Malvertising bezeichnet die Verbreitung von Schadsoftware über Online-Werbeanzeigen, die auf völlig legitimen und vertrauenswürdigen Webseiten erscheinen. Selbst wer nur bekannte Nachrichtenportale, Onlineshops oder Behördenwebseiten besucht, kann sich unbemerkt infizieren, weil die Gefahr nicht von der Seite selbst, sondern vom eingebetteten Werbenetzwerk ausgeht. Die folgenden Abschnitte erklären, wie diese Angriffe technisch funktionieren und welche Schutzmaßnahmen wirklich helfen.
Wie gelangt Malvertising auf seriöse Webseiten?
Malvertising gelangt auf seriöse Webseiten, weil Betreiber ihre Werbeflächen in der Regel nicht selbst befüllen, sondern über automatisierte Werbenetzwerke und Echtzeit-Auktionssysteme (Real-Time Bidding) vermarkten. Angreifer kaufen dort Werbeplätze wie legitime Werbekunden, schleusen jedoch manipulierte Anzeigen ein, die Schadcode enthalten oder auf bösartige Seiten weiterleiten.
Die Qualitätsprüfungen der großen Werbenetzwerke lassen sich auf verschiedenen Wegen umgehen. Cyberkriminelle schalten zunächst unauffällige, saubere Anzeigen, um Vertrauen aufzubauen, und aktivieren den Schadcode erst nach der Freischaltung. Andere Techniken nutzen sogenanntes Geo-Targeting, sodass die Malware nur in bestimmten Ländern oder für bestimmte Browserversionen ausgeliefert wird und bei automatisierten Prüfungen unsichtbar bleibt. Für Webseitenbetreiber ist das Problem schwer zu kontrollieren, weil der eigentliche Anzeigeninhalt in Echtzeit von externen Servern geladen wird.
Wie funktioniert eine Malvertising-Infektion technisch?
Eine Malvertising-Infektion funktioniert häufig als sogenannter Drive-by-Download: Sobald der Browser eine manipulierte Werbeanzeige lädt, wird automatisch Schadcode ausgeführt, ohne dass der Nutzer etwas anklicken oder herunterladen muss. Der Angriff nutzt Sicherheitslücken im Browser selbst oder in installierten Plugins wie veralteten PDF-Readern oder JavaScript-Bibliotheken aus.
Der technische Ablauf folgt meist einem festen Muster. Die Werbeanzeige enthält entweder direkt eingebetteten Schadcode oder leitet den Browser über mehrere Weiterleitungsstufen zu einem sogenannten Exploit-Kit weiter. Dieses Kit analysiert die Browserumgebung des Besuchers automatisch, erkennt vorhandene Schwachstellen und wählt den passenden Exploit aus. Gelingt der Angriff, wird Schadsoftware auf dem Rechner installiert, ohne dass eine Nutzerinteraktion erforderlich ist. Genau deshalb ist der Schutz vor Drive-by-Downloads so anspruchsvoll: Der Angriff ist abgeschlossen, bevor der Nutzer irgendetwas bemerkt.
Welche Arten von Schadsoftware verbreitet Malvertising?
Über Malvertising werden nahezu alle gängigen Arten von Schadsoftware verbreitet. Am häufigsten sind Ransomware, Trojaner, Spyware und sogenannte Cryptominer. Die Wahl der Schadsoftware hängt davon ab, welche Zielgruppe die Angreifer im Visier haben und welches Ziel sie verfolgen.
- Ransomware: Verschlüsselt Dateien auf dem infizierten System und fordert Lösegeld. Besonders für Unternehmen und Behörden stellt dies ein erhebliches Risiko dar.
- Banking-Trojaner: Lesen Zugangsdaten für Online-Banking oder Unternehmensportale aus und leiten diese an die Angreifer weiter.
- Spyware: Überwacht das Nutzerverhalten dauerhaft, protokolliert Tastatureingaben und kann vertrauliche Informationen aus dem internen Netzwerk abgreifen.
- Cryptominer: Nutzen die Rechenleistung des infizierten Rechners unbemerkt zum Schürfen von Kryptowährungen, was zu Leistungseinbußen und erhöhtem Energieverbrauch führt.
- Downloader: Installieren zunächst nur eine kleine Komponente, die später weitere Schadsoftware nachlädt, sobald die initiale Infektion unentdeckt bleibt.
Für Unternehmen ist besonders gefährlich, dass Malvertising häufig der erste Schritt in einer mehrstufigen Angriffskette ist. Die initiale Infektion dient als Brückenkopf, um sich anschließend lateral im internen Netzwerk auszubreiten.
Warum schützt ein Ad-Blocker nicht zuverlässig vor Malvertising?
Ein Ad-Blocker reduziert das Risiko durch Malvertising zwar deutlich, bietet aber keinen vollständigen Schutz, weil er nicht alle Werbequellen kennt, umgangen werden kann und keinen Schutz vor Sicherheitslücken im Browser selbst bietet. Angreifer entwickeln ihre Techniken kontinuierlich weiter, um Filterlisten zu umgehen.
