Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

Adblocker & Tracking

Bannerwerbung im Internet

Der Erfolg des Internets gründet auf mehreren Faktoren. Einer davon: Der Besuch von Webseiten ist kostenlos. Allerdings muss die Pflege der Seiten, die Energiekosten und die betreuenden Mitarbeiter bezahlt werden. Deshalb setzen Webseiten-Betreiber zur Finanzierung ihrer kostenfreien Inhalte (z. B. von Nachrichten-Portalen) gerne Online-Werbung ein.

Ein typisches Werkzeug in diesem Bereich sind sogenannte Werbebanner, die beispielsweise am Kopf oder im Seitenbereich einer Webseite eingeblendet werden. Werbetreibende (Advertiser) möchten mit einer Werbekampagne und entsprechenden Werbemitteln (wie z. B. Werbebanner) ein bestimmtes Produkt bewerben und beauftragen dazu eine Agentur oder Vermarkter, um zum Beispiel die Werbebanner auf verschiedenen Webseiten bestmöglich zu platzieren. Dazu kaufen Vermarkter Werbeplätze bei Webseiten-Betreibern (Publisher) ein – und verkaufen diese wiederum an die Werbetreibenden.

Wie funktioniert Bannerwerbung? Aus technischer Sicht werden Werbeinhalte von sogenannten Ad-Servern ausgeliefert: Beim Besuch einer werbefinanzierten Webseite (z. B. einem Nachrichten-Portal) durch den Nutzer oder die Nutzerin stellt die Webseite zunächst eine Verbindung zu den hinterlegten Ad-Servern her.

Der Ad-Server wählt anschließend auf den Nutzer oder die Nutzerin zugeschnittene Werbemittel aus und sendet diese unmittelbar an den Besucher oder die Besucherin der Webseite zurück. Die Auswahl der Werbemittel geschieht u. a. mit Hilfe von Tracking. Das bedeutet, dass zuvor besuchte Webseiten, digitale Einkäufe oder geschaute Videos beeinflussen, welches Produkt beworben wird.

Was ist Tracking und wie funktioniert es?

Unter Tracking versteht man Verfahren, die NutzerInnen identifizieren sowie ihre Online-Bewegungen analysieren. In einem weiteren Schritt können einzelnen NutzerInnen persönliche Merkmale oder Interessen zugeordnet werden. Vermarkter nutzen diese Informationen, um Profile anzulegen und Werbebanner gezielt auszuliefern.

Technisch wird dies u. a. mit sogenannten Cookies oder dem Fingerprinting realisiert. Diese Tracking-Methoden ermöglichen es, verschiedene Daten Webseiten-übergreifend zu erfassen. Dazu gehören u. a. der Standort des Nutzers (IP-Adresse), zuvor besuchte Webseiten (Verlauf) oder die dafür verwendete Software (Browser).

Beispiel: Möchte ein Unternehmen, das Regenschirme produziert, seine Werbung nur in Norddeutschland schalten, kann der Vermarkter die mit Tracking-Verfahren gesammelten Standorte der NutzerInnen auswerten und die Werbung so zuspielen, dass Seitenbesucher aus dem meist sonnigen Süden keine Werbung für Regenschirme erhalten. Dies hat zusätzlich den Vorteil, dass z. B. kleine, regionale Geschäfte ihre Werbung nur dort schalten, wo sie auch Filialen oder Lieferdienste haben.

Zu den Vermarktern gehören unter anderem soziale Netzwerke wie Instagram, Facebook oder Twitter. Diese sammeln mittels Tweet- oder Like-Buttons Nutzerdaten auf Webseiten und zwar auch dann, wenn man den Button nicht anklickt. Surft man z. B. vorzugsweise auf Sport-Portalen, so sammeln die Unternehmen diese Informationen und versorgen die NutzerInnen anschließend mit personalisierter, sportbezogener Werbung.

