Seit Juli 2015 gilt das Gesetz zur Erh\u00f6hung der Sicherheit informationstechnischer Systeme, kurz: IT-Sicherheitsgesetz. Vielfach wird darauf hingewiesen, dass dieses Gesetz vorrangig im Bereich Kritischer Infrastrukturen (KRITIS) gilt. Jedoch wird \u00fcbersehen, dass alle Anbieter von Telemediendiensten betroffen sind, also auch Online-Shops und Provider. Wir werfen heute einen Blick auf das sichere Bereitstellen von Online-Werbung, die h\u00e4ufig zum Refinanzieren von kostenfreien Inhalten genutzt wird.<\/p>\n
<\/p>\n
Website-Betreiber, die kostenfreie Inhalte anbieten, aber auch Online-Shops und andere Seiten nutzen Online-Werbung als zus\u00e4tzliche Einnahmequelle. Gerne werden Werbebanner im Seitenbereich oder oben auf einer Website eingeblendet. Jedoch sind an solchen Werbema\u00dfnahmen recht viele Akteure beteiligt, deren Sicherheit zuweilen zweifelhaft ausf\u00e4llt.<\/p>\n
Der Werbetreibende, auch Advertiser genannt, m\u00f6chte seine Produkte oder Dienstleistungen bewerben. Er beauftragt eine Agentur mit dem Entwerfen entsprechender Werbemittel. Ein Vermarkter wird weiter involviert, damit die Werbeanzeige auf verschiedenen Seiten erscheint und idealerweise bestm\u00f6glich platziert wird. Diese Vermarkter kaufen die Werbepl\u00e4tze bei sogenannten Publishern ein, also den Websitebetreibern.<\/p>\n
Die Auslieferung der Werbeanzeige wird rein technisch durch sogenannte Ad-Server realisiert. Wird eine werbefinanzierte Site besucht, stellt die Webseite eine Verbindung zum entsprechenden Ad-Server her. Anschlie\u00dfend w\u00e4hlt der Ad-Server die Werbung aus und sendet es an die Website. Dahinter steckt ein komplizierter Prozess: die Werbung wird in Echtzeit versteigert („Real-Time-Bidding“). In aller Regel werden weitere Ad-Server kontaktiert, damit das Werbemittel ausgeliefert wird oder aber Nutzerdaten f\u00fcr das Versteigern der Werbung erhoben werden k\u00f6nnen („Tracking“).<\/p>\n
Beim sogenannten Malvertising, einem Kofferwort aus „Malware“ und „Advertising“ verstecken sich Schadprogramme in Werbebannern und werden verteilt. Das kam in der Vergangenheit schon recht h\u00e4ufig vor. Daf\u00fcr kompromittieren Angreifer schlecht abgesicherte Ad-Server oder kaufen mit gestohlenen Kreditkarten Werbepl\u00e4tze bei den Vermarktern.<\/p>\n
Angreifer finden diese Methode attraktiv, denn die Verkn\u00fcpfung des Ad-Servers mit zahlreichen Websites bietet eine hohe Reichweite f\u00fcr das Verteilen von Schadprogrammen. So lassen sich sogar Schadprogramme auf seri\u00f6sen Websites platzieren.<\/p>\n
Die verbreiteten Schadprogramme sind h\u00e4ufig Ransomware oder Trojanische Pferde. Letztere werden unter anderem daf\u00fcr genutzt, vertrauliche Daten abzufangen oder Spam-Mails versenden zu k\u00f6nnen. Ransomware hingegen verschl\u00fcsselt die Daten des Opfers und versucht, f\u00fcr die Freigabe der Daten ein L\u00f6segeld zu erpressen.<\/p>\n
<\/p>\n
