Prozess in Holland Cracker hackten 1,5 Millionen Rechner
Anfang Oktober ging bei der niederländischen Polizei ein Hinweis des bekannten Providers XS4All ein, auf seinen Servern liefen seltsame Dinge: Zahlreiche Rechner von Kunden schienen in koordinierter Weise parallel aktiv zu werden. Das roch nach einem "Zombie-" oder "Botnet". Hatten hier Hacker oder Cracker die Rechner von Privatleuten geknackt und missbrauchten sie nun für ihre Zwecke?
Genau das, entschieden die Fahnder der holländischen Polizei schnell - und fast noch schneller schafften sie den Zugriff. Keine zwei Wochen nach der ersten Aussendung des Virus, der das Botnetz geschaffen hatte, sehen sich zurzeit drei 19, 22 und 27 Jahre alte Niederländer mit einer Anklage konfrontiert.
Zunächst hatte es geheißen, ihnen werde die Manipulation von über 100.000 Rechnern vorgeworfen. Falsch war das nicht, aber auch nicht unbedingt präzise: Am Donnerstag erklärte die Staatsanwaltschaft in Breda, nun gehe es um 1,5 Millionen PCs, die die drei angeblich zu einem Zombie-Netzwerk verbunden haben sollen.
Und zwar mit kriminellen Intentionen. Anders als bei den "Spaß-Crackern" vergangener Jahre stecken hinter Viren- und Trojaneraussendungen, hinter Dateneinbrüchen und Denial-of-Service-Attacken und hinter Phishing immer öfter handfeste finanzielle Interessen.
Die niederländische Gruppe, die wahrscheinlich aus mehr als den drei bisher verhafteten Männern besteht, setzte auf ein sattsam bekanntes Rezept, zu Geld zu kommen: Sie versuchte, ein Zombien-Netz als Drohkulisse in einer Schutzgelderpressung zu nutzen.
Das Zombie-Netz von Rechnern, zu denen die Gruppe Zugang und über das sie zumindest teilweise Kontrolle hatte, hatten sich die Cracker per Virenaussendung geangelt: Mit einer Variante des Wurms W32.Toxbot gelang es ihnen, unfassbare 1,5 Millionen Rechner zu einem Netz für Denial-of-Service-Attacken zu verbinden.
Dort setzte das "Geschäftsmodell" an: Bald schon bekam eine US-Firma elektronische Post. Der Inhalt: Zahle, oder wir schießen deine Server ab. Nebenbei wurde noch versucht, Paypal- und eBay-Konteninformationen abzugreifen.
All das ist wenig überraschend und zugleich doch wieder. Das nun aufgedeckte Botnet sei zwar das bisher größte, das man habe identifizieren können, kommentierte Simon Hania von XS4All, aber letztlich sei es doch nur "ein Tropfen in einem Ozean".
Bedenklich stimmt, wie unspektakulär der ganze Vorgang tatsächlich ablief. Toxbot gilt als Wurm, der es zu keiner bemerkenswerten Verbreitung schaffte. Sein Schadenspotential wird als medioker eingeschätzt. Zudem hatten alle Anbieter von Virenschutz-Software binnen kürzester Zeit ein Update zu Toxbot angeboten: Wer seine Virenschutz-Software aktuell hielt, hatte seinen Rechner gegen Toxbot immunisiert, bevor der auch nur eine Chance hatte, sich richtig zu verbreiten.
Dass trotzdem 1,5 Millionen Rechner von dem Wurm "geöffnet" worden sein sollen, ist ein Armutszeugnis. Während Otto Normalverbraucher allabendlich sein Haus verrammelt, als stünde der Einfall der Hunnen bevor, ist der Umgang mit Computernetzen nach wie vor von zu großer Sorglosigkeit geprägt.
Zwar gehörte Toxbot nicht zur Klasse der per E-Mail verbreiteten Würmer, die eine aktive Mithilfe des Mailempfängers voraussetzen (beispielsweise durch Öffnen eines Virenverseuchten Dateianhanges). Toxbot verbreitete sich weitgehend "selbstständig" durch Ausnutzung dreier Sicherheitslücken im Betriebssystem Windows - auch das ist alles andere als selten.
Billig, aber leider wahr: Der Nutzer ist ein Mittäter
Solche auf System-Schwachstellen zielende Viren verbreiten sich über das Netz selbst: Bei manchen von ihnen reicht es, den Rechner schlicht mit dem Internet zu verbinden - das ist, als finge man sich eine Grippe bei der Fahrt in der U-Bahn. Andere schaffen die Infektion durch Ausnutzung von Sicherheitslücken in Browser-Software: Seit rund zwei Jahren gibt es Viren, denen als "Schnittstelle" zum Aufbrechen des Systems der Internet Explorer reichte.
Für reflexhaftes Microsoft-Bashing bietet dieser Fall jedoch keinerlei Anlass: Die Sicherheitslücken wurden von Microsoft im Oktober 2002, Juli 2003 respektive April 2004 geschlossen. Voraussetzung dafür, von Toxbot "abgeschossen" zu werden, war also ein Verzicht auf jede Pflege des Betriebssystems seit mindestens April 2004. Dass es überhaupt noch 1,5 Millionen Rechner gab, die die seitdem kursierenden Cyber-Krankheiten wie "Sasser" überhaupt überlebten, ist da vielleicht das eigentlich Ungewöhnliche an dem ganzen Fall.
Denn langsam sollte sich herumgesprochen haben, dass sich auch Rechner "impfen" lassen: Ihr Serum, um sie gegen die Tausenden von Viren und Würmer, die jedes Jahr programmiert werden, immun zu machen, heißt Update.
Sicherheitsexperten raten zu regelmäßigen Updates von Virenschutz-Software und Firewall, und auch die als "kritisch" bezeichneten Sicherheitslücken in Betriebssystemen sollte man regelmäßig flicken.
Hauptziel aller Hacker ist Microsofts Betriebssystem Windows, das diesen auch mächtig viel Gelegenheit zum Schindluder bietet. Microsoft reagiert auf die Akribie der Hacks und Cracks, die immer neue Sicherheitslücken finden, mit dem "Update-Tuesday": Jeweils am zweiten Dienstag eines Monats veröffentlicht Microsoft die aktuellen Updates. Das lohnt sich, denn auf mehrere Hundert Sicherheitslecks im Jahr bringt es Windows locker.
Wem diese Updaterei zu mühselig ist, kann sie von Windows automatisch erledigen lassen. Davon, dass das nötig ist, wird man sich in den nächsten Wochen beim Prozess in Breda überzeugen können.
Frank Patalong
