Malvertising: So können Sie Ihren Rechner schützen

Das Web hat sich über die Jahre zu einem reichweitenstarken Medium mit großem Potenzial für Marketer entwickelt. Als klassisches Werbemittel im Internet haben sich Banner etabliert, die seitlich, ober- oder unterhalb des Contents auf Websites eingeblendet werden und in der Regel einen Link zum Anbieter beinhalten. Doch seit einigen Jahren missbrauchen Internetkriminelle nun verstärkt diese Art der Online-Werbung: Sie kapern ursprünglich harmlose Werbung und infizieren sie oft über Wochen und Monate unbemerkt mit Schadsoftware. In IT-Kreisen bezeichnet man diese kompromittierte Werbung mit dem Begriff Malvertising. Sie stellt Marketer und Webmaster vor große Herausforderungen.

Erfahren Sie in unserem Artikel, was Malvertising ist, wie es funktioniert und wie Sie Ihren Rechner schützen können.

Der Fachbegriff Malvertising ist ein Kofferwort, das sich aus den Worten „Malware“ (engl. für Schadsoftware) und „Advertising“ (engl. für Werbung) zusammensetzt. Sinn und Zweck dieser speziellen Form von Schadsoftware ist es, einen Rechner oder ein Netzwerk über präparierte Werbebanner im Netz zu infizieren. Internetkriminelle können dabei ganz unterschiedlich vorgehen: Eine Malvertising-Infektion einzelner Webseiten ist ebenso denkbar wie das Kapern eines ganzen Werbenetzwerks und eine flächendeckende Verbreitung des Schadcodes.

Durch das Klicken auf die entsprechenden Banner werden automatisch schädliche Skripte, Flash-Anwendungen oder andere Programme ausgeführt, die den Rechner des Betroffenen mit Viren oder Trojanern infizieren. Oft werden ahnungslose Opfer nach dem Klick auf die präparierte Anzeige auch auf eine nicht vertrauenswürdige oder manipulierte Webseite weitergeleitet. Mitunter reicht für eine Infektion sogar schon das bloße Aufrufen der Webseite, auf der ein manipuliertes Banner platziert wurde – in diesem Fall spricht man von einem „Drive-by-Download“.

Für die Verteilung von Malvertising nutzen Internetkriminelle selbst große und bekannte Websites. Daher kann es theoretisch jede Website treffen, die Werbeflächen vermietet. In welchem Ausmaß dies möglich ist, zeigt ein aktuelles Beispiel aus den USA: Sicherheitsexperten warnten erst im Jahr 2016 davor, dass selbst große und renommierte Plattformen wie etwa AOL, BBC oder die New York Times bereits von Malvertising betroffen waren. Verteilt wurde im Zuge der damaligen Malvertising-Offensive das Angler-Exploit-Kit, das systematisch damalige Sicherheitslücken von Adobe Flash und Microsoft Silverlight ausnutzte, um den Verschlüsselungstrojaner TeslaCrypt an ahnungslose Opfer zu verteilen. Auch die Seite von MSN war Anfang 2016 Opfer dieser Malvertising-Kampagne: Allein durch diese Seite hatten die Internetkriminellen eine enorme Reichweite – auch wenn nur ein Bruchteil der Besucher ein Werbebanner angezeigt bekam und noch weniger von ihnen auf eines klickte. Noch deutlicher zeigt aber eine andere Zahl, wie akut die Bedrohung durch Malvertising geworden ist: Laut einer Erhebung von RiskIQ konnte für das Jahr 2016 ein 132-prozentiger Anstieg von Malvertising gegenüber dem Vorjahr festgestellt werden. Anhand einer Untersuchung von 2 Milliarden Ads konnte ermittelt werden, dass durchschnittlich eine von 250 Ads infiziert ist. Mit dem Befall reichenweitenstarker und renommierter Websites schlagen die Internetkriminellen gleich zwei Fliegen mit einer Klappe: Zum einen machen Sie sich die Reputation der Seite zunutze und lassen die präparierte Werbung vertrauenswürdiger wirken und zum anderen erreichen sie wesentlich mehr Opfer. Denn während Schadsoftware in den Frühzeiten des World Wide Webs vorwiegend über Websites mit pornografischen oder kriminellen Inhalten (Raubkopien etc.) verteilt wurde, nehmen Kriminelle so auch User mit einem ganz gewöhnlichen Surfverhalten ins Visier.

Es gibt mehrere Möglichkeiten, wie Malvertising funktionieren und zu einer Infektion des Rechners führen kann: Sie kann durch eine Aktion des nichtsahnenden Users ausgelöst oder gänzlich ohne Zutun ausgeführt werden. Oftmals werden Sicherheitslücken des Browsers, installierter Plug-ins und/oder des Betriebssystems ausgenutzt. Besonders anfällig sind in der Regel veraltete Versionen von Software. Häufig machen sich Internetkriminelle Sicherheitslücken in Flash zunutze – das unter anderem auch aus diesem Grund immer seltener von Websitebetreibern verwendet wird und weitgehend durch neuere HTML5-Standards ersetzt wurde.

