1. Nebenwirkungen
Der Kampf um Werbung im Netz wird mit immer aggressiveren Mitteln geführt. Insbesondere die Werbeindustrie und Seitenbetreiber gehen in die Offensive und errichten Blockaden und Paywalls gegen Besucher. Der Hintergrund: Wer einen Adblocker nutzt, der gilt als »Schmarotzer« und muss missioniert werden.
Das Interactive Advertising Bureau (IAB) stellt Webseitenbetreibern ein kostenloses Handbuch zur Verfügung, in dem Techniken erläutert werden, um mit Adblockern umzugehen. Als besonders erfolgversprechend gilt die D.E.A.L-Strategie, bei der Adblock-Nutzer identifiziert und dazu bewogen werden, den Werbeblocker abzuschalten oder einen kostenpflichtigen Zugang zu kaufen. Wer dem nicht nachkommt soll komplett blockiert werden oder nur noch eingeschränkt Zugang zur Seite haben.
Doch die heile Welt der Online-Werbung hat schon lange ein großes Problem: Malvertising – also die Auslieferung von Werbung die Schadcode beinhaltet und damit ein Risiko für den Nutzer bzw. seine Daten darstellt. Ein Adblocker ist also für die meisten Nutzer ein reiner Selbstschutz mit der positiven Nebenwirkung, keine aufdringliche Werbung sehen zu müssen.
2. Das Hauptproblem: Malvertising
Bei der Recherche für diesen Kommentar wollte ich in Erfahrung bringen, wie häufig in Deutschland Adblocker eingesetzt werden. Glaubt man den diversen Statistiken setzen ca. ein Viertel aller deutschen Nutzer einen Adblocker ein, um werbefrei zu surfen. Vermutlich wird diese Zahl in Zukunft weiterhin ansteigen, denn die Auslieferung von schadhafter Online-Werbung bzw. Malvertising wird zu einem immer größeren Problem und damit zum Risiko für den Nutzer. Werfen wir einen Blick auf vergangene Fälle:
- 22.09.2014: Doubleclick und Zedo lieferten virenverseuchte Werbung aus
- Betroffene Seiten: last.fm, Times of Israel und weitere populäre Webseiten
- Werbevermarkter: DoubleClick und Zedo
- Angriffsvektor: Schadcode in Anzeige
- Infektion: Trojaner-Famile Zemot
- 15.09.2015: Malware-Angriff aus der Werbung
- Betroffene Seiten: Unter anderem ebay
- Werbevermarkter: DoubleClick, Appnexus und weitere Anbieter
- Angriffsvektor: Werbeanzeige selbst erhielt keinen Schadode, erst nach einem Klick auf die Webseite Infektion mit Angler-Exploit-Kit möglich
- Infektion: Verschlüsselungs-Trojaner
- 16.03.2016: US-Nutzer mit Angler-Exploit-Kit und Ransomware infiziert
- Betroffene Seiten: New York Times, MSN, BBC und AOL
- Werbevermarkter: Adnxs und Taggify
- Angriffsvektor: Präparierte JSON-Datei mit obfuskierten Javascript-Code die Schwachstellen in Addons wie Flash, Java oder Silverlight über ein Iframe ausnutzt
- Infektion: Verschlüsselungs-Trojaner
- 04.11.2016: Malware für Mac-Nutzer per Google-Anzeige verteilt
- Betroffene Seiten: Google.com
- Werbevermarkter: DoubleClick
- Angriffsvektor: Werbeanzeige selbst erhielt keinen Schadode, erst nach einem Klick auf die Webseite Infektion mit OSX/InstallMiez möglich
- Infektion: Nachladen von unerwünschten Mac Cleanup Programmen
- 07.12.2016: Forscher stoppen monatelange Malvertising-Kampagne
- Betroffene Seiten: Unbekannt bzw. »größere Nachrichtenseiten«
- Werbevermarkter: Adnxs und Taggify
- Angriffsvektor: Unsichtbare Pixel in Werbeanzeigen, die Schwachstellen in Flash und dem Internet Explorer ausnutzen
- Infektion: Stegano-Exploit-Kit lädt Malware Ursnif und Ramnit, um Zugangsdaten abzugreifen, Dateien zu kopieren und Screenshots zu machen
Wer bisher glaubte, dass nur kleine Untervermarkter für Onlinewerbung von Malvertising betroffen waren, der wird eines Besseren belehrt. Auch Googles Tochterunternehmen DoubleClick ist immer wieder davon betroffen. Das wirft die Frage auf: Wie hoch ist die Dunkelziffer solcher Malvertising-Kampagnen? Denn wir müssen uns ganz klar vor Augen führen, dass Werbenetzwerke und auch Seitenbetreiber wenig Interessen daran haben, dass solche Fälle öffentlich gemacht werden. Das angekratzte Image von Online-Werbung wird damit nämlich nicht gerade aufpoliert. Der Reputationsschaden wäre vermutlich also noch größer, wenn wir Einblick in die Dunkelziffer hätten.
