2015-10-25

Wie Verlage und Werbe-Industrie unsere Sicherheit beinflussen

Online-Medien und -Verlage müssen für die Arbeit, die sie leisten, bezahlt werden. Ich weiß. Nicht alle Werbeverweigerer sind Schmarotzer – die meisten wollen auch für die dargebotenen Inhalte bezahlen. Bislang hat es jedoch noch kein Verlag geschafft, ein sinnvolles Bezahlmodell zu implementieren. Ich weiß.

Ich mische mich jetzt, wie viele andere vor mir, auch einmal in die Debatte um die AdBlocker-Blockade von Bild.de ein. Die Bild-Zeitung hat nämlich vor einigen Tagen damit begonnen, diejenigen Leserinnen auszuschliessen, die AdBlocker im Web-Browser nutzen. Das ist ihr gutes Recht und vollkommen legitim – es ist ihr Angebot, sie können es gestalten und einschränken wie es ihnen beliebt.

Was wir hier allerdings sehen, ist die Spitze eines Eisbergs: Der Springer-Verlag beauftragte offenbar eine Anwaltskanzlei damit, unliebsame Erfinder mundtot zu machen. Die Anwälte verschickten laut Golem eine Abmahnung mit Unterlassungserklärung und Anwaltsrechnung an den Erfinder eines Verfahrens zur Umgehung der AdBlocker-Sperre von Bild.de. Vermutlich warten alle großen Medienhäuser gespannt auf die Ergebnisse dieser Block-und-Abmahn-Aktion. Bild.de ist, aus Medienperspektive, mutiger Vorreiter in einem Kampf gegen die eigenen Leser: Wie viel kann den Konsumenten des eigenen Portals zugemutet werden, wie viel Widerstand wird es geben? Was folgt aus der abschließenden Rechtssprechung? Offenbar fragt sich aber niemand: Was können wir auf unserer Seite tun, um es auch den Konsumenten recht zu machen?

Ich bin ein Konsument, ich habe auch verstanden, dass die Verlage derzeit überwiegend ihr Geld mit den Werbebannern verdienen. Ich wäre also theoretisch auch bereit, mich mit Werbebannern bespielen zu lassen, solange es kein sinnvolles Finanzierungsmodell in unserer Online-Medienlandschaft gibt. Allerdings nur theoretisch - aus zwei Gründen.

Erstens ist Werbung im Internet grauenvoll: Sie blinkt, sie lenkt ab, sie ist alles andere als ansehnlich. Und oft unpassend. Es kann vorkommen, dass neben Artikeln über Krieg oder Katastrophen ein blinkendes Werbebanner für einen Elektronikmarkt erscheint. Vermutlich kann das menschliche Gehirn das nach einer gewissen Zeit sogar partiell ausblenden. Meins kann es nicht.

Zweitens: Mein Arbeitsspeicher gehört mir.

Ein Ad-Network, welches üblicherweise als Dienstleister für Onlineportale genutzt wird, bringt eine Gefahr mit sich: Schadsoftware. Sie gefährdet willkürlich arglose Nutzer, die eine beliebige Webseite besuchen – und dabei spielt es keine Rolle, ob es eine wohlbekannte, legitime News-Website ist oder ein Webserver zum Tauschen von Pornobildern: Beide werden im Zweifelsfall vom gleichen Ad-network mit Werbung und Schadsoftware beliefert. Das betrifft uns alle, auch wenn es im Moment so aussieht, als würde sich nur eine Randgruppe um die Problematik kümmern.

Wettlauf der Werbeindustrie gegen die Anti-Viren-Industrie

Auch verlagseigene Adware-Netzwerke können mit schadhaften Werbebotschaften infiziert werden. Weder Google noch Apple oder Microsoft schaffen es, ihre App-Stores frei von Schadsoftware zu halten – warum sollte es ausgerechnet Springer gelingen, das Halteproblem zu lösen?

Nein, das wird so bald niemandem gelingen. Warum dann nun ausgerechnet die Werbeindustrie ein Problem darstellt, wenn es um die Sicherheit der PCs der Leserschaft geht? Weil ich gezwungen werden soll, potentiell schadhaften Code auf meinem Arbeitsrechner ausführen zu lassen. Und zwar nur, weil ich meine Nachrichten ausschließlich online konsumieren will.

Werbeanzeigen bestehen in der Regel nicht aus einem statischen Bild oder Text: Flash- Programme, JavaScript und Java-Applets werden genutzt, um Code auf dem Rechner des Konsumenten auszuführen. Und es wird auch nicht weniger unübersichtlich, da die Gewinnmarge aus einem Online-Advertisement auf zahlreiche Unternehmen aufgeteilt wird und jeder mitverdienen möchte, werden Werbeanzeigen immer komplexer. Sie verschleiern mehr und mehr ihr Tun, um Schutzsoftware wie Webbrowser-Plugins und diese von unserer Bundesregierung empfohlene "Anti-Viren-Software" zu umgehen.

