{"id":170459,"date":"2017-12-20T21:26:01","date_gmt":"2017-12-20T20:26:01","guid":{"rendered":"http:\/\/www.fuldaer-nachrichten.de\/?p=170459"},"modified":"2017-12-20T21:26:01","modified_gmt":"2017-12-20T20:26:01","slug":"sichere-bereitstellung-von-online-werbung-10-tipps-vom-it-sicherheitsexperten","status":"publish","type":"post","link":"https:\/\/www.fuldaernachrichten.de\/?p=170459","title":{"rendered":"Sichere Bereitstellung von Online-Werbung: 10 Tipps vom IT-Sicherheitsexperten"},"content":{"rendered":"
Seit Juli 2015 gilt das IT-Sicherheitsgesetz \u00c2\u2013 nicht nur im Bereich Kritischer Infrastrukturen (KRITIS). Alle Anbieter von Telemediendiensten sind betroffen, darunter Online-Shops, Provider und Betreiber von Ad-Servern. Denn auch letztere halten Informationen \u00c2\u2013 in dem Fall Werbemittel \u00c2\u2013 zum Abruf bereit. Aus diesem Grund sind auch sie verpflichtet, Sicherheitsma\u00dfnahmen entsprechend dem Stand der Technik umzusetzen. Darunter f\u00e4llt insbesondere die Anwendung eines Verschl\u00fcsselungsverfahrens, welches als sicher eingestuft ist.<\/span><\/div>\n
<\/div>\n
\u00c2\u201eBei Auslieferung von Werbung muss das SSL\/TLS-Protokoll Anwendung finden. So erfolgt der Datenverkehr zwischen Client und Webserver verschl\u00fcsselt. Die Verschl\u00fcsselung muss aber auch s\u00e4mtliche beteiligte Ad-Server innerhalb der Auslieferungskette umfassen\u00c2\u201c, macht Christian Heutger, IT-Sicherheitsexperte und Gesch\u00e4ftsf\u00fchrer der PSW GROUP (<\/span>www.psw-group.de<\/a><\/span>), mit Nachdruck aufmerksam.<\/span><\/div>\n
<\/div>\n
Nicht grundlos, denn immer wieder gelingt es Betr\u00fcgern, Ransomware oder Trojaner in Werbebannern zu verstecken und sie auf diese Weise zu verteilen: Angreifer kompromittieren schlecht abgesicherte Ad-Server oder kaufen mit gestohlenen Kreditkarten Werbepl\u00e4tze bei Vermarktern. \u00c2\u201eDiese Methode ist bei Cyberkriminellen auch deshalb so attraktiv, weil die Verkn\u00fcpfung des Ad-Servers mit zahlreichen Websites eine hohe Reichweite f\u00fcr das Verteilen von Schadprogrammen bietet. So lassen sich sogar Schadprogramme auf seri\u00f6sen Websites platzieren\u00c2\u201c, so Heutger.<\/span><\/div>\n
<\/div>\n
Der Experte empfiehlt deshalb Ad-Server-Betreibern folgende Ma\u00dfnahmen zur Erweiterung der Cyber-Sicherheitsempfehlung f\u00fcr die sichere Bereitstellung von Online-Werbung zu ergreifen:<\/span><\/div>\n
<\/div>\n
Starke Passw\u00f6rter w\u00e4hlen
\n<\/strong>Ad-Server-Betreiber sind in der Pflicht, starke Passw\u00f6rter zu w\u00e4hlen oder Alternativen einzusetzen, die mindestens vergleichbar sicher sind. So soll gew\u00e4hrleistet werden, dass Kunden Passw\u00f6rter w\u00e4hlen, die stark genug f\u00fcr Brute-Force-Attacken sind.<\/span><\/div>\n
<\/div>\n
Updates regelm\u00e4\u00dfig einspielen
\n<\/strong>Die Vergangenheit zeigt, dass Ad-Server h\u00e4ufig aufgrund fehlender Sicherheits-Updates kompromittiert wurden. Deshalb sind Betreiber in der Pflicht, Sicherheits-Updates schnellstm\u00f6glich einzuspielen. \u00c2\u201eSolche Sicherheitsupdates m\u00fcssen auf s\u00e4mtlichen zum Ad-Server geh\u00f6renden Komponenten installiert werden, einschlie\u00dflich der Clients der Mitarbeiter. Wir empfehlen, einen Patch-Management-Prozess zu etablieren. So k\u00f6nnen Betreiber z\u00fcgig auf neu zur Verf\u00fcgung gestellte Sicherheits-Updates reagieren und sie schnellstm\u00f6glich einspielen\u00c2\u201c, so Christian Heutger.<\/span><\/div>\n
