema aus der Perspektive eines Techies, und es krempeln sich mir die Fußnägel hoch, wenn ich sehe, wie Werbung im Internet technisch umgesetzt wird.

netzpolitik.org: Siehst Du eigentlich Anzeichen für ein Umdenken in der Werbe-Branche?

Thorsten Schröder: Ich hatte kürzlich die Gelegenheit, auf einer Werber-Fachkonferenz zu sprechen und mit den Leuten der Branche in Kontakt zu kommen. Ich hatte den Eindruck, als teilte man grundsätzlich meine Bedenken – auf technischer Seite. Leider werden die Techniker nach wie vor selten berücksichtigt.

netzpolitik.org: Was würdest Du den Verlagen empfehlen?

Thorsten Schröder: Es ist höchste Zeit, die Sicherheitsauswirkungen eines gescheiterten Finanzierungskonzepts für Online-Nachrichtenportale zu diskutieren! Liebe Verlage, das Problem Malvertising wird nicht kleiner, und ihr könnt es nicht aussitzen!

netzpolitik.org: Vielen Dank für das Interview!

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

9 Ergänzungen

  1. „Wenn mir ein Online-Newsportal zum Beispiel per AGB garantieren würde,…“

    Warum versagt an der Stelle eigentlich das typische Verhaltensmuster des Justizministers? Sone Strafandrohung von ein paar Milliönchen wäre doch sicher ein kleiner Ansporn.

  2. Sehr spannendes Interview! Das Thema war mir davor gar nicht bewusst.
    Ich finde, dass es in der Werbebranche dringend ein Umdenken geben sollte. Allerdings sollten sich auch die Verlage gegen Malvertising einsetzen, denn sie sind schließlich die Kunden der Werbenetzwerke und tragen eine Verantwortung gegenüber ihren Lesern. Dass die Politik ebenfalls nichts dagegen tut, ist nochmal trauriger und zeigt – wie schon im Interview erwähnt – die Inkompetenz unserer Regierung in digitalen Fragen.

  3. Auf Heise kam gerade ein Artikel, in dem dargestellt wurde, wie eine chinesische Sicherheitsfirma mit einer einzigen Seite drei Lücken nutze, um von einer Virtuellen Maschine auf das Trägersystem durchzubrechen.
    https://www.heise.de/newsticker/meldung/Hacker-brechen-aus-virtueller-Maschine-aus-3658416.html
    Alle Achtung, erst aus der Sandbox des Edge, dann wahrscheinlich wegen der Systemrechte des Browsers (sonst hätte man ja erst mal von Nutzer- zu Systemrechten kommen müssen) den Windows 10 Kernel kompromittiert und von da über eine Lücke in VMWare auf das Trägersystem durchgebrochen. Der Firefox 52 wurde nebenbei auch gehackt das ist der Grund für das heutige oder gestrige update. Genauso wurden Windows, Linux, iOS, die üblichen Verdächtigen und alles, was nicht bei drei auf dem Baum war gehackt. Was die da vorführten war offenbar sehr beeindruckend. Das waren garantiert nicht die neusten Lücken.

    So eine Lückensammlung könnte auch über „Werbung“ eingeschleust werden. Aus der Sicht sind Adblocker ziemlich wichtige Sicherheitswerkzeuge. Wobei unklar bleibt, wie so ein Verbot durchsetzbar sein sollte. Wenn eine Seite wegen des Adblockers nicht funktioniert, habe ich die Möglichkeit den Blocker abzuschalten oder auf die Nachricht zu verzichten. In 99,99% würde ich verzichten.

    1. Es gäbe ja auch noch eine dritte Alternative: Das zahlen eines kleinen Geldbetrages um trotz Adblocker weiterzulesen. Leider bieten nur sehr wenige Seiten mit Adblockerblocker diese Möglichkeit. Ausgerechnet die „Zeitung“ mit den 4 großen Buchstaben macht es an der Stelle richtig. Doof nur, dass wir die auch gratis gar nicht lesen möchten.

  4. Die Zahlen, die ihr habt und nennt, sind prinzipbedingt zu niedrig und Ihr habt keine Chance das zu ändern. Außerdem sind die Zahlen, selbst wenn Ihr sie hättet, bedeutungslos, denn das Zeugs wird nicht zufällig und gleichverteilt gestreut.

    Der Punkt ist, daß Ad-Netzwerke ihren Wert nicht nur aus der Reichweite, also der Anzahl der Eyeballs beziehen, die sie erreichen. Sondern daraus, die richtigen Eyeballs zu erreichen. Das heißt, daß der ganze Kram getargetted wird, und je besser das Ad-Netzwerk ist, desto better das targetting.

    10.000 Drive-By Impressions sind wesentlich mehr wert, wenn ich bestimmen kann, daß alle diese 10.000 Impressions exploitbare XP mit MSIE 6 sind, auch wenn die relative Anzahl verwundbarer User mit so alten installationen unglaublich gering ist.

    Und 10.000 Drive-By Impressions mit diesem oder jenem Scam sind wesentlich mehr wert, wenn ich diese 10.000 Impressions auf Leute richten kann, von denen ich weiß, daß sie schlecht ausgebildet, alt oder sonstwie mit dem Internet überfordert sind und daher wahrscheinlicher als andere Leute auf so einen Betrug herein fallen.

    Targetted Advertising und Malware Distribution sind genau füreinander gemacht – beide Dinge verstärken sich synergetisch.

    Das ist ein Effekt, den wir in dieser Diskussion sehr viel weiter nach vorne stellen müssen. Content-Sites sind für die Anzeigen, die sie sich durch Anzeige zu Eigen machen verantwortlich. Und Ad-Netzwerke sind verantwortlich, wie die Selektoren, die sie anbieten, verwendet werden. Störerhaftung wirkt in alle Richtungen, nicht nur gegen Privatpersonen.

    1. Das ist absolut korrekt, und ich habe das, was die Werbenetze so attraktiv macht, sehr deutlich auf der d3con (programatic advertising) angesagt: gezielte Verbreitung von Schadsoftware nach Position oder Branche ist für die Malware-Industrie das absolute Killer-Feature. Und die Nutzung der Algorithmen der Werbeindustrie ist nichtmal teuer.

      1. Und das ist genau der Punkt. Adblocker verbieten? Gerne, dann aber mit voller Haftung für Site und Ad Networks, und Eperso Ausweispflicht beim bestellen von Anzeigen. Volles logging beim Sitebetreiber für ausgespielten Content von externen Drittanbietern, den er sich zu eigen gemacht hat.

        Wir können das eine nicht mal diskutieren ohne das andere. Der Bürger muß einer Site vertrauen können, die Werbung ausspielt. Das Netz ist schließlich kein rechtsfreier Raum in dem anonyme Hackerbanden deutsche Geschäftsmechanismen ohne Skrupel für ihre Machenschaften ausnutzen können.

  5. Eigentlich warte ich immer noch auf ein „Spotify“ für News – „Newsify“. Dann könnte man einfach einen Newsreader mit allen wichtigen Medien haben. Auch ein Freemium Modell wäre möglich – mit Werbung die direkt von „Newsify“ kommt und dort wird festgelegt, dass nur Bilder erlaubt sind. Kein JavaScript, kein Flash, kein Video. Kein Tracking durch alle möglichen Stellen. Und in den AGB müsste natürlich verankert sein, wie mit den Userdaten umgegangen wird (keine Weitergabe…). Ist das wirklich so unrealistisch – oder warum macht das keiner?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.