• Drucken
• Senden
• Feedback

09.02.2010

Hamburg - Wenn IT-Sicherheitsexperten aus dem Nähkästchen plaudern, fallen Zahlen, die man kaum glauben kann. Für sie stellt sich das Internet nicht nur als Verbreitungsweg für Informationen und Inhalte dar.

Hinter den glänzenden Fassaden entdecken sie überall Schädlinge, Seuchen, aggressive Angreifer: In jeder Sekunde kratzt es da an den Netzwerk-Ports, wenn automatisierte Scanner nach offenen Hintertüren suchen. Milliarden von Spam-Mails rauschen durch das Web, nicht wenige davon wieder Träger anderer Schadsoftware. Das alles wird untermalt vom Grundrauschen sinnloser Dateiaufrufe, wenn die Botnetz-Betreiber ihre Heerscharen gekaperter Rechner in konzentrierter Attacke auf eine Web-Seite loslassen - sei es, um "Schutzgeld" zu erpressen, sei es, um von einem Konkurrenten des Opfers bezahlt ein Geschäft zu schädigen.

Das meiste davon bekommt der normale Nutzer nie mit. Wenn er klug ist, schützt er sich mit Virenscanner und Firewall, hält seine Software up to date und sorgt dafür, dass Sicherheitslecks schnell geschlossen werden. Das Gros der virenverseuchten, betrügerischen, zumindest aber lästigen Spam-Mails bleibt in den Filtern der Mail-Dienstleister und Provider hängen. Denn für die ist der Kampf gegen die Malware Teil des Geschäfts, ein Akt der Notwehr: Schadsoftware belastet und verstopft die Netze, sorgt für enorme Lastspitzen und jede Menge Peering-Kosten für die Verteilung der Daten.

Honigtöpfe und Kunden-Warnungen

Mit entsprechendem Aufwand halten darum auch die DSL-Provider dagegen, mit ganz unterschiedlichen Methoden.

So verschickt 1&1, der zweitgrößte DSL-Anbieter in Deutschland, offenbar gern Briefe: Innerhalb eines Jahres hat das Unternehmen nahezu 50.000 Kunden davon unterrichtet, dass ihr Computer mit Viren oder Trojanern verseucht ist. Zum von der EU ausgelobten "Safer Internet Day" am 9. Februar teilte das Unternehmen mit, es setze gezielt technische Instrumente ein, um infizierte Rechner zu ermitteln und die Kunden zu warnen.

So werden etwa in direkter Nachbarschaft der IP-Adressen von Kundenrechnern sogenannte Honeypot-Systeme platziert. Diese simulieren einen PC ohne installierte "Patches", also ohne die Software-Updates, mit denen bekannte Sicherheitslücken geschlossen werden. Auf der Suche nach Schwachstellen in fremden Rechnern tappt die Schädlingssoftware in den "Honigtopf" und wird erkannt.

Ein weiteres Mittel ist die Auswertung von Spam-Mails und DDoS-Attacken (Distributed Denial of Service) auf Webserver. "Durch die gezielte Analyse der Angriffe bekommen wir neben dem verursachenden Schädling auch die am Angriff beteiligten Systeme heraus, die wir mit den IP-Adressen unseres Kundenstamms vergleichen", erklärt das Unternehmen. Dabei arbeiten die Internet-Provider zusammen und informieren betroffene Unternehmen, wenn infizierte Rechner aus deren Kundenstamm gefunden werden.

Mehrmethodenansatz mit Warnung, Laufstall - und Vollsperrung

Ganz ähnlich geht der regionale Anbieter NetCologne gegen das Problem vor. Die Firma setzt auf einen Mehrmethoden-Ansatz, von dem der Kunde nur im Extremfall etwas mitbekommt. Neben Daten aus einem eigenen Honeypot-System, das meldet, wenn ein Kundenrechner als DDoS-Atacken-Teilnehmer, als Viren- oder Spam-Versender aktiv wird, bezieht die Firma auch aktuelle Spam-Erkennungsdaten aus mehreren Quellen, darunter aus dem Meldesystem Abusix. So gemeldete Datenmuster schaffen es gar nicht mehr zum Kunden.

Wenn es den allerdings erwischt und er selbst zum Versender wird, erfolgt eine halbautomatisierte, abgestufte Reaktion: Auf zwei Warnhinweise folgt das "Einsperren" des Kunden. "Walled Garden", einen eingezäunten Garten nennt man den Ansatz - man könnte ihn auch Laufstall nennen, denn er begrenzt die Bewegungen des Kunden im Netz.