Ad-Blocker arbeiten auf Basis von Filterlisten, die bekannte Werbeserver und Tracking-URLs erfassen. Neue oder speziell präparierte Domains, die noch nicht auf diesen Listen stehen, werden nicht blockiert. Darüber hinaus setzen manche Webseitenbetreiber Anti-Ad-Blocking-Maßnahmen ein, die Nutzer zur Deaktivierung des Blockers auffordern. Sobald der Ad-Blocker deaktiviert ist, ist der Schutz vollständig aufgehoben.
Ein weiterer kritischer Punkt: Selbst wenn die Werbeanzeige selbst blockiert wird, schützt ein Ad-Blocker nicht vor Schwachstellen, die über andere eingebettete Drittinhalte wie Social-Media-Widgets oder Analyseskripte ausgenutzt werden. Für einen wirksamen Schutz vor Malware über den Browser ist ein mehrschichtiger Ansatz notwendig, der nicht allein auf dem Endgerät ansetzt.
Wie können Unternehmen Malvertising-Angriffe wirksam verhindern?
Unternehmen können Malvertising-Angriffe wirksam verhindern, indem sie die Browserausführungsumgebung vollständig vom internen Netzwerk trennen. Ergänzend dazu helfen regelmäßige Software-Updates, restriktive Browser-Richtlinien und die Schulung von Mitarbeitenden. Kein einzelnes Werkzeug ist ausreichend, aber eine Kombination aus technischen und organisatorischen Maßnahmen reduziert das Risiko erheblich.
Die wirksamste technische Maßnahme gegen Drive-by-Download-Angriffe ist das Prinzip der Browserisolierung. Dabei wird der Webbrowser nicht mehr auf dem Arbeitsplatzrechner selbst ausgeführt, sondern auf einem separaten, abgeschirmten Server. Selbst wenn Schadcode im Browser aktiv wird, hat er keinen Zugriff auf das interne Netzwerk oder die lokalen Daten des Nutzers. Diese Methode wird als Remote-Controlled Browser System (ReCoBS) bezeichnet.
Weitere empfohlene Maßnahmen umfassen:
- Konsequentes Patch-Management: Browser, Plugins und Betriebssysteme müssen stets auf dem aktuellen Stand gehalten werden, um bekannte Sicherheitslücken zu schließen.
- JavaScript-Restriktionen: Die Ausführung von JavaScript auf unbekannten oder nicht vertrauenswürdigen Seiten kann über Browser-Richtlinien eingeschränkt werden.
- Netzwerksegmentierung: Arbeitsplätze mit Internetzugang sollten in separaten Netzwerksegmenten betrieben werden, um die Ausbreitung einer Infektion zu begrenzen.
- Mitarbeiterschulungen: Sensibilisierung für verdächtige Weiterleitungen, unerwartete Downloads und ungewöhnliches Browserverhalten ist ein wichtiger ergänzender Baustein.
- Security Audits: Regelmäßige Überprüfungen der IT-Infrastruktur decken Schwachstellen auf, bevor Angreifer sie ausnutzen können.
Wie wir bei m-privacy GmbH vor Malvertising schützen
Wir bei m-privacy GmbH haben uns auf genau diese Bedrohungsklasse spezialisiert und bieten Unternehmen sowie Behörden eine technisch ausgereifte Antwort auf das Malvertising-Problem. Unser Ansatz kombiniert Produktlösungen, Beratung und Schulungen zu einem ganzheitlichen Schutzkonzept:
- TightGate-Pro: Unsere ReCoBS-Lösung führt den Webbrowser vollständig auf einem isolierten Server aus. Schadcode, der über Malvertising in den Browser gelangt, erreicht niemals den Arbeitsplatzrechner oder das interne Netzwerk. TightGate-Pro ist vom BSI nach Common Criteria EAL3+ zertifiziert und eignet sich besonders für Behörden, Finanzinstitute und Kritische Infrastrukturen.
- Security Audits nach ISO 27001: Wir analysieren Ihre bestehende IT-Infrastruktur systematisch auf Schwachstellen, die Malvertising-Angriffe begünstigen könnten, und empfehlen konkrete Gegenmaßnahmen.
- Mitarbeiterschulungen: Wir schulen Ihre Teams praxisnah im sicheren Umgang mit dem Internet und sensibilisieren sie für die spezifischen Risiken durch manipulierte Werbeinhalte.
- Externe Datenschutzbeauftragte: Bei einem erfolgreichen Angriff entstehen häufig datenschutzrechtliche Meldepflichten. Wir unterstützen Sie dabei, diese korrekt zu erfüllen.
Möchten Sie Ihr Unternehmen zuverlässig vor Malvertising und Drive-by-Downloads schützen? Kontaktieren Sie uns und wir besprechen gemeinsam, welche Lösung am besten zu Ihrer Infrastruktur passt.