Digital
Schweiz

Gefährliche Online-Werbung? Das musst du über die Angriffe auf «20 Minuten» wissen

Das neuste (dringende) Flash-Update gemacht?
Das neuste (dringende) Flash-Update gemacht?bild: watson

Gefährliche Online-Werbung? Das musst du über die Angriffe auf «20 Minuten» wissen

Die «20 Minuten»-Website wurde innert weniger Tage mehrfach missbraucht, um Computer von ahnungslosen Besuchern mit Malware zu infizieren. Hier sind die wichtigsten neuen Erkenntnisse.
12.04.2016, 19:1313.04.2016, 13:41
Mehr «Digital»

Wie hängen die Angriffe von letzter und dieser Woche bei «20 Minuten» zusammen?

Tamedia-Mediensprecherin Nicole Bänninger:

«Technisch sind die beiden Vorfälle über grundsätzlich verschiedene Systeme erfolgt und stehen somit in keinem Zusammenhang. Im Gegensatz zum Vorfall von letzter Woche, handelte es sich dieses Mal nicht um einen Hackerangriff auf die Server von ‹20 Minuten›, sondern um ein verseuchtes Netzwerk der Werbeplattform Improve Digital, dessen Anzeigen auf 20minuten.ch eingebunden waren.»

Das grosse Schweizer Medienunternehmen bestätigt also, dass es vor dem Angriff von letzter Woche Unbekannten gelungen ist, ins interne Computer-Netzwerk einzudringen. Im Gegensatz dazu gab es beim Angriff am Montag keinen «Einbruch» in die Tamedia-Server. Vielmehr gelangte der gefährliche Programm-Code über Online-Werbung, die von einer Drittfirma bezogen wurde, zu den «20 Minuten»-Lesern.

Bild
screenshot: 20minuten.ch

Was genau ist passiert?

Der Angriff vom Montag geht in die Kategorie Malvertising. Dabei versuchen Kriminelle, Schadsoftware über manipulierte Online-Werbung auf die Computer von Webseiten-Besuchern zu schmuggeln.

«Das kompromittierte Javascript in der unsauberen Anzeige versuchte auf Windows-PCs den Trojaner Bedep zu installieren (...). Dabei wurde die Website von ‹20 Minuten› als Mittelsmann missbraucht, um die Malware auszuliefern. Ob Improve Digital den schädlichen Code auch auf anderen Plattformen in der Schweiz oder im Ausland ausgeliefert hat, konnte die Swisscom am Montag nicht beantworten.»
quelle: 20minuten.ch

Huu! Die Swisscom? Siehe Punkt 4.

Wie hat Tamedia reagiert?

Tamedia-Sprecherin Nicole Bänninger:

«Die betroffenen Anzeigen sowie das gesamte Real Time Advertising wurden auf 20minuten.ch umgehend komplett deaktiviert, damit keine unkontrollierte Werbung mehr ausgeliefert werden konnte. Darüber hinaus sensibilisieren wir unsere Werbekunden generell seit langem für die Risiken von Flash und setzen auf ‹20 Minuten› auch keine Flash-Werbung mehr ein. Dies gilt für sämtliche Werbung, die direkt bei ‹20 Minuten› gebucht wird. Bei einer Werbe-Buchung über eine externe Plattformen ist Flash-Werbung jedoch grundsätzlich möglich.»

Die Schwachstelle, die den Angriff ermöglichte, bestand demnach einmal mehr bei der in Verruf geratenen Browser-Technologie Flash, die Animationen und Interaktionen im Browser-Fenster ermöglicht, aber immer wieder durch gefährliche Sicherheitslücken in die Schlagzeilen gerät. Im aktuellen Fall musste «20 Minuten» alle Werbebanner, die vom europäischen Netzwerk der Drittfirma automatisch an die 20-Minuten-Leser ausgeliefert wurden, möglichst rasch deaktivieren. Das Unternehmen informierte am Montagmorgen darüber. 

Bild
screenshot: 20 minuten
«Uns ist bisher nicht bekannt, dass andere Tamedia-Medien betroffen waren, wir können dies aber leider auch nicht ausschliessen.»
Tamedia-Sprecherin Nicole Bänninger

Was hat die Swisscom mit den Angriffen zu tun?

Der bösartige Code (Javascript) wurde über eine Flash-Werbung der Firma Improve Digital ausgeliefert. Mehrheitsaktionärin und damit Besitzerin der Improve Digital GmbH mit Sitz in München ist die Schweizer PubliGroupe. Die wiederum ist ein Tochter-Unternehmen der Swisscom.

Die Swisscom hat Improve Digital mit der Übernahme der Publigroupe im Jahr 2014 übernommen. Laut Swisscom-Sprecher Armin Schädeli wurde die Malware identifiziert und sofort entfernt. Improve Digital sei nun gemeinsam mit externen Sicherheitsexperten an der Ursachenanalyse. Weitere Details könne man erst liefern, sobald die Erkenntnisse vorlägen.Tamedia hat als Vorsichtsmassnahme sämtliche Anzeigen von Improve Digital, die heikle Werbung ausliefern könnten, deaktiviert.
quelle: 20minuten.ch

Ist es möglich, dass die Angreifer mehr Schaden verursacht haben, als ursprünglich angenommen?

Die Tamedia-Sprecherin: 

«Uns liegen bisher keine Schadensmeldungen vor. Wir bedauern aber sehr, wenn Nutzer durch den Besuch unserer Desktop-Angebote der Gefahr von Malware ausgesetzt waren.»

Sind andere Webseiten (und damit Leser) von Tamedia vom Angriff betroffen?

