Sicherheit im Netz:
Googles Malware-Schutz
und der Dominoeffekt
Enthält eine Website Schadsoftware, blockiert Google deren Inhalte, was auch von einigen Browser übernommen wird. Das führt schnell zu einem Dominoeffekt.
Anders sieht es aus, wenn die Abhängigkeit unvermeidlich erscheint. Wie zum Beispiel im Falle von Googles Anti-Malware-System, das im Google-Index befindliche Websites permanent nach Schadsoftware durchsucht. Wird es fündig, entfernt Google die Site nicht nur temporär aus den Suchergebnissen, sondern schickt auch eine Warnung an Browser, die das System einsetzen (u.a. Chrome und Firefox).
Wer dann mit einem dieser Browser eine betroffene Website ansteuert, bekommt eine rotgefärbte Warnseite zu Gesicht, die Nutzer darauf hinweist, dass bei einem Klick auf die Schaltfläche “Trotzdem fortfahren” der Computer beschädigt und mit Malware infiziert werden könnte.
Eigentlich ist dies ein tolles System, denn es verringert die Gefahr, dass sich Viren oder Spyware unbemerkt auf dem eigenen Rechner festsetzen. Ich erinnere mich noch an meine ersten Jahre im Internet, als alle möglichen Schad- und Dialerprogramme versuchten, sich über dubiose, in Suchergebnissen auftauchende Websites auf den Computern der Anwender festzusetzen. Im Vergleich dazu surft es sich heute sehr viel sicherer.
Doch die Google-Methode hat einen Nachteil: Wenn eine seriöse Website einer Hackerattacke zum Opfer fällt, bei der über eine Sicherheitslücke Schadcode eingeschleust wird, kann dies geschwind zu einer Sperrung durch Google führen. Handelt es sich bei der betroffenen Website um einen Anbieter, der wiederum Elemente an externe Websites ausliefert, werden auch diese in Googles Malware-Sperre eingebunden und folglich mit erwähnter Warnmeldung versehen.
Am eigenen Leib spüren musste dies kürzlich der Schweizer Vermarkter Trigami, der in Folge einer Hacker-Attacke für mehrere Tage von Google blockiert wurde und alle Werbepartner, die Trigami-Quellcode bei sich integriert hatten, mit ins Verderben zog.
Zu einem vergleichbaren Vorfall kam es heute bei Videoplaza, einem international agierenden Dienstleister für Videowerbung. Auch dieser wurde in Folge eines Angriffs von Außen von Google als gefährliche Site eingestuft, die Sperrung von videoplaza.com besteht auch derzeit noch. Das Stockholmer Unternehmem beliefert unter anderem diverse schwedische Fernsehsender mit Videoanzeigen – wer dort zur Zeit versucht, ein Video abzuspielen, wird ebenfalls von dem nicht gerade harmlos wirkenden Warnhinweis begrüßt.
Natürlich kann man die Reaktion von Googles Anti-Malware-System nicht wirklich als Schwäche bezeichnen. Immerhin verhindert sie ja, dass User mit infiziertem Code in Verbindung kommen. Problematisch wird es jedoch, wenn für User keine Gefahr besteht, und der Malware-Schutz trotzdem greift. Die Schilderungen von Videoplaza zumindest deuten genau dies an.
Die zwei Vorfälle zeigen, wie die Verbindungen zwischen unterschiedlichen Webservices immer komplexer werden und die Abhängigkeiten zunehmen. Während Trigamis und Videoplazas Schicksal in der betreffenden Situation von Googles Sicherheitssystem abhängt – das auch Nicht-Google-Angebote wie Firefox mit dem Anti-Malware-Schutz versorgt – müssen deren Kunden wiederum darauf hoffen, dass ihre Werbezulieferer alles dafür tun, um Sicherheitslücken zu vermeiden.
Je verbreiteter es im Web ist, Funktionen und Komponenten von Drittanbietern zu beziehen (Flattr, Facebook oder Disqus als Beispiele), desto größer ist das Risiko, dass durch Sicherheitsprobleme bei einem Anbieter Zehntausende andere Sites mit zu Boden gehen – wie beim Dominoeffekt.
Tun kann man dagegen wenig (außer im Notfall so schnell wie möglich mit Google Kontakt aufzunehmen), sollte sich aber als Betreiber von Websites darüber im Klaren sein und auch die Verantwortung sehen, die man inne hat, sofern man andere Onlineplattformen mit Funktionalität oder Services beliefert.
Es ist wohl nur eine Frage der Zeit, bis Facebook einmal auf Googles Schwarzer Liste landet und damit 350.000 Websites, die den Like-Button von Facebook eingebaut haben, nur noch mit dem Internet Explorer erreichbar sind. Seltsamer Gedanke…
(Foto: stock.xchng)
Artikel per Feed
Artikel per E-Mail
Artikel bei Twitter
Facebook-Seite
nunja, das problem liegt ja unter anderem darin, dass mal- oder spyware weitergegeben wied. letztendlich entscheidet dann der user. trotzdem die seite besuchen oder nicht.
und sowas nenne ich einen sympathischen schutz. und auch all die seiten, die von facebook mit runtergerissen werden, werden einige tage überleben, bis sie wieder ausgelistet sind. und wer nicht merkt, dass seine seite down ist, für den ist es eher uninteressant, ob sie dort gelistet ist.
es gilt eben: drum prüfe wer sich bindet…immer die konditionen im blick haben.
Videoplaza jedenfalls behauptet, es hätte keine Gefahr für User bestanden, und der Code sei auf einer Testseite aufgetaucht.
http://docs.google.com/a/…d=dg6hc2r8_2ckj4fvdq
Aber es spielt für einen User letztlich doch keine Rolle, ob er über eine Testwebsite oder den Primärserver infiziert wird.
Wenn schon eine Testwebsite nicht ganz so streng gesichert und aktuell gehalten wird wie die sonstigen Prodktionsserver, dann muss diese Website aber definitv vom öffentlichen Zugriff abgeschottet sein.
Nicht vergessen darf man ja auch die Tatsache, dass gerade solche schlechter gesicherten Systeme gerne als Sprungbrett ins interne Netz genutzt werden – dann ist es nicht mehr weit bis zum nächsten Datenskandal…
Nee, wie gesagt – wenn dann nur, ob.
Das ist richtig. Ich bin mir aber sicher, dass die Sicherheitskultur dort – und vielleicht anderswo – schlagartig einen Schub erhalten hat. So gesehen nützt dieser Vorfall letztlich doch wieder allen Usern.
Leider kann ich das aus eigener Erfahrung bestätigen. Mein Blog war vor einigen Monaten Opfer eines Angriffs, der sich eine Sicherheitslücke in FileZilla zunutze gemacht hat. So wurden an alle .php und .html Datein Javascript-Code-Schnipsel angehängt, was dazu führte, dass auch mein Blog von Google mit dieser Warnseite bedacht wurde.
Nach stundenlangen Bereinigen und einer Mail an den Google-Support (ja so etwas gibt es wirklich) war mein Blog nach 24 Stunden wieder normal erreichbar. Der Vorfall hatte auch keine Auswirkung auf Ranking oder andere Dinge, es fehlten mir nur ein paar Tausend besucher…
Jürgen Schnick
Danke für den Erfahrungsbericht. Gab es denn für Besucher der Site eine “Gefahr”?