Die kriminelle Parallelwelt der Botnets

Botnets sind derzeit die größte Sicherheitsbedrohung für Unternehmen und Privatanwender. So lässt sich eine Diskussion von Experten zusammenfassen, zu der das Eicar (European Institute for Computer Anti-Virus Research) nach München eingeladen hatte.

Botnets sind Rechner-Netzwerke, die von Hackern kontrolliert werden. Und zwar ohne dass die Besitzer der Computer es merken. Gegen die Schadsoftware, die eine Fernsteuerung ermöglicht, gibt es fast keinen Schutz. Meist werden Rechner über verseuchte E-Mail-Anhänge zu sogenannten ‘Zombies’ gemacht. Die Hacker nutzten jedoch auch dass http-Protokoll und sogenannte BHOs  (Browser Helper Objects), um Schadprogramme zu verbreiten. HTTP und BHO sind Internettechnologien, auf die Anwender kaum verzichten können.

“Die meisten Infektionen erfolgen über Windows-Schwachstellen, die seit Jahren bekannt und auf einzelnen Rechnern nicht gepatcht sind”, sagte Tom Fischer, Stellvertretender Leiter der Stabsstelle DV-Sicherheit der Universität Stuttgart. Ist die Malware erst einmal installiert, könnten beliebig Programme nachgeladen werden, ergänzte Christoph Fischer, Forensik-Experte der Eicar. Die Hacker errichteten damit eine “rigide Fernwartung”.

Die Botnets entwickelten sich seit Mitte 2003 zum Problem, hieß es von Ralf Benzmüller, Anti-Viren-Experte beim Bochumer Software-Hersteller G-Data. Vor diesem Zeitpunkt hätten die Hacker vor allem mit Perl-Scripts angegriffen und versucht, Rechner über IRC (Internet Relay Chat) fernzusteuern. “Das hat sich geändert, als Mitte 2003 der Quellcode von Viren im Internet veröffentlicht wurde.” Seit einem Jahr komme kaum noch ein E-Mail-Virus ohne eine Backdoor-Funktion daher, sagte Benzmüller.

Während Virenschreiber früher vor allem Aufmerksamkeit erregen wollten, gehe es heute um viel Geld, so Christoph Fischer. “Derzeit kann man Botnet-Rechner für 5 Cent je Stück mieten.” Bezahlt werde mit anonymen Methoden, etwa durch einen Geldtransfer mit Western Union.

Die ‘Mieter’ nutzen die Botnets, um Spam zu versenden, Unternehmen zu erpressen oder einfach nur, um zu zerstören. Nach Angaben des Sicherheitsunternehmens MessageLabs stammten im April etwa 23 Prozent des weltweiten Spams aus Botnets. Anbieter von Online-Bezahldiensten, Online-Casinos und Spiel-Sites werden zudem Opfer von Schutzgeld-Erpressungen. So wie der britische Payment-Service NoChex, der im August 2004 aufgefordert wurde, 10.000 Dollar auf ein Konto in Litauen zu überweisen. Im Juni 2004 legte ein Botnet-Angriff auf das Servernetz des Webhosters Akamai die Sites von Apple, Google, Microsoft und Yahoo für zwei Stunden lahm.

Einige Hacker verfügen nach Angaben von G-Data schon jetzt über so viele ‘Zombies’, dass sie Server mit einer Datenlast von bis zu 500 Mbit pro Sekunde bombardieren können – einem Volumen, dem nur wenige Sites stand halten. Die größte Denial-of-Service-Attacke soll es sogar auf eine Datenlast von 50 Gbit/Sekunde gebracht haben.

Und die Bedrohung wächst. Wie das ‘Zombiemeter’ der Firma CypherTrust ausweise, kämen weltweit täglich etwa 170.000 neue Zombies hinzu, so Benzmüller. Angesichts dieser Tatsachen könne man von den Botnets als eine “Parallelwelt” betrachten und von einem “mafiösen Grid-Computing” sprechen, sagte Peter Bienert, CEO des Essener IT-Dienstleisters BOV.

Die Botnets seien eine wichtige Ursache dafür, dass zwischen einem Virenausbruch und dem Zeitpunkt, zu dem die Hersteller Anti-Viren-Signaturen veröffentlichten (Window of Exposure), eine Lücke von mehreren Stunden klaffe, sagte Andrew Lee, Chief Technology Officer des Software-Unternehmens Eset. Die Botnets würden genutzt, um Viren “initial zu verteilen”, ergänzte Christoph Fischer.

Lee: “Das Problem ist doch, dass eine Phishing-Attacke in zwei Stunden vorbei ist. Der Hacker verschickt Tausende Mails, einige Anwender fallen drauf herein und geben vertrauliche Daten ein. Der Hacker sammelt die Daten ein und nimmt die Phishing-Site vom Netz. Das war’s. Und erst dann bringen die Anti-Viren-Hersteller ihre Signaturen heraus.”

Die Experten waren sich einig, dass den Botnets nur schwer beizukommen ist. Die Internet Service Provider in Deutschland aufzufordern, bestimmte IP-Adressen zu sperren sei schwierig, sagte Tom Fischer. Der Datenschutz verbiete eine Weitergabe der Adressen. Außerdem könne man sich einen Prozess einhandeln, wenn man die IP-Adresse eines Unternehmens sperre, über die auch seriöse Dienste liefen. 

Die Vertreter der Industrie forderten mehr Aufklärung. “Die Industrie hat 20 Jahre gebraucht, um die Bedrohung durch Viren in die Köpfe der Verbraucher zu bekommen”, so Lee. “Ich hoffe nicht, dass es mit den Botnets genauso lange dauert.” Die Verbraucher müssten verstehen, dass Internet-Surfen wie Autofahren sei, sagte Jörg Schneider, Product Marketing Manager von TrendMicro. “Niemand stellt sein Auto mit offenen Türen auf die Straße und lässt auch noch den Zündschlüssel stecken.”

Im Kampf gegen die Botnets könne es schon helfen, wenn die Anwender nicht mehr mit Administrator-Rechten im Internet surften, sagte Tom Fischer. Sei der Rechner allerdings von einem Bot-Virus befallen, helfe oft nur noch eine Radikalkur. “Als Anwender weiß man ja nicht, welche Systemeinstellungen die Malware geändert hat”. Das wisse auch keine Anti-Viren-Software. Einzige Rettung sei dann, das System neu zu installieren.