wolkig, aber kaum Regen11°
DE | FR
burger
Digital
Schweiz

Gefährliche Online-Werbung? Das musst du über die Angriffe auf «20 Minuten» wissen

Das neuste (dringende) Flash-Update gemacht?
Das neuste (dringende) Flash-Update gemacht?bild: watson

Gefährliche Online-Werbung? Das musst du über die Angriffe auf «20 Minuten» wissen

Die «20 Minuten»-Website wurde innert weniger Tage mehrfach missbraucht, um Computer von ahnungslosen Besuchern mit Malware zu infizieren. Hier sind die wichtigsten neuen Erkenntnisse.
12.04.2016, 19:1313.04.2016, 13:41
Daniel Schurter
Daniel Schurter

Wie hängen die Angriffe von letzter und dieser Woche bei «20 Minuten» zusammen?

Tamedia-Mediensprecherin Nicole Bänninger:

«Technisch sind die beiden Vorfälle über grundsätzlich verschiedene Systeme erfolgt und stehen somit in keinem Zusammenhang. Im Gegensatz zum Vorfall von letzter Woche, handelte es sich dieses Mal nicht um einen Hackerangriff auf die Server von ‹20 Minuten›, sondern um ein verseuchtes Netzwerk der Werbeplattform Improve Digital, dessen Anzeigen auf 20minuten.ch eingebunden waren.»

Das grosse Schweizer Medienunternehmen bestätigt also, dass es vor dem Angriff von letzter Woche Unbekannten gelungen ist, ins interne Computer-Netzwerk einzudringen. Im Gegensatz dazu gab es beim Angriff am Montag keinen «Einbruch» in die Tamedia-Server. Vielmehr gelangte der gefährliche Programm-Code über Online-Werbung, die von einer Drittfirma bezogen wurde, zu den «20 Minuten»-Lesern.

Bild
screenshot: 20minuten.ch

Was genau ist passiert?

Der Angriff vom Montag geht in die Kategorie Malvertising. Dabei versuchen Kriminelle, Schadsoftware über manipulierte Online-Werbung auf die Computer von Webseiten-Besuchern zu schmuggeln.

«Das kompromittierte Javascript in der unsauberen Anzeige versuchte auf Windows-PCs den Trojaner Bedep zu installieren (...). Dabei wurde die Website von ‹20 Minuten› als Mittelsmann missbraucht, um die Malware auszuliefern. Ob Improve Digital den schädlichen Code auch auf anderen Plattformen in der Schweiz oder im Ausland ausgeliefert hat, konnte die Swisscom am Montag nicht beantworten.»
quelle: 20minuten.ch

Huu! Die Swisscom? Siehe Punkt 4.

Wie hat Tamedia reagiert?

Tamedia-Sprecherin Nicole Bänninger:

«Die betroffenen Anzeigen sowie das gesamte Real Time Advertising wurden auf 20minuten.ch umgehend komplett deaktiviert, damit keine unkontrollierte Werbung mehr ausgeliefert werden konnte. Darüber hinaus sensibilisieren wir unsere Werbekunden generell seit langem für die Risiken von Flash und setzen auf ‹20 Minuten› auch keine Flash-Werbung mehr ein. Dies gilt für sämtliche Werbung, die direkt bei ‹20 Minuten› gebucht wird. Bei einer Werbe-Buchung über eine externe Plattformen ist Flash-Werbung jedoch grundsätzlich möglich.»

Die Schwachstelle, die den Angriff ermöglichte, bestand demnach einmal mehr bei der in Verruf geratenen Browser-Technologie Flash, die Animationen und Interaktionen im Browser-Fenster ermöglicht, aber immer wieder durch gefährliche Sicherheitslücken in die Schlagzeilen gerät. Im aktuellen Fall musste «20 Minuten» alle Werbebanner, die vom europäischen Netzwerk der Drittfirma automatisch an die 20-Minuten-Leser ausgeliefert wurden, möglichst rasch deaktivieren. Das Unternehmen informierte am Montagmorgen darüber. 

Bild
screenshot: 20 minuten
«Uns ist bisher nicht bekannt, dass andere Tamedia-Medien betroffen waren, wir können dies aber leider auch nicht ausschliessen.»
Tamedia-Sprecherin Nicole Bänninger

Was hat die Swisscom mit den Angriffen zu tun?