Der Kuketz-Blog ist spendenfinanziert!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
2.1 Einfacher Verbreitungsweg
Ähnlich wie E-Mails spielen Werbeanzeigen eine zentrale Rolle bei der Verbreitung von Schadsoftware. Insbesondere wenn es gelingt Schadcode in den Anzeigen von großen Werbenetzwerken wie bspw. DoubleClick unterzubringen, vervielfacht das die Wahrscheinlichkeit einer erfolgreichen Infektion. Das Spiel dabei ist meist dasselbe: In Browsern und deren Addons, wie bspw. Flash, wird versucht eine Schwachstelle ausnutzen. Gelingt dies wird zusätzlicher Schadcode geladen, der unter anderem die Festplatte verschlüsselt oder sensible Zugangsdaten von den infizierten Rechnern ausspäht.
Dass Angreifer den Browser zum Verbreiten von Schadsoftware ausnutzen ist kein Zufall. Welches andere Instrument wird häufiger in der digitalen Welt genutzt, um private und berufliche Aufgaben zu erledigen? Gerade Browser sind über die Jahre zu einem komplexen Werkzeug geworden, die über immer mehr Schnittstellen verfügen – das vergrößert letztendlich auch die Angriffsfläche.
3. Die Mitschuldigen
Doch tragen allein die Werbenetzwerke und aufgeblähte Browser Schuld am Anstieg für das Malvertising? Mitnichten. Wenn wir bspw. Webseiten von Nachrichtenseiten wie Bild, Spiegel Online, Süddeutsche Zeitung oder die Zeit mit Webbkoll analysieren wird das Dilemma deutlich: Die Kontrolle bzw. Hoheit über die eigene Webseite und deren Daten ist abhandengekommen. Am Beispiel von Spiegel Online möchte ich das kurz verdeutlichen:
- Bei einem Besuch von Spiegel Online werden 100 Cookies im Browser des Nutzers gesetzt
- 12 davon sind sogenannte First-party Cookies, also Cookies die von der Domain *.spiegel.de gesetzt werden
- die anderen 88 Cookies sind Third-party Cookies – also Cookies die von Dritten gesetzt und erfasst werden
- Des Weiteren werden beim Besuch von Spiegel Online insgesamt 249 Verbindungen vom Browser initiiert, die zu 77 unterschiedlichen Hosts gehören. Das pikante: Darüber lädt der Browser Bilder, Java-Scripts, Videos, Werbung usw. von Domains nach, die nicht unter der Kontrolle von Spiegel Online und damit dem Seitenbetreiber stehen. Besucht jemand also Spiegel Online, dann werden 77 weitere Akteure davon in Kenntnis gesetzt.