<\/div>\n
Wirksamer Virenschutz
\n<\/strong>Ein effizienter Virenschutz geh\u00f6rt auf alle Rechner der Mitarbeiter. \u00c2\u201eVirenschutz-Programme sollten au\u00dferdem auch auf Ad-Servern eingesetzt werden. Diese sollten auf den Ad-Servern regelm\u00e4\u00dfige Scans durchf\u00fchren und etwaige Schadprogramme isolieren oder entfernen. Idealerweise entscheiden sich Betreiber f\u00fcr ein Virenschutzprogramm, das schadhafte Werbung bereits beim Upload erkennt und entsprechende Ma\u00dfnahmen veranlasst\u00c2\u201c, r\u00e4t der Experte.<\/span><\/div>\n
<\/div>\n
Monitoring
\n<\/strong>Sicherheitsrelevante Aktivit\u00e4ten m\u00fcssen in Ad-Servern unter Beachtung des Datenschutzes protokolliert werden. \u00c2\u201eBetreiber sollten dabei pr\u00fcfen, ob bestehende Container Tags in ungewohnter Weise manipuliert oder mit schadhaften Inhalten infiziert wurden. Zudem sollte ein effizientes Monitoring es erm\u00f6glichen, Manipulationen auf Ad-Servern nachverfolgen zu k\u00f6nnen, um bei Sicherheitsvorf\u00e4llen R\u00fcckschl\u00fcsse auf die Ursache zu ziehen\u00c2\u201c, pr\u00e4zisiert Christian Heutger.<\/span><\/div>\n
<\/div>\n
Sicherheitskonzept und Notfallvorsorge
\n<\/strong>Ad-Server-Betreiber sind in der Pflicht, ein Notfallvorsorge-Konzept zu erstellen, um auf Sicherheitsvorf\u00e4lle entsprechend reagieren zu k\u00f6nnen. \u00c2\u201eDar\u00fcber hinaus ist ein Sicherheitskonzept anzuraten. Hierin l\u00e4sst sich festlegen, welche Strategien in der Informationssicherheit \u00fcberhaupt verfolgt werden. Dazu geh\u00f6rt unter anderem, dass Serverbetreiber schnellstm\u00f6glich auf Sicherheitsvorf\u00e4lle reagieren, schadhafte Werbemittel schnellstm\u00f6glich entfernen und das BSI \u00fcber den Sicherheitsvorfall informieren\u00c2\u201c, so der Experte. Sein Tipp: Die Implementierung eines Information Security Management Systems (ISMS). \u00c2\u201eHierin werden Regeln definiert, um die Informationssicherheit dauerhaft planen, umsetzen, pr\u00fcfen, aufrechterhalten und optimieren zu k\u00f6nnen.\u00c2\u201c<\/span><\/div>\n
<\/div>\n
Sensibilisierung der Mitarbeiter
\n<\/strong>Mitarbeiter geh\u00f6ren zu den gr\u00f6\u00dften Sicherheitsl\u00fccken in vielen Unternehmen. Deshalb empfiehlt es sich, Mitarbeiter ausreichend zu sensibilisieren und sicherzustellen, dass alle Mitarbeiter ausreichend Kenntnis von Informationssicherheit haben. Klickbetrug, SQL- und XSS-Injection-Angriffe sollten keine Fremdw\u00f6rter sein.<\/span><\/div>\n
<\/div>\n
Verhindern von Tracking-Angriffen
\n<\/strong>Ad-Server-Betreiber m\u00fcssen sich am Konzept der Datensparsamkeit orientieren. Bedeutet: Es d\u00fcrfen nur so viele sensible Daten erhoben werden, wie f\u00fcr das Ausliefern der Werbung notwendig sind. Es d\u00fcrfen hingegen keinerlei Daten erhoben sowie ausgewertet werden, die zu Sicherheitsvorf\u00e4llen f\u00fchren k\u00f6nnten. \u00c2\u201eNutzerdaten, die mittels Tracking erhoben werden, m\u00fcssen gesch\u00fctzt werden, da viele Website-Betreiber auch mit ausl\u00e4ndischen Ad-Server-Betreibern und Vermarktern zusammenarbeiten. Es l\u00e4sst sich also nicht ausschlie\u00dfen, dass ausl\u00e4ndische Dienste auf erhobene Nutzerdaten zugreifen und diese gezielt missbrauchen k\u00f6nnten\u00c2\u201c, warnt Heutger.<\/span><\/div>\n
<\/div>\n
Blacklists