Die Tamedia-Sprecherin:

«Uns ist bisher nicht bekannt, dass andere Tamedia-Medien betroffen waren, wir können dies aber leider auch nicht ausschliessen. Die verseuchte Werbung wurde über Improve Digital ausgeliefert. Wir gehen deshalb davon aus, dass weitere Websites ausserhalb von Tamedia betroffen sind, die ebenfalls mit Werbung beliefert werden. Improve Digital hat bestätigt, dass die schädliche Software entfernt werden konnte.»

Wie ‹20 Minuten› am Montagabend informierte, sind auch andere Webseiten betroffen.

«In der Nacht auf Dienstag bestätigte Improve Digital, dass die Trojaner-Attacke nicht auf ‹20 Minuten› beschränkt ist: ‹Momentan scheint es, dass die Malware über mehrere Publisher verteilt wurde. Die Zahl betroffener User zu schätzen, ist zurzeit aber unmöglich›, liess die Firma verlauten. Und weiter: ‹Die Sicherheitsfirma, die uns unterstützt, hat bislang keine aktiven Infektionen festgestellt, aber das bedeutet nicht, dass niemand infiziert wurde. Wir sind mit Hochdruck daran, den Ursprung der Manipulation zu finden.›»

Was sagt der Bund zu den neusten Entwicklungen?

Das Bundesamt für Informatik und Telekommunikation (BIT) hat am Montagmorgen den Zugriff auf das News-Portal für Bundesangestellte wieder freigegeben. Dies, obwohl am gleichen Morgen ein neuer Angriff (wie oben geschildert) publik wurde. Doch die BIT-Sprecherin Sonja Uhlmann gibt Entwarnung. Der bei «20 Minuten» geschaltete Werbebanner, auf dem sich die Malware befunden habe, sei für Mitarbeitende der Bundesverwaltung blockiert gewesen.

«Werbebanner sind für Zugriffe aus dem Bundesnetz systematisch gesperrt, nicht zuletzt weil sie oft Träger von Malware sein können.»

Fazit: Da Online-Werbung mit potenziell gefährlichem Inhalt im internen Netz der Bundesverwaltung automatisch blockiert wird, musste der Zugriff auf die «20 Minuten»-Website nicht erneut gesperrt werden. Beim Angriff in der vergangenen Woche war dies anders gewesen.

Andere Unternehmen dürften ihren Angestellten den Zugriff auf das News-Portal ebenfalls wieder ermöglichen.

Wie können sich Internet-Nutzer schützen?

  • Die im Alltag verwendete Software (Betriebssystem, Web-Browser, Plugins etc.) auf dem neusten Stand halten.
  • Windows-Nutzer: Antiviren-Software mit Live-Schutz (auch für das Surfen im Internet) verwenden.
  • Mac-Nutzer: Von Zeit zu Zeit einen Antiviren-Scan durchführen. Einen aktuellen Vergleich von Antiviren-Software gibt es hier.
  • Linux-Nutzer: siehe hier.
  • Ein Script-Blocker-Plugin könnte zudem helfen, das Ausführen von bösartigem Code im Web-Browser zu verhindern...
  • Knoblauch und Sonnenlicht.

Die Vorgeschichte

Den Fall ins Rollen gebracht hatte am vergangenen Mittwoch die Bundesverwaltung in Bern, als die Sicherheitsexperten entschieden, den Zugriff auf «20 Minuten» für alle Bundesangestellten vorübergehend zu sperren. Für Windows-Nutzer bestand die reale Gefahr, sich beim Surfen auf dem grössten News-Portal des Landes den E-Banking-Trojaner GOZI einzufangen. Dem Beispiel des Bundes folgten die SBB, SRG, Swisscom und private Grossunternehmen – sie alle sperrten für ihre Mitarbeiter den Zugang zur Website 20minuten.ch.

Privatpersonen hingegen konnten weiterhin auf die Website zugreifen und gefährdeten so – ohne etwas von der Bedrohung zu ahnen – ihre Windows-Computer, wie SRF Online in diesem lesenswerten Beitrag zusammenfasst. Die Schadsoftware wurde schliesslich erst am Freitagmorgen von den Servern von «20 Minuten» entfernt.

Hol dir jetzt die beste News-App der Schweiz!

  • watson: 4,5 von 5 Sternchen im App-Store ☺
  • Tages-Anzeiger: 3,5 von 5 Sternchen
  • Blick: 3 von 5 Sternchen
  • 20 Minuten: 3 von 5 Sternchen

Du willst nur das Beste? Voilà:

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
18 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Wupsie
12.04.2016 19:27registriert Januar 2016
Wie man sich schützen kann: Knoblauch und Sonnenlicht 😂😂😂😂 made my day!
362
Melden
Zum Kommentar
avatar
iNDone
12.04.2016 21:25registriert Februar 2014
Stirbt denn dieses Flash Zeug nie?
290
Melden
Zum Kommentar
avatar
Zwerg Zwack
12.04.2016 22:34registriert April 2016
Um was für Malware handelt es sich denn überhaupt? Trojaner? Verschlüsselungsvirus? Und wie gelangt die Malware auf den Computer? Braucht es eine User-Interaktion oder reicht ein reines Aufrufen der infizierten Webseite(n)? Das ist das, was mich hier wirklich interessiert!
272
Melden
Zum Kommentar
18
Russischer Propagandist verrät Putin-Plan – Moderator bricht Sendung ab
Ausserplanmässige Sendungsunterbrechung im russischen Staatsfernsehen: während einer Talkshow ist es in Russland zum Eklat gekommen.

In einer russischen Propaganda-Talkshow diskutieren die Teilnehmer über die Kriegspläne von Russlands Präsident Wladimir Putin. Doch plötzlich kommt es zu einer ungeplanten Unterbrechung der Sendung.

Zur Story