Der bösartige Code (Javascript) wurde über eine Flash-Werbung der Firma Improve Digital ausgeliefert. Mehrheitsaktionärin und damit Besitzerin der Improve Digital GmbH mit Sitz in München ist die Schweizer PubliGroupe. Die wiederum ist ein Tochter-Unternehmen der Swisscom.

Die Swisscom hat Improve Digital mit der Übernahme der Publigroupe im Jahr 2014 übernommen. Laut Swisscom-Sprecher Armin Schädeli wurde die Malware identifiziert und sofort entfernt. Improve Digital sei nun gemeinsam mit externen Sicherheitsexperten an der Ursachenanalyse. Weitere Details könne man erst liefern, sobald die Erkenntnisse vorlägen.Tamedia hat als Vorsichtsmassnahme sämtliche Anzeigen von Improve Digital, die heikle Werbung ausliefern könnten, deaktiviert.
quelle: 20minuten.ch

Ist es möglich, dass die Angreifer mehr Schaden verursacht haben, als ursprünglich angenommen?

Die Tamedia-Sprecherin: 

«Uns liegen bisher keine Schadensmeldungen vor. Wir bedauern aber sehr, wenn Nutzer durch den Besuch unserer Desktop-Angebote der Gefahr von Malware ausgesetzt waren.»

Sind andere Webseiten (und damit Leser) von Tamedia vom Angriff betroffen?

Die Tamedia-Sprecherin:

«Uns ist bisher nicht bekannt, dass andere Tamedia-Medien betroffen waren, wir können dies aber leider auch nicht ausschliessen. Die verseuchte Werbung wurde über Improve Digital ausgeliefert. Wir gehen deshalb davon aus, dass weitere Websites ausserhalb von Tamedia betroffen sind, die ebenfalls mit Werbung beliefert werden. Improve Digital hat bestätigt, dass die schädliche Software entfernt werden konnte.»

Wie ‹20 Minuten› am Montagabend informierte, sind auch andere Webseiten betroffen.

«In der Nacht auf Dienstag bestätigte Improve Digital, dass die Trojaner-Attacke nicht auf ‹20 Minuten› beschränkt ist: ‹Momentan scheint es, dass die Malware über mehrere Publisher verteilt wurde. Die Zahl betroffener User zu schätzen, ist zurzeit aber unmöglich›, liess die Firma verlauten. Und weiter: ‹Die Sicherheitsfirma, die uns unterstützt, hat bislang keine aktiven Infektionen festgestellt, aber das bedeutet nicht, dass niemand infiziert wurde. Wir sind mit Hochdruck daran, den Ursprung der Manipulation zu finden.›»

Was sagt der Bund zu den neusten Entwicklungen?

Das Bundesamt für Informatik und Telekommunikation (BIT) hat am Montagmorgen den Zugriff auf das News-Portal für Bundesangestellte wieder freigegeben. Dies, obwohl am gleichen Morgen ein neuer Angriff (wie oben geschildert) publik wurde. Doch die BIT-Sprecherin Sonja Uhlmann gibt Entwarnung. Der bei «20 Minuten» geschaltete Werbebanner, auf dem sich die Malware befunden habe, sei für Mitarbeitende der Bundesverwaltung blockiert gewesen.

«Werbebanner sind für Zugriffe aus dem Bundesnetz systematisch gesperrt, nicht zuletzt weil sie oft Träger von Malware sein können.»

Fazit: Da Online-Werbung mit potenziell gefährlichem Inhalt im internen Netz der Bundesverwaltung automatisch blockiert wird, musste der Zugriff auf die «20 Minuten»-Website nicht erneut gesperrt werden. Beim Angriff in der vergangenen Woche war dies anders gewesen.

Andere Unternehmen dürften ihren Angestellten den Zugriff auf das News-Portal ebenfalls wieder ermöglichen.

Wie können sich Internet-Nutzer schützen?

  • Die im Alltag verwendete Software (Betriebssystem, Web-Browser, Plugins etc.) auf dem neusten Stand halten.
  • Windows-Nutzer: Antiviren-Software mit Live-Schutz (auch für das Surfen im Internet) verwenden.
  • Mac-Nutzer: Von Zeit zu Zeit einen Antiviren-Scan durchführen. Einen aktuellen Vergleich von Antiviren-Software gibt es hier.
  • Linux-Nutzer: siehe hier.
  • Ein Script-Blocker-Plugin könnte zudem helfen, das Ausführen von bösartigem Code im Web-Browser zu verhindern...
  • Knoblauch und Sonnenlicht.

