Image
Adblocker

Das sagt indirekt jetzt auch das BSI in einer heute veröffentlichten Stellungnahme anlässlich des angeblichen Cyber-Angriffs auf den Bundestag im Jahr 2015, der in Wirklichkeit gar keiner war.

Gut, angesichts der skandalösen Zustände, die damals in der Netz- und Serverinfrastruktur des Deutschen Bundestags herrschten, klingt ein vermeintlicher Cyber-Angriff aus Russland natürlich wesentlich strafmildernder als ein "Sorry, wir sind scheiße". Aber dass es sich nur um einen simplen Drive-By gehandelt hat, ist dann doch sehr krass.

Ein Drive-By bedeutet, dass jemand eine normale Webseite besucht, welche Werbebanner oder andere Inhalte aus einer anderen Quelle ungeprüft bei sich selbst einbindet. Dies geschieht auch meist über ungesichertes HTTP, weil Verschlüsselung wegen des Verlinkens einer ungesicherten Quelle aus einer anderen Domain in Webbrowsern für eine Sicherheitswarnung sorgt. Denn das Zertifikat eines Webseitenbetreibers gilt ja nur für die eigene Domain und nicht für jene der Werbeagentur, von welcher die infizierten Werbebanner eingeblendet werden. Und dass diese oft infiziert sind, ist ja auch kein Wunder; schließlich wird die Verschlüsselung ja gezielt abgeschaltet, um genau diese Sicherheitsprüfung der Browser umgehen zu können.

Hätte der Deutsche Bundestag damals einen Adblocker via Proxy eingebunden, oder auch nur zur Benutzung von Adblockern geraten, wäre die ganze Misere also gar nicht passiert. Aber das ging ja bereits politisch nicht, damals lief gerade massives Lobbying der deutschen Verlage gegen die Adblocker selbst.

Das Schöne ist, dass das BSI dies auch jetzt in der Stellungnahme schreibt. Zitat: "Eine der Hauptursachen für diese sogenannten Drive-by-Angriffe sind schädliche Werbebanner. Diese werden von unbekannten Dritten bereitgestellt oder von Agenturen vermarktet und werden häufig ohne Überprüfung oder Qualitätskontrolle in eine Webseite eingebunden. Auf diese Weise werden auch populäre und ansonsten gut abgesicherte Webseiten Ausgangspunkt von Cyber-Angriffen."

Wie kann man so ein Problem lösen?

Am besten, indem man die Verlage an die Leine nimmt. Bei Printanzeigen sind sie verpflichtet, die Anzeigen zu prüfen. Bei Webseiten indes nicht. Das muss sich ändern.

Ebenso muss ein Gesetz her, dass Anbieter von Software oder Medien für durch sie verursachte Schäden, absichtlich oder fahrlässig, auch haften müssen. Gibt es schon längst, denken Sie? Da haben sie schon recht, das gibt es eigentlich schon überall - aber nicht in der Softwareindustrie oder der ICT.

Macht die Verlage, Webseitenbetreiber, Softwarehersteller und Internet-of-Things-Hersteller für ihre Sicherheitslöcher haftbar, und dann wird das Thema Cybersicherheit schnell vorangetrieben werden können. Ein Softwareproduzent muss für Sicherheitsprobleme ebenso haftbar sein wie ein Hersteller von Autos für defekte Airbags. Die Zeit, in welcher die Risiken zugunsten der Industrie und Verleger auf die Verbraucher abgeschoben werden, muss allmählich zu Ende gehen.

Link zur Stellungnahme des BSI: hier klicken

Theme by Danetsoft and Danang Probo Sayekti inspired by Maksimer