Diskussionspapier für mehr Sicherheit von Online-Werbung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Diskussionspapier mit Empfehlungen zur sicheren Bereitstellung von Online-Werbung veröffentlicht.

Berlin, 03.11.2017 – Das Diskussionspapier enthält Maßnahmen, die nach dem Stand der Technik zu berücksichtigen sind, um Systeme und Prozesse der Online-Werbebranche technisch und organisatorisch abzusichern. Es richtet sich an Vertreter der Online-Werbebranche, insbesondere an Betreiber von Ad-Servern.

Das BSI ruft Unternehmen aus der Online-Werbebranche auf, sich an der Diskussion zu beteiligen und den auf der Webseite des BSI zur Verfügung stehenden Entwurf bis 26. November 2017 per E-Mail an  telemediendienste@bsi.bund.de zu kommentieren. Die Rückmeldungen werden bei der Weiterentwicklung des Dokuments berücksichtigt, das anschließend als Cyber-Sicherheitsempfehlung veröffentlicht werden soll, um Ad-Server-Betreiber bei der Umsetzung dieser Sicherheitsmaßnahmen zu unterstützen.

Schadprogramme in Werbebannern versteckt

Zur Refinanzierung von kostenfreien Inhalten auf Webseiten setzen Webseiten-Betreiber bevorzugt Online-Werbung etwa in Form von Werbebannern ein. Die Auslieferung solcher Werbebanner wird von Ad-Servern realisiert. In der Vergangenheit gab es wiederholt Vorfälle, bei denen Schadprogramme in Werbebannern versteckt und so auch über seriöse Webseiten verteilt worden sind (Malvertising). Dazu haben Angreifer beispielsweise schlecht abgesicherte Ad-Server kompromittiert. Den Opfern von Malvertising entsteht dabei ein teils erheblicher Schaden, da es sich bei den durch Online-Werbung verbreiteten Schadprogrammen häufig um Trojanische Pferde oder Ransomware handelt.

Die Betreiber von Ad-Servern sind dazu verpflichtet, eine nach dem Stand der Technik abgesicherte Infrastruktur für das Ausliefern von Online-Werbung zur Verfügung zu stellen, indem sie neben anderen gesetzlichen Vorgaben die Sicherheitsmaßnahmen nach § 13 Abs. 7 Telemediengesetz (TMG) umsetzen. Bei Ad-Server-Betreibern handelt es sich um Anbieter von Telemediendiensten, da sie Informationen in Form von Werbemitteln zum Abruf bereithalten.

IT-Systeme der Online-Werbebranche technisch absichern

In der Cyber-Sicherheitsempfehlung „Absicherung von Telemediendiensten nach Stand der Technik“ (PDF) hat das BSI unter Beteiligung des Bitkom e. V. und des Expertenkreises Internetbetreiber der Allianz für Cyber-Sicherheit einen Katalog an Sicherheitsmaßnahmen vorgeschlagen. Dieser Katalog berücksichtigt zunächst den allgemeinen und häufigsten Anwendungsfall von Telemediendiensten – nämlich geschäftliche Webseiten – und gibt Empfehlungen, welche Maßnahmen nach dem Stand der Technik umgesetzt werden müssen.

Das vorliegende Diskussionspapier „Sicheres Bereitstellen von Online-Werbung – Absicherung von Ad-Servern“ richtet sich nun im Speziellen an die Adressaten der Online-Werbebranche, insbesondere an Betreiber von Ad-Servern und Vermarkter. Das Dokument gibt Empfehlungen, welche Maßnahmen nach dem Stand der Technik zu berücksichtigen sind, um IT-Systeme der Online-Werbebranche technisch abzusichern. Die hier vorgestellten Maßnahmen verstehen sich zum einen als Konkretisierung und zum anderen als Erweiterung der Maßnahmen, die bereits in der Cyber-Sicherheitsempfehlung „Absicherung von Telemediendiensten nach Stand der Technik“ angegeben worden sind.

Das Diskussionspapier können Sie hier herunterladen.