Das IT-Sicherheitsgesetz wurde eingef\u00fchrt, um die Sicherheit von IT-Infrastrukturen wesentlich verbessern zu k\u00f6nnen. Im Zuge des IT-Sicherheitsgesetzes entstand eine Anpassung im Telemediengesetz<\/a> (TMG). Verantwortliche von Telemedien sollten beim Absichern ihrer IT-Systeme intensiver in die Verantwortung genommen werden. Diensteanbieter sind insbesondere verpflichtet, gem\u00e4\u00df \u00a7 13 Abs. 7 TMG Sicherheitsma\u00dfnahmen entsprechend dem Stand der Technik umzusetzen. Betont wird besonders das Anwenden eines Verschl\u00fcsselungsverfahrens, welches als sicher eingestuft ist.<\/p>\n Ad-Server-Betreiber fallen ebenfalls unter diese Paragrafen. Denn sie sind Anbieter von Telemediendiensten, die Informationen \u2013 in dem Fall Werbemittel \u2013 zum Abrufen bereithalten. Deshalb sind diese Betreiber verpflichtet, neben den anderen gesetzlichen Vorgaben die in \u00a7 13 Abs. 7 TMG enthaltenen Sicherheitsma\u00dfnahmen umzusetzen.<\/p>\n Das BSI hat ein Diskussionspapier bereitgestellt<\/a>, welches Ma\u00dfnahmen beinhaltet, die f\u00fcr das sichere Bereitstellen von Online-Werbung eingehalten werden sollten. Diese Sicherheitsma\u00dfnahmen stellen wir Ihnen im Folgenden vor. Bitte verstehen Sie diese Ma\u00dfnahmen als Erweiterung der Cyber-Sicherheitsempfehlung „Absicherung von Telemediendiensten nach Stand der Technik“<\/a> (PDF).<\/p>\n Ad-Server-Betreiber sind in der Pflicht, starke Passw\u00f6rter zu w\u00e4hlen oder Alternativen einzusetzen, die mindestens vergleichbar sicher sind. So soll gew\u00e4hrleistet werden, dass Kunden Passw\u00f6rter w\u00e4hlen, die stark genug f\u00fcr Brute-Force-Attacken<\/a> sind. Um wirksam gegen gestohlene Passw\u00f6rter vorgehen zu k\u00f6nnen, empfiehlt sich weiter eine Mehrfaktor-Authentifizierung.<\/p>\n Die Vergangenheit zeigt, dass Ad-Server h\u00e4ufig aufgrund fehlender Sicherheits-Updates kompromittiert werden konnten. Lang bekannte Sicherheitsl\u00fccken ziehen Hacker geradezu magisch an. Deshalb sind Betreiber in der Pflicht, Sicherheits-Updates schnellstm\u00f6glich einzuspielen. Solche Sicherheitsupdates m\u00fcssen auf s\u00e4mtlichen zum Ad-Server geh\u00f6renden Komponenten installiert werden, einschlie\u00dflich der Clients der Mitarbeiter. Nur so lassen sich Schwachstellen in der gesamten IT beseitigen.<\/p>\n Es empfiehlt sich, einen Patch-Management-Prozess zu etablieren. So k\u00f6nnen Betreiber z\u00fcgig auf neu zur Verf\u00fcgung gestellte Sicherheits-Updates reagieren und sie schnellstm\u00f6glich einspielen.<\/p>\n Das Gesetz schreibt vor, einen effizienten Virenschutz auf allen Rechnern von Mitarbeitern einzusetzen. Dar\u00fcber hinaus ist es empfehlenswert, Virenschutz-Programme auch auf Ad-Servern einzusetzen. Die AV-Programme sollten auf den Ad-Servern regelm\u00e4\u00dfige Scans durchf\u00fchren und etwaige Schadprogramme isolieren oder entfernen. Idealerweise entscheiden Sie sich f\u00fcr ein Virenschutzprogramm, welches schadhafte Werbung bereits beim Upload erkennt und entsprechende Ma\u00dfnahmen veranlasst. Dazu k\u00f6nnen beispielsweise das \u00dcberpr\u00fcfen des Werbekunden oder aber auch das Benachrichtigen anderer Ad-Server-Betreiber geh\u00f6ren.<\/p>\n Das IT-Sicherheitsgesetz schreibt vor, ein als sicher anerkanntes Verschl\u00fcsselungsverfahren zu w\u00e4hlen, um Vertraulichkeit und Integrit\u00e4t des Ad-Servers zu gew\u00e4hrleisten. Unterschieden wird die Verschl\u00fcsselung der Transportdaten und die der Speicherung.<\/p>\n Das SSL\/TLS-Protokoll muss beim Ausliefern von Werbung Anwendung finden. So erfolgt der Datenverkehr zwischen Client und Webserver verschl\u00fcsselt. Wichtig: Eine sogenannte durchg\u00e4ngige Verschl\u00fcsselung muss s\u00e4mtliche beteiligten Ad-Server innerhalb der Auslieferungskette umfassen! Es muss sichergestellt sein, dass die Auslieferungskette nicht durch nachgelagerte unverschl\u00fcsselte Ad-Server unterbrochen wird.