Ein Szenario, wie Malvertising aktiviert werden kann, ist das Klicken des Opfers auf das präparierte Werbebanner („post-click“). Im Regelfall wird sogleich und ohne dass Betroffene noch eine Chance zum Reagieren haben, der Schadcode ausgeführt, der Nutzer auf eine manipulierte Website weitergeleitet oder einen Download startet. Oftmals verstecken sich die verschiedenen Formen von Malware in Flash-Dateien. Bei der durch Malvertising verbreiteten Schadsoftware sind nahezu alle gängigen Formen von Malware denkbar: von klassischen Viren über Ransomware bis zu Spyware oder Keyloggern, die die Daten ihrer Opfer ausspähen. Immer häufiger ist auch sogenannte Scareware anzutreffen, die ihre Opfer schockiert, einschüchtert und so zu einer übereilten und unüberlegten Aktion bewegt.

Doch auch „pre-click“ – das heißt, noch bevor ein User auf das Werbebanner klickt – können unerwünschte Skripte ausgeführt werden. Bei diesem zweiten Verfahren wird der schädliche Code via Drive-by-Download (dt. etwa „Download im Vorbeifahren“) ausgeführt. Auch in diesem Fall können unterschiedlichste Formen von Malware dem User das Leben schwer machen und seinen Computer infizieren.

Neben dem Hacken einzelner Websites und dem Präparieren vereinzelter Werbebanner haben Kriminelle längst eine weitere, wesentlich effektivere Methode gefunden, Malvertising auf renommierten Webplattformen zu platzieren: Werbenetzwerke. Diese fungieren als Mittler zwischen Werbetreibenden und Publishern, auf deren Seiten Werbeflächen vermietet werden. Kriminelle machen sich die zunehmend niedrigen Hürden für die Aufnahme in diese Werbenetzwerke zunutze. Denn der Einstieg für Werbetreibende in entsprechende Netzwerke ist denkbar einfach: Viele haben wenige bis gar keine Überprüfungsmechanismen und machen die Schaltung von Anzeigen mit einer simplen Anmeldung und anschließender Zahlung der notwendigen Gebühr möglich. Durch sogenanntes Programmatic Advertising wird die Werbung sogar automatisch in Echtzeit über ein Bietverfahren zielgruppenrelevant platziert – Kontrolle? Fehlanzeige.

So schaffen es die Kriminellen, dass ihr Malvertising mitunter teilweise über Wochen und Monate ein Millionenpublikum erreicht, bevor die Masche auffliegt. Dann ist es für viele Betroffene schon zu spät. Die Aufklärung solcher Verbrechen wird noch erschwert, wenn die Cyberkriminellen für die Anmeldung in den Netzwerken falsche Angaben gemacht haben. Oftmals steht dann zu Beginn ein Identitätsdiebstahl – das Ausspähen und anschließende Ausnutzen gestohlener Identitätsdaten zu kriminellen Zwecken. So bleiben die Drahtzieher anonym und zahlen die präparierte Werbung beispielsweise mit geklauten Kreditkartendaten.

Da durch Malvertising Viren und Schadsoftware auch über seriöse Websites verteilt werden können, besteht prinzipiell für jeden Internetnutzer Gefahr. Das heißt aber nicht, dass man sich dem Risiko schutzlos ausliefern muss und jede Gefahr unabwendbar ist: Wichtig ist in jedem Fall, ein effektives Antivirenprogramm auf dem Rechner installiert zu haben. Das ist als Basisschutz unerlässlich. Programme mit einem Echtzeitschutz stellen im Idealfall sicher, dass keine Fremdzugriffe möglich sind, und unterbinden das unberechtigte Ausführen von Schadsoftware. Ebenso ist auch eine aktivierte Firewall unerlässlich, um sich vor unberechtigten Netzwerkzugriffen zu schützen. Eine Auswahl empfehlenswerter Antivirensoftware stellen wir Ihnen in unserem Artikel "Die besten Antivirenprogramme im Vergleich" vor.

Voraussetzung für einen halbwegs verlässlichen Schutz ist allerdings, dass die verwendete Antivirensoftware stets auf dem neuesten Stand ist und fortwährend notwendige Updates installiert werden. Gleiches gilt auch für die Firewall, das Betriebssystem, den verwendeten Browser sowie unter Umständen installierte Plug-ins: Da sich die über Malvertising verbreiteten Viren und Trojaner entsprechende Sicherheitslücken von Software gnadenlos zunutze machen, ist es enorm wichtig, immer mit einer aktuellen Version zu arbeiten, die noch mit Sicherheitsupdates vom Hersteller versorgt wird. So können Sie das Risiko zumindest minimieren, da in den neuesten Versionen etwaige Systemlücken möglicherweise bereits geschlossen wurden.