Selbst wenn die Spiegel Online Redaktion die Vertrauenswürdigkeit ihrer eigenen Inhalte garantieren kann, so kann sie dies nicht für die 77 weiteren Webseiten bzw. Domains, die zusätzlich eingebunden sind. Das bedeutet: Wir haben es mit 77 potenziellen Einfallstoren für Schadcode zu tun.
3.1 Das Dilemma der Verlagsbranche
Adblocker sind eine Form der digitalen Selbstverteidigung. Persönlich halte ich einen Adblocker für absolut notwendig, um die Sicherheit der Nutzer zu erhöhen. Die Verlagsbranche sieht das anders. Diverse Rechtsstreitigkeiten deuten darauf hin, dass sie das Problem des Malvertisings nicht verstehen bzw. nicht verstehen wollen:
- Werbeblocker: Auch Spiegel Online klagt gegen Adblock Plus
- Adblock Plus: Axel Springer erwirkt Einstweilige Verfügung wegen Overblocking
- Süddeutsche Zeitung verliert Klage gegen Eyeo
- Umstrittener Werbeblocker Adblock Plus setzt sich vor Gericht gegen Zeit Online und Handelsblatt.com durch
Die Sorge der Verlagsbranche liegt auf der Hand: Durch Adblocker, wie bspw. uBlock Origin, entsteht ein finanzieller Schaden. Das wird wohl so stimmen – dennoch sind die Klagen gegen Adblocker der falsche Weg. Über Jahre wurde das Vertrauen der Leser in die Verlagsseiten kontinuierlich beschädigt. Mit immer neuen Trackern, Social-Share Buttons und Werbung wird versucht den Nutzer und seine Vorlieben zu vermessen. Dieses fragwürdige Vorgehen wird von immer mehr Nutzern nicht mehr toleriert. Als Konsequenz und zum Selbstschutz nimmt die Zahl der Adblocker beständig zu.
Dass immer mehr Nutzer Adblocker einsetzen, hat auch schon die Süddeutsche Zeitung mitbekommen. Seit Ende Oktober 2016 hat man daher ein Adblock-Verbot eingeführt, dass an die eingangs genannte D.E.A.L-Strategie erinnert:
4. Fazit
Die Fronten sind verhärtet und ich sehe aktuell keine Chance auf Besserung. Die Verlagsbranche wird vermutlich weiterhin versuchen, die Anbieter von Adblockern in zermürbende Rechtsstreitigkeiten zu verwickeln. Das kann und wird nicht die Lösung für diesen Interessenkonflikt sein. Es wäre auch mal interessant zu wissen, wer rechtlich gesehen eigentlich haftet, wenn eine Webseite schadhaften Code in Werbeanzeigen ausliefert. Der Betreiber des Werbenetzwerks oder die Seite selbst?
Mein Appell an die Verlagsbranche und andere Webseiten, die sich primär über die Einblendung von Werbung finanzieren: Ihr solltet zunächst die Kontrolle über die eigene Webseite zurückerlangen und bis dahin die Nutzung von Adblockern zumindest dulden. Weiterhin solltet ihr auf Inhalte verzichten, die den Nutzer zur Installation weiterer Komponenten, wie bspw. Flash, Silverlight oder Java zwingen. Für die Zukunft wird es wohl unerlässlich sein, sich mit alternativen Finanzierungsformen anzufreunden. Denn eines ist sicher: Die Zahl der Adblock-Nutzer wird beständig ansteigen – ob ihr wollt oder nicht.
Hinweis
Digitale Selbstverteidigung
Installiert euch uBlock Origin als Adblocker – zu eurer eigenen Sicherheit beim Surfen im Netz! ;-)
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Das kranke WWW: Stop using Google Web-Services
Firefox: First Party Isolation – Firefox-Kompendium Teil4
Keine Werbung und Tracker mit Adblock-Addon – OpenWrt Teil4
Firefox: uBlock Origin – Firefox-Kompendium Teil2
Wie Banken die Sicherheit und Privatsphäre ihrer Kunden aufs Spiel setzen
22 Ergänzungen zu “Kommentar: Adblocker sind digitale Selbstverteidigung”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Zu Süddeutsche Zeitung SZ.de: Wenn man sich *kostenlos* registriert und eingeloggt ist, kann man die Website danach weiterhin mit Adblocker ansurfen (unten links auf dem Screenshot)
Doubleklick schreibt sich Doubleclick
Danke Thomas. Wenn wir ganz korrekt sind, es schreibt sich sogar DoubleClick.