Logt der sich ins Internet ein, bekommt er eine Informationsseite mit einer Rückmeldung zum Befall seines Rechners zu sehen. Von dieser Seite aus kann er nur noch Update-Seiten von Microsoft, von Virenschutz-Entwicklern und vom Bundesamt für Sicherheit in der Informationstechnik besuchen. Nach Säuberung des Rechners erhält der Kunde zweimal die Möglichkeit, sich den Account selbst wieder freizuschalten. Ist ihm die Reinigung des Rechners nicht gelungen und wird dieser erneut gesperrt, wird der Support benachrichtigt.

Für den Kunden klingt das zunächst einmal rau, ist aber letztlich guter Service: Es geht nicht nur darum, den einzelnen Kunden-PC sauber zu halten und zu schützen, sondern auch darum, das Netzwerk als Ganzes zu säubern und entlasten. Denn ein befallener Rechner ist stets auch eine Versendestation für Schadsoftware: Ihr muss man die Verbindung zum Netz abdrehen.

Das, erklärt Eva Krüger, Sprecherin von NetCologne, geht nur auf diesem aufwendigen, reaktiven Wege: "NetCologne scannt nicht aktiv die Rechner und Kommunikationsinhalte der Kunden!"

Bis zu über 16.000 Angriffe am Tag

Klar, das dürfte kein DSL-Provider. So bleibt die abgestufte Reaktion auf Beschwerden oder Messdaten über abnorme Aktivitäten. Wobei eigentlich auch der Virenbefall schon längst die Norm ist: "Bei circa 500.000 Kunden", erklärt Krüger, "erfolgen täglich 30 bis 100 Sperrungen." Zwischen drei und 15 Kunden müsse der Provider pro Tag vollständig abschalten. Das Honeypot-System muss noch mit weit mehr fertigwerden, denn es wird ja nicht nur von befallenen Rechnern aus dem eigenen Kundenstamm angegriffen: 400 bis 700 Attacken zählt der Kölner Honeypot - pro Stunde.

Nicht jeder Provider treibt den gleichen Aufwand, aber verzichten kann keiner darauf. Vodafone und Arcor setzen dabei auch auf Prävention: Der Provider bietet seinen Kunden ein PC-Sicherheitspaket aus Virenscanner, Spamschutz, Firewall und Kindersicherung an. "Leider", sagt dazu Firmensprecher Dirk Ellenbeck und bringt damit einen guten Teil des Problems auf den Punkt, "machen nur wenige Kunden hiervon aktiv Gebrauch."

Denn obwohl täglich neue Schadsoftware durch die Netze schwirrt, ist das absolute Gros der Schädlinge alt bis schimmelig: Manche Viren halten sich über Jahre hoch notiert in den Charts der Virenscanner-Hersteller, obwohl es längst Gegenmittel gibt. Der Hauptgrund dafür sitzt vor dem PC und kümmert sich nicht darum, Updates einzupflegen und seinen Rechner zu schützen. Eine Säumigkeit, die teuer werden kann - durch Datenverluste, aber auch durch finanzielle Abzockereien, auf die nicht wenige Schädlinge abzielen.

Vodafone hält mit Filtern dagegen, geht aber auch auf die Kunden zu, wenn eine Verseuchung festgestellt wird. Dirk Ellenbeck: "Wenn wir durch das Monitoring unserer Netze feststellen, dass in einem bestimmten IP-Adressbereich eine Anomalie vorliegt, informieren wir selbstverständlich den Kunden. Wenn also von bestimmten Rechnern, die dann basierend auf den zugewiesenen IP-Adressen ermittelt werden, Spam versandt oder eine DoS-Attacke gestartet wird, gehen wir aktiv auf die betroffenen Kunden zu und geben diesen Tipps zum Schutz Ihrer Rechner."

Neues Modell: Das nationale Callcenter

Genug ist all das offensichtlich bisher trotzdem nicht, denn Deutschland rangiert bei der Anzahl der infizierten Rechner international auf Platz 3 - und das wissen auch die Provider. Unter dem Dach des Branchenverbandes eco arbeiten sie im Verbund mit dem BSI am Aufbau eines nationalen Callcenters gegen Schadsoftware und Botnetze.

Im Rahmen dieses zentralen Beratungszentrums werden Internet-Zugangsanbieter Kunden, deren Rechner sie als Teil eines Botnetzes identifiziert haben, zunächst auf eine Web-Seite leiten, die ihnen Hilfestellungen und Tools zum Entfernen der Malware bereitstellt. In einem zweiten Schritt kann der Provider dem Kunden einen Zugangscode für die telefonische Unterstützung mitteilen. Dort werden Anti-Viren-Spezialisten mit dem Kunden den Schädling aufspüren und entfernen. "Mit dem Projekt möchten wir Deutschland mittelfristig aus den Top 10 der Länder, von denen schädliche Online-Aktivitäten ausgehen, herausbringen", sagt Sven Karge, Fachbereichsleiter Content bei eco. Noch aber ist das Zukunftsmusik: Beschlossen wurde das Projekt Anfang Dezember, die Planungsphase hat gerade erst begonnen.