Warum Adblocker vor Hackern schützen – Thorsten Schröder, modzero

Im Rahmen der d3con 2017 kommen im März die schlausten Köpfe der RTA-Branche im Hamburger Cinemaxx zusammen. Als Medienpartner stellen wir in den nächsten Wochen einige der Speaker im Interview vor, um euch einen Vorgeschmack auf die spannenden Themen der Konferenz zu geben, die die Display-Branche momentan bewegen.

Thorsten Schröder ist Gründer der Schweizer modzero AG, die große und mittelständische Unternehmen in IT-Sicherheit berät. Er testet Hard- und Softwareprodukte, indem er sie im Auftrag der Kunden hackt. Als Mitglied des Chaos Computer Club kämpft Schröder für mehr digitale Grundrechte und gibt sein Wissen auch auf Cybersecurity Tagungen weiter.

Interiew mit Thorsten Schröder, Gründer der modzero AG

OnlineMarketing.de: Du bist mit der Überschrift „Mein Adblocker bleibt an“ auf der d3con ziemlich kontrovers unterwegs. Erzähl doch mal, warum der anbleibt und was das Publikum von deinem Vortrag zu erwarten hat?

Thorsten Schröder: Viele Leute stören sich grundsätzlich an Online-Werbung, weil sie oft stört und ablenkt. Das sehe ich in den meisten Fällen auch so, sehe allerdings auch ein, dass Werbung eine der wenigen Einnahmequellen unabhängiger Medien darstellt.

Ich bin im Grunde bereit den Verlagen, deren Nachrichten ich konsumiere, etwas zu bezahlen oder im Notfall auch die Adblocker-Whitelist zu erweitern. Dass dies derzeit für mich nicht in Frage kommt, liegt an meinem Sicherheitsbedürfnis: Ich beschäftige mich seit zwei Dekaden mit IT-Sicherheit und bin seit rund 15 Jahren auch beruflich in diesem Bereich tätig. Die Sicherheit von Arbeitsplatzrechnern spielt bei mir und meinen Kunden eine ebenso große Rolle wie die Sicherheit der Serversysteme. Die Computer, die wir alle in der Freizeit oder im Beruf nutzen, können auf vielfältige Weise angegriffen werden – meistens sind die Opfer nicht gezielt angegriffen worden, sondern haben sich beispielsweise mit einer Ransomware infiziert, die dafür sorgt, dass ein Anwender ein Lösegeld zahlen muss, bevor er seine Daten wieder nutzen kann. Viele Angriffe basieren auf Social-Engineering, also z. B. einer plausibel klingenden E-Mail mit schädlichem Anhang, der geöffnet wird.

Dieser Infektionsweg per E-Mail kann aber leicht ausgetauscht werden – zum Beispiel durch den Werbekanal, der heute von vielen seriösen Verlagen genutzt wird. Ich würde, da ich hinreichend sensibilisiert bin, niemals auf einen E-Mail-Anhang klicken, den ich nicht erwartet habe – warum sollte ich also mit der unbewussten Ausführung von fremden Code auf meinem Rechner einverstanden sein, der mittels Werbeeinblendung in meinem Browser zur Ausführung kommt? In der Vergangenheit wurde bereits mehrfach darüber berichtet, dass Schadsoftware über bekannte Newsportale verbreitet wurde. Und da dies weder im Sinne der Portale, Verlage, Werber und Konsumenten ist, möchte ich auf die Problematik aufmerksam machen und Ansätze für mögliche Lösungen ins Spiel bringen.

Was würdest du tun, wenn du beispielsweise ab morgen Geschäftsführer von Focus Online wärst? Wie sollte man deiner Meinung nach solche Seiten finanzieren, wenn Online Werbung zu „gefährlich“ ist?

Ich muss ein wenig ausholen, um die Frage zu beantworten:

Online Werbung an sich ist nicht gefährlich – doch das gegenwärtige Verfahren, wie sie verbreitet wird, birgt ein sehr hohes Risiko für Anwender, gezielt oder zufällig Opfer eines Angriffes zu werden und alle Daten zu „verlieren“. Die Probleme sind sehr vielschichtig und gewachsen. Die meisten Verlage befinden sich in einer kompletten Abhängigkeit zu Werbenetzwerken und deren Technologien. Die Technologien sind oft sehr alt; als sie vor über 20 Jahren während der Kommerzialisierung des Internets entwickelt wurden, standen Sicherheitsaspekte nicht auf der Agenda. Aus Erfahrung kann ich sagen, dass es in vielen Fällen unmöglich ist, nachträglich „Sicherheit“ in ein über 20 Jahre gewachsenes Produkt einzubauen. Daher kann diese Technologie leicht durch Angreifer missbraucht werden, die Newsportale sind dann das Verbreitungswerkzeug von Angreifern, die nur ein paar Dollar in die Hand nehmen müssen, um eine Anzeige mit Schadcode zu schalten.

Wäre ich Geschäftsführer eines Online-Verlages, würde ich mir die Bedenken meiner System- und Netzwerk-Administratoren genau anhören. Mit ihnen würde ich versuchen einen Weg zu finden, der es Angreifern schwerer macht, mein Portal zu missbrauchen. Möglicherweise wäre es sinnvoll, wenn ich mich mit den Geschäftsführern anderer Online-Verlage zusammensetze und mir überlege, wie man gemeinsam Druck auf die Werbenetzwerk-Anbieter ausüben kann. JavaScript, Flash, Java, Filme – all diese Formate bergen großes Missbrauchspotential und viele Gefahren, wenn sie aus nicht vertrauenswürdiger Quelle stammen. Warum kann nicht der Anbieter in die Pflicht genommen werden, für die Gefahrlosigkeit zu bürgen? Gibt es weniger riskante Verfahren, um zu werben? Ich meine: ja. Und diesen Fragen würde ich als Verantwortlicher nachgehen.

Siehst du eine andere technische Lösung für das Problem als Adblocking?

Sicher gibt es andere Möglichkeiten als das Adblocking, um sich gegen bestimmte Gefahren zu schützen, allerdings geht mit mehr IT-Sicherheit meist auch immer Funktionalität verloren. Wenn auf Werber-Seite sichergestellt werden könnte, dass keine aktiven Inhalte übermittelt werden, wären wir schon einen ganzen Schritt weiter. Das hieße beispielsweise, auf Flash, Java, JavaScript und extern gelagerte Quellen zu verzichten. Das dürfte aber vermutlich nicht im Sinne der Werbenden sein. Mit etwas Kompromissbereitschaft und Druck vom Markt bin ich mir sicher, dass sich hier etwas bewegen ließe.

Kennst du jemanden, der Antivirensoftware für Adserver baut?

Eine Antivirensoftware für Adserver ist mir nicht bekannt und auch technisch kaum sinnvoll umzusetzen. AV-Hersteller berücksichtigen heute mehr und mehr auch den Webbrowser, der ja das Einfallstor für Malwaretisements wäre – allerdings sollte man sich darauf einstellen, dass die Hürden für Malwaretiser hier nur leicht erhöht würden.

Wer sichergehen will, dass sein Computer nicht gehackt wird, muss ihn ausschalten. Wer sichergehen will, dass sein Computer nicht durch Online-Werbung infiziert wird, muss – zumindest derzeit – einen Adblocker installieren.

Vielen Dank für das Interview!

OnlineMarketing.de ist offizieller Medienpartner der d3con 2017. Dieser Artikel ist in Zusammenarbeit mit den Event-Organisatoren entstanden. Interessierte können sich hier für die d3con anmelden. Außerdem organisiert OnlineMarketing.de die Aftershow-Veranstaltung des Events.