Categories: Sicherheit

Online-Werbung und Security: Anwender zwischen Malvertising und Totalverweigerung

Online-Werbung. Jeder kennt sie. Je nach Anbieter und Werbendem irgendwo zwischen dezent und wohlwollend oder aufdringlich, invasiv und brüllend laut. Viele sehen sie als notwendiges Übel auf Webseiten. Und für ausschließlich werbefinanzierte Angebote ist sie das auch. Aber auch für größere redaktionelle Angebote stellt Werbung einen nicht zu vernachlässigenden Anteil der Finanzierung der entsprechenden Onlinedienste dar.

Mit der sich verändernden Leistungsfähigkeit der Rechner und Mobilgeräte, aber auch mit der Weiterentwicklung der Möglichkeiten, die aktuelle Browser den Werbetreibenden bieten, sind die Zeiten einfacher Bannerwerbung lange vorbei. Interaktive, auf den Anwender reagierende Komponenten, selbststartende Videos und sich penetrant über den eigentlichen Inhalt legende Overlays sind nur die Spitze des Eisbergs, was heute für Werbetreibende möglich ist.

Um dies zu ermöglichen, hat sich technisch und kommerziell viel verändert. Große, tief verschachtelte Ad-Networks dienen als Dienstleister zur Verteilung von Werbung im großen Stil, oft unter der Eigentümerschaft der einzelnen Herausgeber der eigentlichen Inhalte. Werbung kennt heute, Google, Facebook und Amazon sei „Dank“, den jeweiligen Anwender und seine Interessen sehr gut und kann entsprechend reagieren. Und komplexe Programmier-Frameworks haben die Rolle von einstigen Bildern mit versteckten Tracker-Pixeln übernommen.

VERANSTALTUNGSHINWEIS

Dialogveranstaltung „Next Generation Cyber Security“

Diese Veranstaltung am 20. Oktober im Kurhaus in Wiesbaden bietet Ihnen die Möglichkeit, einen Tag mit kreativen Vordenkern zu verbringen und gemeinsam eine Abwehrstrategie zu entwickeln, die die Agilität Ihres Unternehmens unterstützt statt einschränkt.

Und hier beginnt das Thema sicherheitsrelevant zu werden: praktisch jede vom nichts ahnenden Surfer angesteuerte Seite bringt eine Vielzahl von komplexen, hochspezialisierten Codeblöcken mit, die als Werbung getarnt, alle Grenzen der Sicherheitseinstellungen des jeweiligen Browsers austesten, und im Zweifelsfall auch bei nicht bekannten Sicherheitslücken darüber hinausgehen könnten. Während der Nutzer von seriösen Internetangeboten im Normalfall davon ausgeht, dass die ihm zusätzlich gelieferten Werbeinhalte ihn zumindest nicht gefährden, sondern maximal nerven, stellen die zusätzlich gelieferten Inhalte von Seiten aus dem düstereren Teil des Internets Gefährdungen dar, die sich zwischen massivem Tracking und der Installation von Malware im Drive-By-Download abspielen können.

Das, was der Anwender heute als Werbung auf vielen Webseiten sieht, ist vielmehr aktiver Code, der durch den Browser und damit direkt auf dem eigenen Computer ausgeführt wird, von dem der Nutzer weder weiß, was er wirklich tut, wer dafür die Verantwortung übernimmt und wem er eigentlich nützt. Und der dann ganz nebenbei auch noch Werbung anzeigt. Im Zweifelsfall schadet er dem Anwender und sei es nur durch die erhöhten Transferraten durch das Übertragen von aufwändigen Grafiken und Videos per mobiler Datenverbindung.

Die vergangenen Monate haben am konkreten Beispiel Yahoo! gezeigt, dass das Phänomen Malvertising, also die Verteilung bösartiger Inhalte durch übernommene, als vertrauenswürdig betrachtete Werbenetzwerke nichtsahnende Konsumenten gefährden. Der Vergleich mit Fernsehern, die durch das Betrachten bösartiger Werbespots beschädigt werden oder den Zuschauer in seiner Privatsphäre verletzen, mag erheblich hinken, ist aber dennoch hilfreich.

Apple hat in iOS 9 mit der Öffnung der notwendigen Schnittstellen im hauseigenen Browser Safari (und allen WebViews anderer Apps, die diesen benutzen) eine neue Runde im Hase- und Igel-Spiel zwischen Werbe-Blockierern und Werbetreibenden eröffnet. Obwohl Apple selbst mit iAds im Werbegeschäft aktiv ist und die Werbeblocker quasi als Feigenblatt nicht direkt selber vertreibt, können nun auch nur wenig technisch Interessierte anhand von einfachen Beschreibungen einen mehr oder weniger vertrauenswürdigen Blocker installieren und aktivieren. Auch wenn Mobile Safari sich in der Vergangenheit nicht als anfällig für klassische Drive-By-Attacken erwiesen hat, ist das eine neue Qualität der Funktionalität und ein überdeutliches Warnsignal an Werbetreibende, insbesondere jene, die auf mobile Plattformen abzielen.

Loading ...