Die Vorgeschichte

Den Fall ins Rollen gebracht hatte am vergangenen Mittwoch die Bundesverwaltung in Bern, als die Sicherheitsexperten entschieden, den Zugriff auf «20 Minuten» für alle Bundesangestellten vorübergehend zu sperren. Für Windows-Nutzer bestand die reale Gefahr, sich beim Surfen auf dem grössten News-Portal des Landes den E-Banking-Trojaner GOZI einzufangen. Dem Beispiel des Bundes folgten die SBB, SRG, Swisscom und private Grossunternehmen – sie alle sperrten für ihre Mitarbeiter den Zugang zur Website 20minuten.ch.

Privatpersonen hingegen konnten weiterhin auf die Website zugreifen und gefährdeten so – ohne etwas von der Bedrohung zu ahnen – ihre Windows-Computer, wie SRF Online in diesem lesenswerten Beitrag zusammenfasst. Die Schadsoftware wurde schliesslich erst am Freitagmorgen von den Servern von «20 Minuten» entfernt.

Das könnte dich auch interessieren:
Warum wir Trump noch nicht abschreiben sollten
43
Warum wir Trump noch nicht abschreiben sollten
von Philipp Löpfe
13 Grafiken zum Klimawandel, die jeder kennen sollte
113
13 Grafiken zum Klimawandel, die jeder kennen sollte
von Philipp Reich
Wie gut ist dein Allgemeinwissen? Erkenne die Google-Suchanfrage im Quiz
29
Wie gut ist dein Allgemeinwissen? Erkenne die Google-Suchanfrage im Quiz
von Lara Knuchel
Liebe Grüsse aus der Pärli-Hölle!
191
Liebe Grüsse aus der Pärli-Hölle!
von Emma Amour
Stell dir vor, die Welt hätte nur 100 Einwohner. Das wären ihre Bewohner
73
Stell dir vor, die Welt hätte nur 100 Einwohner. Das wären ihre Bewohner
von Reto Fehr
Anita* nahm dank Ozempic 20 Kilo ab – doch die Spritze birgt Gefahren
110
Anita* nahm dank Ozempic 20 Kilo ab – doch die Spritze birgt Gefahren
von Dafina Eshrefi
Picdump #10 – Achtung: Hier gibt es wirklich nur Memes!
171
Picdump #10 – Achtung: Hier gibt es wirklich nur Memes!
Traumjob Stuntfrau: Wenn Mama grün und blau geprügelt von der Arbeit kommt
1
Traumjob Stuntfrau: Wenn Mama grün und blau geprügelt von der Arbeit kommt
von Simone Meier
«Fritz the Cat» – So eroberte der sexbesessene Kater die Leinwand
10
«Fritz the Cat» – So eroberte der sexbesessene Kater die Leinwand
von Daniel Huber
Hier steht der (vermutlich) grösste Wegweiser der Schweiz
34
Hier steht der (vermutlich) grösste Wegweiser der Schweiz
von Reto Fehr

Hol dir jetzt die beste News-App der Schweiz!

  • watson: 4,5 von 5 Sternchen im App-Store ☺
  • Tages-Anzeiger: 3,5 von 5 Sternchen
  • Blick: 3 von 5 Sternchen
  • 20 Minuten: 3 von 5 Sternchen

Du willst nur das Beste? Voilà:

Das könnte dich auch interessieren:
Warum wir Trump noch nicht abschreiben sollten
43
Warum wir Trump noch nicht abschreiben sollten
von Philipp Löpfe
13 Grafiken zum Klimawandel, die jeder kennen sollte
113
13 Grafiken zum Klimawandel, die jeder kennen sollte
von Philipp Reich
Wie gut ist dein Allgemeinwissen? Erkenne die Google-Suchanfrage im Quiz
29
Wie gut ist dein Allgemeinwissen? Erkenne die Google-Suchanfrage im Quiz
von Lara Knuchel
Liebe Grüsse aus der Pärli-Hölle!
191
Liebe Grüsse aus der Pärli-Hölle!
von Emma Amour
Stell dir vor, die Welt hätte nur 100 Einwohner. Das wären ihre Bewohner
73
Stell dir vor, die Welt hätte nur 100 Einwohner. Das wären ihre Bewohner
von Reto Fehr
Anita* nahm dank Ozempic 20 Kilo ab – doch die Spritze birgt Gefahren
110
Anita* nahm dank Ozempic 20 Kilo ab – doch die Spritze birgt Gefahren
von Dafina Eshrefi
Picdump #10 – Achtung: Hier gibt es wirklich nur Memes!
171
Picdump #10 – Achtung: Hier gibt es wirklich nur Memes!
Traumjob Stuntfrau: Wenn Mama grün und blau geprügelt von der Arbeit kommt
1
Traumjob Stuntfrau: Wenn Mama grün und blau geprügelt von der Arbeit kommt
von Simone Meier
«Fritz the Cat» – So eroberte der sexbesessene Kater die Leinwand
10
«Fritz the Cat» – So eroberte der sexbesessene Kater die Leinwand
von Daniel Huber
Hier steht der (vermutlich) grösste Wegweiser der Schweiz
34
Hier steht der (vermutlich) grösste Wegweiser der Schweiz
von Reto Fehr
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Themen
Das könnte dich auch noch interessieren:
Du hast uns was zu sagen?
Hast du einen relevanten Input oder hast du einen Fehler entdeckt? Du kannst uns dein Anliegen gerne via Formular übermitteln.
17 Kommentare
Zum Login
user avatar
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Wupsie
12.04.2016 19:27registriert Januar 2016
Wie man sich schützen kann: Knoblauch und Sonnenlicht 😂😂😂😂 made my day!
00
Melden
Zum Kommentar
avatar
iNDone
12.04.2016 21:25registriert Februar 2014
Stirbt denn dieses Flash Zeug nie?
00
Melden
Zum Kommentar
avatar
Zwerg Zwack
12.04.2016 22:34registriert April 2016
Um was für Malware handelt es sich denn überhaupt? Trojaner? Verschlüsselungsvirus? Und wie gelangt die Malware auf den Computer? Braucht es eine User-Interaktion oder reicht ein reines Aufrufen der infizierten Webseite(n)? Das ist das, was mich hier wirklich interessiert!
00
Melden
Zum Kommentar
17
Meistgelesen
1
Ernsthaft: Trump spinnt jetzt wirklich
2
Vollmond im Oktober ist der erste Supermond des Jahres
3
«Leider ja. Es gab bereits Drohnenüberflüge»
4
Kaltfront im Anmarsch – doch für nächste Woche gibt es gute Nachrichten
5
Trump trollt die Demokraten mit KI-Videos – jetzt schlägt Colbert zurück
Meistkommentiert
1
SVP könnte erstmals die 30-Prozent-Marke knacken – in der «Arena» zeigt sich, weshalb
2
Der Bund will Tempo 80 auf Hälfte der Schweizer Autobahnen
3
Wahlumfrage: SVP könnte bald erstmals die 30-Prozent-Marke knacken
4
SVP laut Umfrage auf über 30 Prozent – nun spricht Blocher vom 3. Sitz im Bundesrat
5
Ueli Maurer ist wieder in China – als «ehemaliger Präsident»
Meistgeteilt
1
Merz telefoniert mit Netanjahu +++ Islamische Länder begrüssen Trump-Plan für Gaza
2
Selenskyj: Putin lacht über den Westen ++ Russland greift mit Drohnen und Raketen an
3
Hamas will nach eigenen Angaben Delegation nach Kairo schicken
4
Eigentlich wäre es einfach – aber die Trainerfrage ist beim SCB kompliziert
5
Vier Tote bei US-Angriff vor Küste Venezuelas ++ Trump will Unis mit Förderung belohnen
Französische Elitesoldaten entern Tanker aus Putins Schattenflotte – das wissen wir
Der verdächtige Tanker hatte zuvor Dänemark passiert – zeitgleich mit mehreren Drohnen-Attacken. Nun treiben die europäischen Staats- und Regierungschefs Drohnenabwehr-Pläne voran.
Das Schiff dümpelte seit Tagen vor einem Windpark nahe Saint-Nazaire vor Frankreichs Atlantikküste. Dann stoppte die französische Marine den Tanker.
Zur Story