Trojaner Entwarnung kam zu früh – Werbenetzwerke sind nicht sicher
Die Entwarnung nach dem Trojaner Angriff auf „20 Minuten“ kam zu früh. Es mag zwar das eine Loch gestopft worden sein, es gibt aber unzählige mehr. Das Problem betrifft alle Webseiten welche Ads von externen Adservern einsetzen. Werbenetzwerke sind nicht sicher. Internet Experten empfehlen AdBlocker.
Nach dem Trojaner Schock kam schnell die Entwarnung „Trojaner gefunden und gelöscht“. Von den News-Servern gehe keine Gefahr mehr aus. Das mag wohl auf die News-Server zutreffen, die sind aber nicht das Problem. Die beiden Internet Security Experten Serge Droz und Daniel Stirnimann der Schweizer Stiftung und Registrierungsstelle SWITCH haben die Schwachstellen schon im Februar analysiert - "die Killer Ads greifen an". Das Problem ist nicht etwa ein nachlässig gesicherter News-Server sondern das Netzwerk von Adservern des Werbenetzwerkes.
Offene Netzwerke wegen Programmatic Advertising
Im Zuge der Ausrichtung auf Programmatic Advertising und Werbenetzwerke wurden diverse externe Adserver in die Netzwerke der News-Portale mit eingebunden. Nur so kann der automatisierte Verkauf von Werbung auf Websites sichergestellt werden. Damit sind auch die Adserver, Tracking- und Remarketing-Server der Mediaagenturen, Digitalagenturen und externer Werbenetzwerke, wie auch deren externe Partner, im Portal-Netzwerk direkt eingebunden und liefern ihre Daten (Bilder und Programmcode) dem News-Portal Besucher direkt aus. Es braucht nur einer der Server gehackt oder missbraucht zu werden, schon ist das ganze Netzwerk betroffen. Damit wird auch klar, das „Problem“ ist nicht gelöst und betrifft nicht nur „20 Minuten“ , sondern alle Portale und Websites, welche Ads von externen Adservern und Werbenetzwerken einbinden.
Es ist wie in der Gastronomie, wenn nur einer der vielen Lieferanten unsauber arbeitet oder vergammelte Ware liefert, werden alle Gäste des Restaurants von Verdauungsproblemen betroffen. Die unübersichtlichen Netzwerkstrukturen und die Dynamik, besonders seit der Oeffnung für Programmatic Advertising und Werbenetzwerke, macht die Qualitätskontrolle der Portale nicht einfacher. Die hohe Nutzung und damit die Reichweite der Newsportale macht sie zum äusserst interessanten Ziel für Hacker. Die Portale und ihre Inhalte mögen gut geschützt sein, die ihrer Netzwerk-Partner sind es jedoch nicht, wie aktuelle Beispiele zeigen.
Bund warnte schon im Herbst 2015
Das Problem ist in Internet-Security Kreisen schon länger bekannt. Das Computer Emergency Response Team des Bundes (GovCert.ch) hat schon letzten Herbst davor gewarnt, dass „ein grosses Schweizer Werbenetzwerk“ kompromittiert worden sei. Wer eine Website besucht, die Werbung von diesem Netzwerk abruft, laufe Gefahr, von einem Trojaner (Gozi ISFB) infiziert zu werden. Wie der aktuelle 20 Minuten Fall zeigt, ist das Problem im April 2016 immer noch akut. Die SWITCH Experten konnten nachweisen, dass aufgrund dieses Adnetzwerkes nur schon an einem einzigen Tag 1500 User mit dem Bank Trojaner Gozi ISFB infiziert wurden: 
Experten empfehlen AdBlocker
Als Lösung könne Online Security Spezialisten darum nur eines vorschlagen: AdBlocker. Nur wenn der Traffic zu den fremden Servern von Anfang an unterbunden wird, kann sich der Internetnuzter vor Viren, Malware und Trojanern schützen. Alle anderen Lösungsansätze haben bisher keinen Erfolg gezeigt. Solange sich Betreiber und Webmaster der Portale mit „wir können für die Datenfeeds der Drittserver keine Verantwortung übernehmen“ aus der Affäre ziehen, führt kein Weg an AdBlockern vorbei. Eine Kette ist eben nur so stark, wie das schwächste Glied.
Folgen für Werbewirtschaft
Was heisst das nun für den Werbemarkt? Wenn Online Werbung die persönliche Sicherheit im Netz gefährdet, werden noch mehr User ihre Geräte mit AdBlockern ausstatten. Das Thema Sicherheit wird zum Hindernis für Programmatic Advertising, welches zwar mehr Umsätze und besser Renditen verspricht, aber durch die nötige Vernetzung mit Fremdservern zugleich auch hohe Risiken für die Sicherheit bedeuten. Ein ziemliches Dilemma. Die Akzeptanz von Online Werbung hat bei Internetusern und diesmal wohl auch bei Werbeauftraggebern Schaden genommen.
UPDATE 12. April 2016:
Die grösste Newssite der Schweiz erweist sich ein weiteres Mal als Sicherheitsrisiko. Schuld ist diesmal die Swisscom-Tochterfirma Improve Digital. Es ist aber nicht auszuschliessen, dass weitere News-Portale betroffen sind - Improve Digital ist ein Programmatic Advertising Anbieter der mit allen Schweizer News-Portalen arbeitet.
Einen umfassenden Schutz vor der Einschleusung von Schadsoftware in die News-Portale gibt es nicht, solange offene Werbenetzwerke (sog. Programmatic, Real Time Bidding, Demand Side Plattform, etc.) eingebunden werden. Die dynamische "Real Time" Platzierung der Werbemittel verhindert eine vorherige Kontrolle auf Schadsoftware.
Quellen:
SWITCH Security Blog: http://securityblog.switch.ch/2016/02/10/attack-of-the-killer-ads/
GovCert.ch: http://www.govcert.admin.ch/blog/
NZZ-Bedep: Erneut Schadsoftware bei 20Minuten