Die Aktivierung eines Werbeblockers bedeutet üblicherweise das vollständige Aus für Werbung in dem jeweiligen Browser und damit für den/die jeweiligen Benutzer. Und für einen großen Anteil der heutigen Inhalte-Anbietern (vom kleinen Blogger bis zum Online-Angebot der großen Medienhäuser) ist das das Ende des für deren Existenz zugrundeliegenden Geschäftsmodells, das auf Views und Klicks von Werbung beruht.

Die Verschachtelung der Werbenetzwerke macht es den Anbietern von Webseiten praktisch unmöglich, für die ausgelieferten Werbeinhalte Aussagen zur Sicherheit zu treffen. Mit Blick auf die Sicherheit des eigenen Rechners bleibt vielen Anwendern damit zum Selbstschutz aber keine andere Schlussfolgerung, als jegliche Werbung konsequent auszublenden, auch wenn nur ein sehr geringer Bruchteil potenziell als gefährdend zu betrachten wäre. Schnellere Ladezeiten und geringere Onlinekosten tun dann ein Übriges. Die Zuverlässigkeit und die Vertrauenswürdigkeit des jeweiligen Blockers als gegeben voraussetzend (was sicher eine eigene Diskussion wert ist), ist er damit aber für den Markt der Werbetreibenden und alle darauf beruhenden Geschäftsmodelle verloren.

Je mehr sich die Einbindung von Werbeblockern für den Anwender vereinfacht, desto mehr wird sich der Markt des Werbekonsum grundlegend verändern. Zu beobachten bleibt, ob Apples Beispiel angenommen wird und Schule macht. Vorerst beweisen die Download-Charts, dass diese Blocker ausgesprochen gut angenommen werden.

AdBlocker: Dem Thema Malvertising wird hierdurch ein rigoroser und zumindest weitgehend wirksamer Riegel vorgeschoben (Screenshot: Matthias Reinwarth ).

Sollte klassische Online-Werbung der plumpen Art zunehmend kein sinnvolles Geschäftsmodell mehr sein, bedeutet das für Content-Anbieter, Shops, Online-Vermarkter, Ad Networks und Werbetreibende schon jetzt massiven Bedarf an neuen, angepassten Geschäftsmodellen.

Das plumpe Betteln um White Listing, also um die aktive Freigabe der Werbung für einzelne Webseiten direkt im AdBlocker ist sicherlich zum Scheitern verurteilt. Aber jenseits flächendeckender und blind verpuffender Massenwerbung könnten kreative Marketingstrategien in Kombination mit der beabsichtigten, selbstbestimmte Freigabe von Daten durch den Anwender zu neuen maßgeschneiderten Werbekonzepten führen.

Das relativ junge Konzept Life Management Plattform propagiert und implementiert die Prinzipien „Absicht“(„intention“) und „Einwilligung“(„consent“), also unter anderem die detaillierte Zustimmung zur definierten Freigabe von Daten auf der Basis von aktiven Benutzerentscheidungen. Dient diese in erster Näherung zur sicheren, weil geschützten Speicherung und Indizierung von personenbezogenen Daten und deren Nutzung für vertrauenswürdige Kommunikation mit wichtigen Partnern, ermöglicht es Anwendern anstelle der Totalverweigerung, Informationen in Form von Werbung, aber auch darüber hinaus gehende Angebote mit ausdrücklicher, vorab gewährter Zustimmung zu erhalten. Dies könnte beispielsweise zeitgesteuert oder kontextabhängig sein (etwa die Hotelempfehlung bei Ankunft am Bahnhof, die Beschreibung des schnellsten Wegs zum Car Sharing-Stand oder das Angebot für eine Platzreservierung in einer bevorzugten Restaurantkategorie), sodass Werbung und Mehrwert sich nicht ausschließen müssen.

Sobald erkannt ist, dass Gefährdung durch Vertrauen, Ausspähung durch minimale, selbstbestimmte Freigabe von Daten und Belästigung durch punktgenaue Informationen ersetzt werden können, könnten Life Management Plattformen zur Schaffung neuer, potentiell positiv beurteilter Werbekonzepte beitragen. Es bleibt abzuwarten, ob die aktuellen Erschütterungen des Werbemarktes hier schon die ersten notwendigen Impulse geben, um den User, seine Privatsphäre und seine aktiven Entscheidungen erstmals auch auf dieser Ebene ernst zu nehmen.

AUTOR

Matthias Reinwarth ...

... ist Senior Analyst bei KuppingerCole mit Schwerpunkt auf Identity und Access Management, Governance und Compliance. Er ist im Identity Management-Sektor seit 1993 beratend tätig. Basierend auf einer kombinierten Ausbildung in Wirtschaft und IT, entwickelte Matthias Reinwarth einen starken Hintergrund in Identity und Access Management sowie Identity und Access Governance und Compliance. Er ist außerdem Co-Autor des ersten deutschen Buches über Verzeichnisdienste im Jahr 1999. Seine praktische Erfahrung als IAM-Berater reicht über 25 Jahre hinaus. Des Weiteren deckt er mit seinen Fachgebieten alle wichtigen Aspekte der IAM einschließlich Technologie und Infrastruktur, Daten- und Berechtigungsmodellierung sowie IAM Prozesse und Governance ab.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

10 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

14 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

15 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

15 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

15 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

17 Stunden ago