Darüber hinaus können auch einige Browser-Plug-ins helfen und einen zusätzlichen Schutz bieten: Für Firefox gibt es beispielsweise die Erweiterung „NoScript“, das standardmäßig JavaScript, Flash, Silverlight – optional auch Frames und iFrames – blockiert. Mit diesem oder ähnlichen Plug-ins können Sie sogenanntes Cross-Site-Scripting (XSS) und damit auch viele Formen von Malvertising unterbinden. XSS bezeichnet das Ausnutzen von Sicherheitslücken und das Einschleusen von schädlichem Code in ursprünglich vertrauenswürdige Umgebungen. Mit der Browser-Erweiterung NoScript können Sie zudem eine Whitelist führen und die generelle Blockade auf ausgewählten Seiten (temporär) deaktivieren.

Plug-ins wie Adobe Flash, die bekannt für ihre vielfältigen Sicherheitslücken sind, sollten – falls möglich – gar nicht mehr installiert werden. Wer nicht darauf verzichten kann oder will, sollte im Browser auf die Funktion Click-to-play ausweichen und diese aktivieren. Dadurch werden Plug-Ins nur ausgeführt, wenn man dem ausdrücklich zustimmt.

Adblocker unterbinden die Anzeige von Werbebannern, Pop-ups etc. gänzlich und stellen unter Umständen einen zusätzlichen Schutz dar: Werden alle Formen von Werbung blockiert, können logischerweise auch keine kompromittierten Malvertisings angezeigt werden. Das verhindert in vielen Fällen zumindest Post-Click-Malvertising, da schädlicher Code erst nach dem Klick auf das Werbebanner ausgeführt wird. Allerdings haben Adblocker einen Nachteil: Da sich annähernd alle kostenlosen Webangebote über Werbung finanzieren, sind diese Plug-ins – etwa auf vielen journalistischen Seiten – nicht gern gesehen. Aus diesem Grund kann ein aktivierter Adblocker auch dazu führen, dass auf entsprechenden Seiten der ganze Inhalt ausgeblendet wird. Doch auch Adblocker bieten die Möglichkeit, ausgewählte Seiten auf eine Whitelist zu setzen und Ausnahmen zu definieren.

Die zunehmende Verbreitung von Malvertising hat auch erhebliche Auswirkungen auf das Online-Marketing: War die Schaltung von Online-Werbung auf reichweitenstarken und/oder zielgruppengerechten Websites bis vor einiger Zeit ein mehr als probates Mittel, Menschen zu erreichen und Aufmerksamkeit zu erzeugen, sinkt durch Malvertising das Vertrauen in dieses Marketing-Instrument. Damit befeuert diese Form der Malwareverbreitung einen Trend, der ohnehin kaum noch aufzuhalten ist: Die generell zunehmende Skepsis gegenüber Online-Bannerwerbung. Denn immer mehr Menschen verwenden Adblocker ganz selbstverständlich – aus Ablehnung aufdringlicher Werbung, aus Datenschutz-, Performance- und nicht zuletzt auch aus Sicherheitsgründen als Schutz vor Malvertising. All das kommt zusätzlich zu einer ohnehin verstärkt einsetzenden Banner-Blindness hinzu. Damit ist die zunehmende Blindheit von Internetnutzern gegenüber klassischen Werbebannern gemeint, da die Nutzer aus Gewohnheit die für sie meist ohnehin uninteressanten Banner oft komplett ausblenden. Alles Entwicklungen, die ein Umdenken der Marketer nötig machen.

Um auf diese Trends zu reagieren, sind neue Marketing-Maßnahmen und innovativere Werbe-Formen erforderlich, um Kunden zu gewinnen und zu binden. Um nur einige Optionen für den vielfältigen Online-Marketing-Mix zu nennen: Interessanter und hilfreicher Content bietet ebenso wie gutes Storytelling eine veritable Möglichkeit, potenzielle Kunden auf das eigene Angebot aufmerksam zu machen. Native Advertising (Advertorials, Sponsored Posts) auf Blogs und anderen reichweitenstarken Seiten mit Zielgruppenbezug ist ein Beispiel dafür, wie man die Aufmerksamkeit der Konsumenten wieder zurückgewinnen kann. Interessanter Content kann über die Social-Media-Kanäle verbreitet werden und wird, wenn er von anderen Nutzern geteilt wird, eher registriert als die üblichen Werbebanner. Vorsicht ist allerdings bei der Kennzeichnungspflicht solcher Posts geboten, um sich nicht dem Verdacht der Schleichwerbung auszusetzen.

Mit den genannten Methoden Hand in Hand geht auch das Influencer-Marketing: Hier geht es darum, authentische Markenbotschafter zu finden, die eine Brand und deren Produkte in sozialen Medien authentisch repräsentieren. SEO (Search Engine Optimization) und SEA (Search Engine Advertising) sind schließlich jene Disziplinen, um über Suchmaschinen Aufmerksamkeit zu erzeugen.

Fakt ist: Malvertising schwächt Werbebanner als Marketing-Instrument, verlangt Marketern künftig noch mehr Kreativität ab und macht die Verwendung neuer Kommunikationsmaßnahmen notwendig. Damit hat Malvertising einen direkten Einfluss auf die Welt des Online-Marketings, schwächt es doch die Wirkung der bisher weit verbreiteten, klassischen Banner-Werbung.