\n<\/strong>Um das automatisierte Ausliefern manipulierter Werbemittel zu verhindern, m\u00fcssen Ad-Server-Betreiber Sperrlisten (\u00c2\u201eBlacklists\u00c2\u201c) mit jenen URLs nutzen, hinter denen sich schadhafte Inhalte verbergen. Die Sperrliste l\u00e4sst sich direkt zum Blockieren nutzen, wenn es einem Angreifer gelingen sollte, manipulierte Werbung zu verlinken.<\/span><\/div>\n
<\/div>\n
Account-Verifizierung und Zusammenarbeit
\n<\/strong>Um die Personen hinter dem Werbekunden identifizieren zu k\u00f6nnen, m\u00fcssen Ad-Server-Betreiber ein Verfahren zur Verifizierung von Werbekunden etablieren. \u00c2\u201eAnonyme Accounts m\u00fcssen verhindert werden, denn diese haben schon h\u00e4ufig dazu gef\u00fchrt, mithilfe gestohlener Kreditkarten schadhafte Werbung zu schalten\u00c2\u201c, begr\u00fcndet Heutger. Das Verifizierungsverfahren l\u00e4sst sich durch weitere Sicherheitsma\u00dfnahmen wie der Mehrfaktor-Authentisierung erweitern.<\/span><\/div>\n
<\/div>\n
\u00c2\u201eWir raten grunds\u00e4tzlich dazu, mit anderen Ad-Server-Betreibern sowie Vermarktern zusammenzuarbeiten, insbesondere beim Reagieren auf Sicherheitsvorf\u00e4lle. Hierbei l\u00e4sst sich auch die Nutzung eindeutiger Werbe-IDs diskutieren: Diese w\u00e4re \u00fcber mehrere Werbenetzwerke hinweg identisch. Gibt es einen Sicherheitsvorfall, br\u00e4uchte der Ad-Server-Betreiber seinem Netzwerk lediglich die ID des Werbemittels mitteilen. Diese k\u00f6nnten das Ausliefern des betroffenen Werbemittels in den eigenen Ad-Servern blockieren.<\/span><\/div>\n","protected":false},"excerpt":{"rendered":"

Seit Juli 2015 gilt das IT-Sicherheitsgesetz \u00c2\u2013 nicht nur im Bereich Kritischer Infrastrukturen (KRITIS). Alle Anbieter von Telemediendiensten sind betroffen, darunter Online-Shops, Provider und Betreiber von Ad-Servern. Denn auch letztere halten Informationen \u00c2\u2013 in dem Fall Werbemittel \u00c2\u2013 zum Abruf bereit. Aus diesem Grund sind auch sie verpflichtet, Sicherheitsma\u00dfnahmen entsprechend dem Stand der Technik umzusetzen. …<\/p>\n<\/div>","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-170459","post","type-post","status-publish","format-standard","hentry","category-startseite"],"_links":{"self":[{"href":"https:\/\/www.fuldaernachrichten.de\/index.php?rest_route=\/wp\/v2\/posts\/170459","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.fuldaernachrichten.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.fuldaernachrichten.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.fuldaernachrichten.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.fuldaernachrichten.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=170459"}],"version-history":[{"count":1,"href":"https:\/\/www.fuldaernachrichten.de\/index.php?rest_route=\/wp\/v2\/posts\/170459\/revisions"}],"predecessor-version":[{"id":170462,"href":"https:\/\/www.fuldaernachrichten.de\/index.php?rest_route=\/wp\/v2\/posts\/170459\/revisions\/170462"}],"wp:attachment":[{"href":"https:\/\/www.fuldaernachrichten.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=170459"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.fuldaernachrichten.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=170459"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.fuldaernachrichten.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=170459"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}