Dies geschieht selbst dann, wenn man nicht diesem sozialen Netzwerk eingeloggt ist und sogar, wenn der Nutzer und die Nutzerin gar nicht Mitglied dort ist. Da beim Tracking personenbezogene Daten übermittelt werden, kann es mit vergleichsweise einfachen Einstellungen verhindert bzw. erschwert werden.

Cyber-Angriffe über Online-Werbung

In der Vergangenheit gab es wiederholt Vorfälle, bei denen Schadprogramme in Werbebannern versteckt und verteilt worden sind (Malvertising). Dazu haben Angreifer beispielsweise bestehende, schlecht abgesicherte Ad-Server kompromittiert oder mittels gestohlener Kreditkarten Werbeplätze bei Vermarktern eingekauft, um Schadcode zu verbreiten.

Dabei enthalten die Webseiten selbst oft kein Schadprogramm. Der schadhafte Code wird über den Adserver in den Bannerbereich geladen. So befindet sich die Malware im Werbebanner und nutzt Lücken im Browser und dessen Plugins aus. Die Infektion geschieht dann durch bloßes Aufrufen der Webseite.

Den Opfern von Malvertising entsteht häufig ein großer Schaden, da es sich bei den durch Online-Werbung verbreiteten Schadprogrammen häufig um Trojaner oder Ransomware handelt. Die sogenannten Trojanischen Pferde werden u. a. dazu eingesetzt, Betrug beim Online-Banking des Nutzers durchzuführen, vertrauliche Daten (z. B. Login-Informationen) auszuspähen oder massenhaft Spam-Mails zu versenden. Ransomware verschlüsselt Daten des Nutzers und fordert diesen auf, für die Entschlüsselung ein Lösegeld zu zahlen.

Im Unterschied zu vielen anderen Infektionswegen, z. B. Dem Download verdächtiger E-Mail-Anhänge, haben NutzerInnen meist nicht aktiv zur Infektion ihres Systems beigetragen. Es bestehen jedoch Lösungen, die das Laden von Werbebannern durch unseriöse Adserver verhindern und so einer schadhaften Infektion vorbeugen.

Ad-Blocker: Schutz vor schadhafter Online-Werbung

Eine Möglichkeit, sich vor Schadprogrammen zu schützen, die über Werbebanner ausgeliefert werden, sind Ad-Blocker. Diese Programme sorgen dafür, dass Werbung in Form von Bildern, Videos oder Pop-ups auf Webseiten nicht angezeigt bzw. blockiert wird. Ad-Blocker sollen außerdem das Tracking von NutzerInnen verhindern, indem u.a. das Speichern von Cookies bestimmter Vermarkter blockiert wird.

Zu diesem Zweck verwenden Ad-Blocker sogenannte Blacklists1 oder Whitelists2, in denen die Verlinkungen zu Werbebannern und Trackern verwaltet werden. Detektiert der Ad-Blocker bei einem Seitenaufruf einen zu einem Werbebanner oder Tracker gehörigen Link, der in der Blacklist hinterlegt ist, blockiert der Ad-Blocker den Aufruf und das Werbebanner bzw. der Tracker wird nicht geladen.

Entsprechend wird ein Link, der in der Whitelist verzeichnet ist, zugelassen. Diese Listen (Blacklists und Whitelists) sind in der Regel öffentlich und können auf den entsprechenden Webseiten eingesehen werden. Bei den Whitelists besteht bei vielen Ad-Blockern zusätzlich die Möglichkeit, diese so anzupassen, dass die eigenen Lieblings-Werbeseiten weiterhin angezeigt werden.

Sicherheitsanforderungen an Ad-Blocker

Um NutzerInnen die Wahl eines passenden Ad-Blocker-Produkts zu vereinfachen, wurden in dieser Cyber-Sicherheitsempfehlung Anforderungen (bzw. Kriterien) an Ad-Blocker definiert. Die folgenden Punkte fassen zusammen, welche wichtigen Kriterien AnwenderInnen bei der Wahl des Ad-Blockers beachten sollten.