Auch in der Schweiz wurde mittels Werbung Malware über das grösste News-Portal des Landes verteilt:
https://www.watson.ch/Digital/Schweiz/661270267-Erneuter-Angriff-auf-%C2%AB20-Minuten%C2%BB-Leser–Sicherheitsexperte-zeigt-sich-sehr-besorgt
Mit uBlockOrigin kann man sich die Listen „Adblock Warning Removal List“ und „Anti-Adblock Killer“ zusätzlich abbonieren, per Default sind die aus, aber damit werden die lästigen „Werbeblocker abschalten“-Einblendungen in aller Regel weggefiltert. Seiten, die dann die Inhaltsauslieferung weiterhin blockieren, komme auf die Liste der Webseiten, die ich für den Rest meines Lebens vermeide.
Jup. Ist auch im Beitrag uBlock Origin: Schutz gegen Tracker und Werbung so empfohlen.
Funktioniert der Anti-Adblock-Killer auch ohne das Greasemonkey-Script?
Herzlichen Dank mal wieder für diesen Artikel.
Wir Adblocker sind seit Jahren bei ca. 20 % der Nutzer.
Besonders „leiden“ tun natürlich Webseiten, die IT-affine Nutzer anziehen.
So klagte Golem.de ja ausführlich darüber und bietet nun eine werbefreie Nutzung gegen Gebühr an.
Ich beobachte bei unseren Leidmedien eine ständige Anzahl von kostenpflichtigen Artikeln – paywalls, fast als würden sie sich untereinander absprechen.
Die Absurdität: Wer abonniert, gibt den Seiten auch noch seinen Klarnamen zur Verwertung womöglich noch inkl. Creditreform/Schufa-Klausel für die Abbuchung.
Wer was auf sich hält, wird sich dann hüten, auch noch in den dortigen Foren zu kommentieren! Ich möchte nicht das geistige Niveau von Kommentaren in diesen Bezahlbereichen mitansehen müssen! Mir ist schon aufgefallen, dass das Niveau bei Kommentaren mit Klarnamen regelmäßig niedriger ist. Die meisten Äußerungsdelikte werden bezeichnenderweise auch unter Klarnamen begangen …
Golem hat es aber auch verdient! Ist für mich ohne AdBlocker nicht benutzbar. Sogar Schlagwörter in den Kommentaren werden mit Werbung versehen. Für mich ist damit eindeutig eine Grenze überschritten.
Die Golem-Seite und die Artikel mit Kommentaren sind auch mit aktivem AdblockPlus oder uBlock problemlos lesbar.
Wie es aussieht, wenn man dort einen Account hat und eingeloggt ist, weiß ich nicht.
Hab keinen. Will keinen.
Langfristig sehe ich als konsequenter und wirkungsvoller (statt diverse Software Tricks anzuwenden) die Maßnahme, die ElKah auch schon anspricht: Seiten, die mich auschließen, weil ich mich gegen Malware, Tracking und sonstige Belästigung verteidigen will, werden nicht mehr aufgerufen. Wenn die Betreiber dann kaum noch Klick bekommen (Was sie anscheinend möchten), könnte das Umdenken auf ihrer Seite vielleicht beschleunigt werden.