<\/p>\n Weiter muss das SSL\/TLS-Protokoll auch f\u00fcr andere Anwendungen des Ad-Servers ber\u00fccksichtigt werden. Dies gilt insbesondere f\u00fcr das \u00dcbertragen vertraulicher Informationen, etwa beim Authentifizieren der Verwaltungsschnittstelle des Ad-Servers.<\/p>\n Ebenfalls verpflichtend ist das Benutzen einer sicheren Hash-Funktion beim Speichern von Passw\u00f6rtern. Das Diskussionspapier verweist hier auf die technischen Richtlinien „BSI TR-02102-1“<\/a> und „BSI TR-02102-2“<\/a> des BSI.<\/p>\n Sicherheitsrelevante Aktivit\u00e4ten m\u00fcssen in Ad-Servern unter Beachtung des Datenschutzes protokolliert werden. So muss zum Beispiel \u00fcberpr\u00fcft werden, ob bestehende Container Tags in ungewohnter Weise manipuliert oder gar mit schadhaften Inhalten infiziert wurden. Dies l\u00e4sst sich automatisch, stichprobenartig oder manuell \u00fcberpr\u00fcfen, wahlweise durch interne oder externe Experten.<\/p>\n Ein effizientes Monitoring muss es erm\u00f6glichen, Manipulationen auf Ad-Servern nachverfolgen zu k\u00f6nnen. Nur so lassen sich bei Sicherheitsvorf\u00e4llen auch R\u00fcckschl\u00fcsse auf die Ursache ziehen, die es dann auszuschalten gilt. Beim Monitoring (aber auch bei allen anderen Ma\u00dfnahmen) ist der gesetzliche Datenschutz zu beachten.<\/p>\n Per Gesetz sind Ad-Server-Betreiber in der Pflicht, ein Notfallvorsorge-Konzept zu erstellen, um auf Sicherheitsvorf\u00e4lle entsprechend reagieren zu k\u00f6nnen. Dar\u00fcber hinaus ist ein Sicherheitskonzept anzuraten. Hierin l\u00e4sst sich festlegen, welche Strategien in der Informationssicherheit \u00fcberhaupt verfolgt werden. Dazu geh\u00f6rt unter anderem, dass Serverbetreiber schnellstm\u00f6glich auf Sicherheitsvorf\u00e4lle reagieren, indem schadhafte Werbemittel schnellstm\u00f6glich entfernt werden.<\/p>\n Hat bereits eine Verbreitung mit schadhaften Inhalten begonnen, empfiehlt es sich, andere Ad-Server-Betreiber zu informieren. Damit gibt man ihnen die Chance, angemessen zu reagieren und das Werbemittel beispielsweise zu sperren oder zu l\u00f6schen. Weiter sollte das BSI \u00fcber den Sicherheitsvorfall informiert werden.<\/p>\n Empfehlenswert ist das Aufsetzen eines Information Security Management Systems (ISMS). Hier werden Regeln definiert, um so die Informationssicherheit dauerhaft planen, umsetzen, pr\u00fcfen, aufrechterhalten und optimieren zu k\u00f6nnen.<\/p>\n Mitarbeiter geh\u00f6ren zu den gr\u00f6\u00dften Sicherheitsl\u00fccken in vielen Unternehmen. Deshalb empfiehlt es sich, Mitarbeiter ausreichend zu sensibilisieren und sicherzustellen, dass alle Mitarbeiter ausreichend Kenntnis von Informationssicherheit haben. Gerade technische Mitarbeiter sollten spezielle Kenntnisse im Bereich Sicherheit von Online-Werbung haben. Klickbetrug, SQL- und XSS-Injection-Angriffe sollten keine Fremdw\u00f6rter sein. F\u00fcr alle anderen Mitarbeiter stellen Sie idealerweise allgemeines IT-Wissen zur Verf\u00fcgung: Was sind sichere Passw\u00f6rter und effiziente Verschl\u00fcsselung? Wie funktionieren Social-Engineering-Angriffe? Als Ad-Server-Betreiber gew\u00e4hrleisten Sie idealerweise, dass die Mitarbeiter fortlaufend \u00fcber entsprechende Sicherheitsthemen informiert sind.