Transparenz: Achten Sie darauf, dass Sie auf der Webseite des Software-Anbieters Antworten auf folgende Fragen finden:

  • Wer erstellt die Blacklist?
  • Wie ist die Blacklist voreingestellt?
  • Wie können NutzerInnen andere Blacklists hinzufügen?
  • Können BenutzerInnen Werbeseiten zur Whitelist hinzufügen, sodass ausgewählte Werbeseiten nicht beschränkt werden?
  • Werden regelmäßig Updates geliefert?
  • Handelt es sich um ein Open- oder Closed-Source-Produkt?

Datenschutz und IT-Sicherheit

  • Im Sinne des Datenschutz und der IT-Sicherheit ist es wichtig, dass der Ad-Blocker nicht selbst Nutzer-Profile (Tracking) erstellt und auch keine Daten (z. B. besuchte Webseiten) an Dritte weiterleitet.

  • Personenbezogene Daten sollten ausschließlich nur erhoben werden, wenn sie für die Erbringung des Dienstes erforderlich sind. Das bedeutet z. B.

    • Kein Tracking des Nutzer-Surfverhaltens.
    • Keine Verwendung der URL außerhalb des jeweiligen Blocking-Vorgangs, außer es erfolgte eine vorherige Zustimmung des Nutzers.
  • Darüber hinaus darf es keinen "Verkauf" von Nutzer-Daten geben.

Integrität: Ein Ad-Blocker darf auf einer Webseite nur die Werbung gemäß der Blacklist ausblenden. Anderweitige inhaltliche Veränderungen der Webseite finden nicht statt.

  • Es darf keine Möglichkeit des Einfügens von Skript- oder sonstigem Programmcode durch Quellen (z. B. Autoren von Filterlisten oder Webseiten) außerhalb der Anwendung geben.
  • Es darf nicht möglich sein, dass zusätzliche Werbung eingefügt oder vorhandene Werbung auf Webseiten ersetzt werden kann.

Individuelle Einstellmöglichkeiten: Der Ad-Blocker sollte die Möglichkeit anbieten, individuelle Anpassungen vorzunehmen, wie z. B. dass einzelne Webseiten vom Ad-Blocking ausgenommen werden können.

Updates und Support: Es ist essentiell, dass der Hersteller zeitnah Sicherheitsupdates für den Ad-Blocker zur Verfügung stellt. Des Weiteren sollte der Hersteller kurzfristig bei Fällen von „Overblocking“ reagieren. Unter „Overblocking“ versteht man in diesem Zusammenhang das fälschlicherweise Filtern von Inhalten, beispielsweise durch den Einsatz mehrerer, sich widersprechender Filter.

Was kann ich daraus mitnehmen?

Ad-Blocker stellen eine wichtige Maßnahme zum Schutz der NutzerInnen im Internet dar, da sie effektiv vor Angriffen durch Schadprogramme schützen, die über extern eingebettete Werbeeinblendungen erfolgen.

Hinweis: Das Einblenden von Werbung zur Finanzierung des Online-Angebots ist auch beim Einsatz von Ad-Blockern möglich, wenn die Werbung direkt auf dem Webserver des Webseiten-Betreibers gespeichert und nicht auf einem externen Adserver nachgeladen wird. Der Webseiten-Betreiber hat dabei selbst die technische Kontrolle und kann geeignete Sicherheitsmaßnahmen unmittelbar umsetzen. Das Speichern der Werbung auf dem Webserver des Webseiten-Betreibers kann allerdings zu geringeren Werbeeinnahmen führen, da durch den Verzicht auf Links zu Vermarktern die Tracking-Funktion entfällt. So ist die Werbung weniger zielgerichtet und damit weniger profitabel.

Zum Thema

Ähnliche Themen

Zurück zu Der Browser

Kurz-URL:
https://www.bsi.bund.de/dok/14095664