Edit:
Hmm… habe gerade die SZ nochmal getestet. Anscheinend sind die von mir erwähnten Selbstverteidigunsmaßnahmen nicht mehr nötig. Hab testweise ebenfalls „Adblock Warning Removal List“ und „Anti-Adblock Killer“ deaktiviert (auch wenn sie bei der SZ Adblock Warnung wirkungslos waren). Ich kann die SZ jetzt problemlos aufrufen, mit uBlock. Womöglich hat das aktuelle Urteil SPO versus Adblock Plus bei der SZ das Stoppen der Blockade verursacht oder eben doch die Tatsache, daß man sie recht einfach umgehen kann. Bei Handelsblatt übrigens auch.
Habe deine »Selbstverteidigunsmaßnahmen« mal entfernt. Eine Anleitung zum Umgehen der Anti-Adblock Maßnahmen ist eine rechtliche Grauzone. ;-)
Na gut. :)
Aber allgemain uBlock zu nutzen und dort allgemein einfach mal mit den Eistellungen zu spielen, wie z.B. die kosmetischen Filter individuell zu deaktivieren dürfte rechtlich voll in der weißen Zone sein. ;D
Hat sich aber, wie erwähnt, eh erledigt.
Was wirklich bedauerlich bis bestürzend ist: Auch unter den eher technikaffinen Nutzern richtet sich der Einsatz von Adblockern vor allem gegen die optische Belästigung durch Werbung, seltener gegen Tracking oder Sicherheitsrisiken – das lässt sich ganz gut an den Kommentaren zum Thema auf heise.de oder bei Golem ablesen. Da zeigte das Landgericht Hamburg in einer Urteilsbegründung vor ein paar Tagen schon mehr Durchblick: „Die Internetnutzer haben ein schutzwürdiges Interesse an der Abwehr unerwünschter Werbung, an Schutz vor Schadprogrammen sowie an der Kontrolle über ihre Daten“
Juristisch ließe sich übrigens zumindest dem Malvertising-Problem leicht beikommen: indem jede Website die Haftung für so entstandene Schäden übernimmt, statt die Verantwortung weiter zu schieben. Bei allem Jammer über durch Adblocker entstehende Verluste sind die Medienhäuser aber genau dazu natürlich nicht bereit. Warum wohl nicht?
Da hast du völlig recht. Adblocker sind für die meisten nutzer primär Werbeblocker und kein Tracking blocker. Leider ist es nahezu unmöglich auf bessere Alternativen zu wechseln. Die meisten sind leider nicht bereit auf kostenpflichtige Deals einzugehen.
Bedenke, dass viele Arbeitsplätze bei Webseitengestaltung stark von Werbung abhängig sind.
Daher gilt: Betreiber von Webseiten wegen ihren Einsatz von Tracking und Werbung durch finanzielle Schäden ABZUSTRAFEN halte ich für sinnfrei. Denn für unerfahrende Laien als Webseitenbetreiber gilt: Entweder Werbung mit Tracking oder gar nichts.
So dämlich wie es sich anhört.
Toll wäre ein Trackingblocker, der keine Werbung blockt.
„Bedenke, dass viele Arbeitsplätze bei Webseitengestaltung stark von Werbung abhängig sind.“
Ich muss zugeben, dass ich auf das Arbeitsplatzargument zunehmend allergisch reagiere, das unweigerlich dann immer aus der Kiste gezogen geht, wenn es um Schweinerein geht. Mit derselben Begründung verteidigen Regierung wie Gewerkschaften unisono die deutsche Kriegswaffenindustrie.
„So dämlich wie es sich anhört.
Toll wäre ein Trackingblocker, der keine Werbung blockt.“
Dämlich nun nicht, nur die Logik steht Kopf: Wir brauchen keine Trackingblocker, die Werbung durchlassen. Sondern Werbung, die nicht trackt.
Angesichts dessen, dass mittlerweile mehr als die Häfte der im Netz geschalteten Werbung nur noch von Bots „angesehen“ wird, habe ich immerhin die leise Hoffnung, dass der Schwindel irgendwann mal auffliegt.
Super Artikel wieder, Mike – fettes Danke! Bei derartig fundierten Argumenten kann die „Gegenseite“ sich wirklich nur noch „an die eigene Nase fassen“.