<\/p>\n Das IT-Sicherheitsgesetz schreibt vor, dass sich Ad-Server-Betreiber am Konzept der Datensparsamkeit orientieren. Bedeutet: Es d\u00fcrfen nur so viele sensible Daten erhoben werden, wie f\u00fcr das Ausliefern der Werbung notwendig sind. Es d\u00fcrfen hingegen keinerlei Daten erhoben sowie ausgewertet werden, die zu Sicherheitsvorf\u00e4llen f\u00fchren k\u00f6nnten.<\/p>\n So ist mittlerweile etwa bekannt, dass durch Tracking erhobene Daten derart pr\u00e4zise ausgewertet werden k\u00f6nnen, dass Nutzer zu \u00fcber 99 % wiedererkannt werden k\u00f6nnen. Haben nun Angreifer Zugriff auf erhobene Datens\u00e4tze, lassen sich Angriffe auf bestimmte Nutzer (-gruppen) durchf\u00fchren.<\/p>\n Nutzerdaten, die mittels Tracking erhoben werden, m\u00fcssen gesch\u00fctzt werden, da viele Website-Betreiber auch mit ausl\u00e4ndischen Ad-Server-Betreibern und Vermarktern zusammenarbeiten. Es l\u00e4sst sich also nicht ausschlie\u00dfen, dass ausl\u00e4ndische Dienste auf erhobene Nutzerdaten zugreifen und diese gezielt missbrauchen k\u00f6nnten.<\/p>\n Um das automatisierte Ausliefern manipulierter Werbemittel zu verhindern, m\u00fcssen Ad-Server-Betreiber Sperrlisten („Blacklists“) mit jenen URLs nutzen, hinter denen sich schadhafte Inhalte verbergen. Die Sperrliste l\u00e4sst sich direkt zum Blockieren nutzen, wenn es einem Angreifer gelingen sollte, manipulierte Werbung zu verlinken.<\/p>\n Damit eine m\u00f6glichst hohe Menge an schadhafter Werbung blockiert werden kann, lohnt es sich, eigene Sperrlisten zu betreiben und diese mit anderen Betreibern zu teilen.<\/p>\n Um die Personen hinter dem Werbekunden identifizieren zu k\u00f6nnen, m\u00fcssen Ad-Server-Betreiber ein Verfahren zur Verifizierung von Werbekunden etablieren. Es gilt, anonyme Accounts zu verhindern, denn diese haben schon h\u00e4ufig dazu gef\u00fchrt, mithilfe gestohlener Kreditkarten schadhafte Werbung zu schalten. Das Verifizierungsverfahren l\u00e4sst sich durch weitere Sicherheitsma\u00dfnahmen wie der Mehrfaktor-Authentisierung erweitern.<\/p>\n Es empfiehlt sich, mit anderen Ad-Server-Betreibern sowie Vermarktern zusammenzuarbeiten, insbesondere beim Reagieren auf Sicherheitsvorf\u00e4llen. Hierbei l\u00e4sst sich die Nutzung eindeutiger Werbe-IDs diskutieren: Diese ID w\u00e4re \u00fcber mehrere Werbenetzwerke hinweg identisch. Gibt es einen Sicherheitsvorfall, br\u00e4uchte der Ad-Server-Betreiber seinem Netzwerk lediglich die ID des Werbemittels mitteilen. Diese k\u00f6nnten das Ausliefern des betroffenen Werbemittels in den eigenen Ad-Servern blockieren. Dabei ist sicherzustellen, dass die ID des Werbemittels keinesfalls personenbezogen ist.<\/p>\n <\/p>\n Wie Sie sehen, ist das IT-Sicherheitsgesetz komplex und kompliziert. Ben\u00f6tigen Sie Unterst\u00fctzung bei der Umsetzung in Ihrem Betrieb, scheuen Sie sich nicht, uns zu kontaktieren<\/a>. Das gilt auch, wenn Sie selbst keinen Ad-Server betreiben, sondern beispielsweise einen Online-Shop. Denn auch f\u00fcr Sie ist das IT-Sicherheitsgesetz bindend.<\/p>\nSicherheitsma\u00dfnahmen laut IT-Sicherheitsgesetz<\/h3>\n
Starke Passw\u00f6rter w\u00e4hlen<\/h4>\n
Updates regelm\u00e4\u00dfig einspielen<\/h4>\n
Wirksamer Virenschutz<\/h4>\n
Effiziente Verschl\u00fcsselung<\/h4>\n
Monitoring<\/h4>\n
Sicherheitskonzept und Notfallvorsorge<\/h4>\n
Sensibilisierung der Mitarbeiter<\/h4>\n
Verhindern von Tracking-Angriffen<\/h4>\n
Blacklists<\/h4>\n
Account-Verifizierung<\/h4>\n
Zusammenarbeit mit anderen Betreibern<\/h4>\n
IT-Sicherheitsgesetz geht jeden an<\/h2>\n