BSI warnt vor manipulierten Werbebannern auf Online-Portalen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt Internetnutzer vor manipulierten Werbebannern auf Online-Portalen, über die Kriminelle vertrauliche Daten abgreifen. An viele bekannte und gut besuchte deutschsprachige Webseiten würden derzeit Banner mit schadhaften Codes ausgeliefert, teilte das BSI mit.

[…]

Es reiche allein der Besuch der Website, auf der die Werbung eingeblendet sei.

(Quelle: SZ. Bei Heise-Security findet sich ein Artikel, der die Zusammenhänge ein wenig präziser erklärt.)

Ein von technischen Details eher gelangweilter User ist leicht der Meinung, daß eine Seite im Internet analog zu einer Seite in einer Zeitung funktioniert. Man ruft eine Internetadresse auf in der Erwartung, es mit etwas wie einem „Drucker auf den Computermonitor” zu tun zu haben, der analog zum Aufblättern einer Seite in einer Zeitung oder einem Buch funktioniert.

Wenn man eine Seite einer Online-Zeitung anfährt, gibt es dort – genau wie in der Print-Ausgabe – eine Mixtur aus redaktionellen Texten und kommerziellen Anzeigen. Eine Seite im HTML-Internet ist jedoch aus einer ganzen Reihe von Versatzstücken zusammengebaut, die nicht nur inhaltlich, sondern auch technisch voneinander getrennt sind. Wo redaktionelle Inhalte und Annoncen im Print auf einem physikalischem Medium (der bedruckten Fläche in einer Zeitung) zusammen gefaßt sind, kommen sie Online von unterschiedlichen Servern, von physikalisch unabhängigen Quellen, die erst von einer Software auf der Seite des Clients zusammengebaut werden.

Der letzte Satz klingt kompliziert – er beschreibt jedoch nur (sehr vereinfacht) das Funktionieren eines Browsers, mit dem dann die „Endkunden“ durch das Internet navigieren.

Der oben angerissene Artikel bei SZ-Online zB. bindet Services ein, die nicht (nur) von den Servern der SZ stammen, sondern extern eingebunden werden. Da geht es nicht nur um Werbung, sondern auch um Schnüffeldienste wie zB. doubleclick.net, die das Click-Verhalten der Leser protokollieren, um zB. statistische Auswertungen des Userverhaltens zur Optimierung der Werbung zu ermöglichen; etc.pp.

Mit einem Klick auf den Link zum Artikel oben navigiert man nicht zum Text der Redaktion, sondern aktiviert all jene Software, die von unterschiedlichsten Servern stammt (wobei jene Software, die den redaktionellen Text herunterlädt, nur eine von vielen ist). – Eine Seite im Internet ist keine Seite in einer Zeitung, sondern eine Versammlung all jener Dienste, die der Browser abruft, um die Darstellung dieser Seite zu ermöglichen.

Mit Reklame-Blockern wie Adblock-Plus kann man sich anzeigen lassen, welche „externe Quellen“ eine Website einbindet. Hier ist die Liste der Domains/Subdomains, die von der oben angerissenen Seite in der SZ eingebunden werden (ich habe mir die Mühe gemacht, die komplette Liste zusammen zu stellen, um den Hauch einer Ahnung davon zu vermitteln, womit man es hier zu tun hat – dabei kommen von jeder der (Sub)Domains noch bis zu zwanzig unterschiedliche Scripts, mit ihren jeweils undurchschaubaren Aktionen):

http://a0.twimg.com/ http://ad.de.doubleclick.net/ http://cdn.api.twitter.com/ http://connect.facebook.net/ http://farm.plista.com/ http://gwp.nuggad.net/ http://js.revsci.net/ http://p.twitter.com/ http://pix04.revsci.net/ http://platform.twitter.com/ http://polpix.sueddeutsche.com/ http://profile.ak.fbcdn.net/ http://req.connect.wunderloop.net/ http://s0.2mdn.net/ http://search.twitter.com/ http://static.ak.facebook.com/ http://static.chartbeat.com/ http://static.plista.com/ http://suedcafe.sueddeutsche.de/ http://sz.met.vgwort.de/ http://tracking.reprize.de/ http://widgets.twimg.com/ http://www.facebook.com/ http://www.google-analytics.com/ http://www.sueddeutsche.de/ http://www.szstats.de/ http://www1.mpnrs.com/ https://apis.google.com/ https://cdn.api.twitter.com/ https://plusone.google.com/ https://s-static.ak.facebook.com/ https://ssl.gstatic.com/ https://tracking.quisma.com/ https://www.facebook.com/