In Werbe-Netzwerken wird nicht nur geworben, sondern auch getrackt, analysiert und geschnüffelt was das Zeug hält. Streng genommen verhält sich die Werbeindustrie wie die Viren-Coder-Szene vor zwei Jahrzehnten: Sie liefert sich ein Katz-und-Maus-Spiel mit der Antiviren-Industrie.

Die folgende Grafik illustriert anhand eines vom Werbenden investierten Dollars, wo überall Kapital hängen bleibt und was letztlich beim Verlag des Online-Portals ankommt:

AppNexus / exchangewire.com
[Quelle: AppNexus / exchangewire.com - https://www.exchangewire.com/wp-content/ uploads/2015/09/Disappearing-Ad-Tech-Dollar-jpg.jpg]

Und als wäre dies nicht schon unübersichtlich genug, nutzen Ads in der Regel auch noch Verfahren, die eine Infektion der PCs ahnungsloser Leser mit Schadsoftware erheblich begünstigen. Und niemand kann etwas dagegen tun - außer Werbung grundsätzlich zu blockieren.

Das, liebe Verlage, kann doch nicht euer Ziel sein!

Mein Rechner gehört mir

Der Begriff Malvertising ist leider weder überraschend noch neu. Online-Werbung ist kein unwichtiger Weg, um zufällig Rechner mit Schadsoftware zu infizieren. Kriminelle entwickeln hierbei spezielle Programmcodes, um den Web-Browser unbemerkt auf eine Exploit-Landing-Page umzuleiten, von der dann weitere schadhafte Inhalte nachgeladen werden. Der nachgeladene Code setzt sich dann persistent im System oder im Webbrowser des Anwenders fest und gefährdet die Sicherheit und Integrität der auf dem PC verarbeiteten Daten. Der Werbe-Kanal wird schon seit langer Zeit für die Verbreitung von solcher Schadsoftware genutzt – es gibt also keinerlei Gründe, die das Bestehenbleiben eines solchen Kanals irgendwie rechtfertigen oder verharmlosen können.

Quelle: the Verge Source //  Cyphort Security
[Quelle: The Verge Source // Cyphort Security]

Der Trend, ein Ad-Network als Virenschleuder zu missbrauchen, scheint aufwärts zu streben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kann hinsichtlich dieser Schreckensszenarien sicher noch einige nützliche Hinweise aussprechen – etwa die Verwendung eines Werbeblockers und eines Anti-Tracking-Plugins wie Ghostery – zusätzlich zur bereits installierten oder empfohlenen Anti-Viren-Lösung.

Jedenfalls hat kein Verlag das Recht, mir einen Sicherheitsstandard für meine IT aufzudrängen. Ich möchte Code auf meinem Rechner erst dann ausführen, wenn ich damit einverstanden bin.

Es ist gefährlich, den Konsumenten zu verbieten, die Ausführung von unsigniertem, fremdem Code zu verweigern. Sollten bild.de und die anderen Verlage trotzdem damit durchkommen, wird das Sicherheitsniveau der Arbeitsplatzrechner und Heim-PC erheblich gesenkt. Das kann ganz sicher nicht das Ziel unserer Regierung und unserer Rechtssprechung sein.

Den Kampf gegen die eigenen Leser hätten die Verlage damit allerdings gewonnen. Ist dies das Ziel?

Besser wäre es doch, einen Konsens zu finden. Einen Weg, notwendige Werbeeinblendungen gefahrlos zu gestalten und das auch dem Leser zu beweisen, damit er getrost seinen AdBlocker abschalten kann. Das funktioniert allerdings weder mit dem juristischen Vorschlaghammer noch mit immer ausgeklügelteren Versteckspielchen der Tracking- und Malware-Industrie. Dazu müssten die Verlage ein wenig Geld in die Hand nehmen und im Zweifelsfall ihre externen Ad-Dienstleister unter Druck setzen – die kassieren schließlich mit.

Fazit

Meiner Meinung nach hat niemand das Recht, einen Menschen wegen der Erfindung eines Algorithmus oder einer Software zu verklagen oder ihn zum Unterlassen seines Schaffens aufzufordern.

Verlage sollten an die Befindlichkeiten ihrer Leser denken, um deren Vertrauen zu gewinnen. Die exemplarisch durchgeführte juristische Tracht Prügel bewirkt jedenfalls nicht, dass sich bei den Lesern Einsicht einstellt. Zuerst müssen Verlage eine vertrauensvolle Alternative als Basis schaffen, um Werbebotschaften unter das Volk zu bringen. Dann können sie sich in einem nächsten Schritt darum bemühen, den Leser zum Ausschalten des gewinnschmälernden AdBlockers zu bewegen.

tl;dr
Verlage müssen sicherstellen, dass die Werbung bei ihnen sicher ist, bevor sie Lesern verbieten, sich vor gefährlichen Bannern zu schützen.


Posted by ths | Permanent link | File under: security, rant