"Achtung, Ihr PC ist infiziert!" So oder so ähnlich dürfte die Warnung gelautet haben, die Besucher der Webseite der "New York Times" jüngst auf ihren Bildschirmen zu sehen bekamen. Zum Glück war schnell klar: Dahinter steckten Kriminelle, die die aufpoppende Warnung über ein manipuliertes Werbebanner auf das Webportal der Zeitung geschleust hatten. Das ist kein Einzelfall: Immer wieder holen sich nichtsahnende Netznutzer über Online-Werbung Trojaner oder andere Schadprogramme auf den Rechner.

Aus dem umfangreichen Arsenal an miesen Maschen wählen Kriminelle immer häufiger die Methode der präparierten Banner aus. "Das wird zunehmend genutzt", sagt Frank Felzmann vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Die erste große Welle von über Web-Werbung verbreitetem Schadcode sei Anfang 2008 festgestellt worden, sagt Christiane Rütten von der Zeitschrift "c't". Seither werden immer wieder Angriffe bekannt, die auf genau diese Weise abgelaufen sind.

Das Ziel, für das die Gauner die gar nicht übermäßig komplizierte Programmierarbeit leisten, ist das übliche: möglichst viele Rechner unter ihre Kontrolle bringen, um sie zum Teil eines Botnetzes und so zur Spam-Schleuder zu machen. Oder es geht darum, die Besitzer um Geld zu erleichtern - zum Beispiel mit Hilfe eines Keyloggers: ein eingeschmuggeltes Programm, das etwa Online-Banking-Zugangsdaten aufzeichnet und für die Kriminellen nutzbar macht.

Eingriff in Quellcode

Wie gehen diese vor? Sie greifen etwa in den Quellcode des meist als Flash-Datei in die Seite eingebundenen Werbebanners einer real existierenden Firma ein. "Er wird mit einem Skript versehen, das dafür sorgt, dass der Nutzer beim bloßen Betrachten der Webseite auf eine bösartige Seite umgeleitet wird", erklärt Candid Wüest von Symantec. Und dort handelt er sich - häufig via Drive-by, also ohne einen einzigen Klick - einen Trojaner ein.

Oder der Nutzer klickt ein präpariertes Banner an und erhält dann eine Meldung, nach der sein Rechner "mit soundso vielen schädlichen Programmen" infiziert ist, erläutert Felzmann vom BSI. "Darauf kommt Werbung für ein kostenpflichtiges Schutzprogramm - sogenannte Scare- oder Rogueware." Im besten Fall ist diese völlig nutzlos. Läuft es dagegen richtig schlecht für den Nutzer, installiert er sich keine vermeintliche Schutzsoftware, sondern einen sogenannten Downloader, der wiederum einen Trojaner nachlädt.

Eingebaute Zeitverzögerung

"Die Skripts der Gauner werden immer intelligenter", sagt Wüest. Sie lassen sich zum Beispiel so programmieren, dass das manipulierte Banner erst von einem bestimmten Zeitpunkt an schädlich wird. Das soll nicht zuletzt die Betreiber in der Sicherheit wiegen, mit der Werbung auf ihrer Webseite sei alles in bester Ordnung.

Immer wieder präparieren Kriminelle nicht etwa Banner von echten Unternehmen, sondern gestalten ihre eigenen. Das ist nach Felzmanns Einschätzung weniger auffällig und werde von den Betreibern oder der für die Werbung verantwortlichen Agentur nicht so schnell entdeckt. "Die Gauner lassen sich da alles Mögliche einfallen."

Misstrauen bei unbekannten Produkten

Was tun gegen die schwer zu greifende Bedrohung für Rechner und Geldbeutel? Wichtig ist Misstrauen bei Bannern mit völlig unbekannten Produkten. Zeigen sie nach Felzmanns Worten Programme der Kategorie "Antivirus-Doktor '09" oder "Removal Tool 2010", lässt der Nutzer besser die Finger davon: Sie könnten von Betrügern frei erfunden und eben präpariert sein. "Die manipulierten Werbebanner, die ich gesehen habe, haben nicht auf bekannte Produkte hingewiesen", bestätigt Christiane Rütten von der "c't".

"Gut ist auch, im Kopf zu haben: Es gibt nichts umsonst", sagt Frank Ackermann, Experte für IT-Sicherheit beim Branchenverband eco in Köln. Ein unbekanntes, aber vermeintlich sehr attraktives Produkt ist laut Banner gratis zu haben? Lieber erstmal online recherchieren, ob andere schon wegen dieses Banners auf die Nase gefallen sind.

Schutzprogramme aktuell halten

Obwohl sich Nutzer von dubiosen Lösungen fernhalten müssen: Den Rechner abzusichern, ist die wichtigste Maßnahme. "Auch als Besitzer eines Mac ist man nicht 100-prozentig sicher", warnt Ackermann. Daher müssen das Betriebssystem, Software wie Flashplayer und der Browser, aber auch das Antivirenprogramm und die Firewall immer aktuell sein.

Und auch wenn das die Nutzbarkeit vieler Webseiten einschränkt oder zusätzliche Klickerei bedeutet: Aktive Inhalte wie ActiveX, JavaScript oder Flash, die Kriminelle immer wieder ausnutzen, gehören deaktiviert, rät Frank Ackermann. Oder der Nutzer stellt sie so ein, dass sie erst auf Nachfrage und seine Bestätigung hin arbeiten. Denn viele der tückischen Banner sind wie im Fall der "New York Times" zwar schnell wieder unschädlich gemacht - aber bis dahin haben sie womöglich schon großen Schaden angerichtet.