Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Diskussionspapier mit Empfehlungen zur sicheren Bereitstellung von Online-Werbung veröffentlicht. Das Diskussionspapier enthält Maßnahmen, die nach dem Stand der Technik zu berücksichtigen sind, um Systeme und Prozesse der Online-Werbebranche technisch und organisatorisch abzusichern.
AUFRUF ZUR BETEILIGUNG
Es richtet sich an Vertreter der Online-Werbebranche, insbesondere an Betreiber von Ad-Servern. Das BSI ruft Unternehmen aus der Online-Werbebranche auf, sich an der Diskussion zu beteiligen und den auf der Webseite des BSI zur Verfügung stehenden Entwurf bis 26. November 2017 per E-Mail an telemediendienste@bsi.bund.de zu kommentieren. Die Rückmeldungen werden bei der Weiterentwicklung des Dokuments berücksichtigt, das anschließend als Cyber-Sicherheitsempfehlung veröffentlicht werden soll, um Ad-Server-Betreiber bei der Umsetzung dieser Sicherheitsmaßnahmen zu unterstützen.
EMPFEHLUNGEN DES BSI
Das Dokument gibt Empfehlungen, welche Maßnahmen nach dem Stand der Technik zu berücksichtigen sind, um IT-Systeme der Online-Werbebranche technisch abzusichern. Die hier vorgestellten Maßnahmen verstehen sich zum einen als Konkretisierung und zum anderen als Erweiterung der Maßnahmen, die bereits in der Cyber-Sicherheitsempfehlung „Absicherung von Telemediendiensten nach Stand der Technik“ angegeben worden sind.
AN DIE BETREIBER VON AD-SERVERN
Zur Refinanzierung von kostenfreien Inhalten auf Webseiten setzen Webseiten-Betreiber bevorzugt Online-Werbung etwa in Form von Werbebannern ein. Die Auslieferung solcher Werbebanner wird von Ad-Servern realisiert. In der Vergangenheit gab es wiederholt Vorfälle, bei denen Schadprogramme in Werbebannern versteckt und so auch über seriöse Webseiten verteilt worden sind (Malvertising). Dazu haben Angreifer beispielsweise schlecht abgesicherte Ad-Server kompromittiert. Den Opfern von Malvertising entsteht dabei ein teils erheblicher Schaden, da es sich bei den durch Online-Werbung verbreiteten Schadprogrammen häufig um Trojanische Pferde oder Ransomware handelt.
Die Betreiber von Ad-Servern sind dazu verpflichtet, eine nach dem Stand der Technik abgesicherte Infrastruktur für das Ausliefern von Online-Werbung zur Verfügung zu stellen, indem sie neben anderen gesetzlichen Vorgaben die Sicherheitsmaßnahmen nach § 13 Abs. 7 Telemediengesetz (TMG) umsetzen. Bei Ad-Server-Betreibern handelt es sich um Anbieter von Telemediendiensten, da sie Informationen in Form von Werbemitteln zum Abruf bereithalten.