Wurde sogleich aus meiner Android App-Übersicht: Ad-Blocker verlinkt :)
Bei Fefe klang es schon an (https://blog.fefe.de/?ts=a6b41388):
Jenes Urteil sollte auch durchgreifende Haftung bei Schäden durch Werbung zeitigen. Bleibt das Beweisproblem, dass die Malware über *diese* Seite eingeschleust wurde.
Der Grund dafür war wohl das frische Update von uBlock, kurz vor dem Test.
Die beiden genannten externen Listen sind, zumindest bei der SZ, weiterhin wirkungslos.
Sollte dazu erwähnen, daß ich uBlock in der erweiterten Form mit den dynamischen Filtern nutze (Dashboard>Einstellungen>Ich bin ein erfahrener Nutzer).
Die Skripte und Frames von Drittseiten blocke ich grundsätzlich und schalte sie nur gezielt frei, je nach Seite und Bedarf.
Daß es nicht die Einsicht seitens der SZ war, kann man sich vollends überzeugen, indem man die SZ mit einer älteren Version von uBlock (ohne Selbstverteidigunsmaßnahmen) aufruft.
Oder statt uBlock mit AdblockPlus.
Auf dieses Addon haben sich die Online Portale bekanntlich besonders fixiert.
Naja, es gäbe auch für AdblockPlus eine …maßnahme, aber Mike würde mich gleich wieder in die „Grauzone“ schicken. ;)
Um sich zu schützen, ist uBlock eh die bessere Wahl.
Auch aus anderen Gründen, die schon in Mikes entsprechendem Artikel besprochen wurden.
Ich hatte größtes Interesse, eine Verlagsseite mit saftigen Klagen einzudecken, die mir über Advertising Schadcodes auf den Rechner geschmuggelt haben…
Ich frage mich, ob Werbung auf Webseiten nicht auch Links sind, welche – unter dem Aspekt eines Urteils des LG Hamburg (Linkhaftung) – auf möglicherweise urheberrechtsverletzende Inhalte weiterleiten und somit rechtliche Konsequenzen nach sich ziehen könnten. Da nicht einmal das LG Hamburg (auf Nachfrage von heise.de) die Rechtmäßigkeit seiner Onlineinhalte rechtsverbindlich erklären will, vermute ich, dass kein einziger Onlineanbieter eine derartige Erklärung abgeben wird. Daraus folgt, nach meiner laienhaften Einschätzung, dass jeder, der Werbung auf seiner Webseite darstellt, sich in eine rechtliche Grauzone begibt. Statt also gegen Webeblocker vorzugehen, sollten sich manche Onlineanbieter erst einmal damit auseinandersetzen. ;-)
Bin ein großer Freund von RequestPolicy im Firefox
Dabei werden alle externen Verbindungen geblockt (nahezu alle Werbung dadurch auch).
Per Hand muss man allerdings so einige wieder aktivieren damit man Seiten korrekt aufrufen kann. Gerade in Zeiten von CDNs und dem Hosten von Bildern auf anderen Domains kann es allerdings auch sehr lästig werden. Manchmal fehlen halt Bilder und man merkt es nicht mal.
Da man auch temporär alles aktivieren kann oder einzelne Verbindungen temporär einschaltet ist es auch möglich mal kurz eine Ausnahme zu machen.
Ich habe mich damit arrangiert und bin zufrieden. Viel weniger Werbung (dagegen habe ich aber gar nichts, man muss sich ja finanzieren), kaum Tracking (höchstens selbgehostetes wie Piwik) und auch Social Integrationen sind weggefiltert.
Die Seitenbetreiber sehen immer nur ihre Benutzer, und bekommen nicht die Ansichten der Nichtbenutzer mit.
Wie wäre es, wenn man denen einfach auch mal schriftlich mitteilt, warum man ihre Seite nicht besucht?
Beispiel: