Botnets Die stille Gefahr im Internet
China und die Vereinigten Staaten führen die Top Ten an. Doch gleich an dritter Stelle der Länder mit den meisten Bot-verseuchten Rechnern steht Deutschland - das auch etliche der Server beherbergt, von denen aus die Botmeister die gekaperten Rechner fernsteuern .
Dass Deutschland einig Botland ist, bekam die breite Öffentlichkeit zuletzt 2004 mit. Damals ging schwäbischen Fahndern ein 21-jähriger Botnet-Betreiber in die Falle . Doch seither hat sich die Botgefahr nur noch weiter vergrößert, mahnt das European Network Information and Security Agency (ENISA) in einem neuen Positionspapier (PDF) .
Botnets sind Netzwerke gekidnappter Rechner - den Bots. Mithilfe von Trojaner-Programmen, die sie beispielsweise durch manipulierte Webseiten oder fingierte E-Mails auf die Rechner einschleusen, erlangen die Botnet-Betreiber Zugriff auf die fremden PCs, können sie via Web steuern.
13 Millionen Euro Schaden durch ein einziges Botnet
Solche Botnets zu vermieten, kann ein einträgliches Geschäft sein. Die Zombiearmeen werden unter anderem genutzt, um millionenfache Spam-Mails zu versenden, durch eine Vielzahl gleichzeitiger Anfragen Websites in die Knie zu zwingen oder in großem Stile Passwörter abzugrasen.
Erst vor wenigen Tagen kamen Kriminalbeamte einem 18-jährigen Neuseeländer auf die Spur, der als Botmeister wahrscheinlich mehrere Zehntausend Rechner kontrollierte. Der angerichtete Schaden wird auf 13 Millionen Euro geschätzt.
Derzeit, schätzen Experten im ENISA-Papier, sind weltweit 1000 bis 2000 Botnets aktiv. Durchschnittlich besteht jedes dieser Netze aus rund 20.000 infizierten Computern. Die kleinsten Netzwerke sind aus ungefähr zehn, die größten aus bis zu 300.000 Rechnern aufgebaut. Laut Symantec kommen pro Tag rund 50.000 neue Bot-PCs hinzu. Täglich sind fünf bis sechs Millionen der ferngelenkten PCs aktiv.
Dumpingpreise chinesischer Hacker
Viele davon stehen in Deutschland. Experten schätzen, dass zwischen Flensburg und Konstanz 100.000 Rechner infiziert sind. Jeden Tag könnte so ein Bot circa 260.000 Spam-Nachrichten versenden oder einen Server mit durchschnittlich 40 Kilobyte pro Sekunde bombardieren. Greifen 10.000 Bots an, schalten die meisten Internetseiten überlastet ab, sind für Stunden nicht mehr erreichbar.
Diese sogenannten Distributed Denial of Service-Angriffe (DDoS) benutzen Kriminelle für Erpressungen oder zur Sabotage - gegen Bezahlung. Je stärker, größer und besser getarnt das Botnet, desto wertvoller: Pro gekidnapptem Rechner und Tag verlangen Botmeister ein bis vier Euro, für besonders leistungsfähige Rechner sogar 50 bis 70 Euro. Chinesische Hacker unterbieten ihre Konkurrenten bereits mit Dumpingpreisen, vermieten Bots für weniger als einen Euro pro Tag. Gemietet wird tage-, manchmal auch nur stundenweise.
Um noch mehr Geld zu machen, warnt das ENISA-Papier, reicht den Hackern das Web aber längst nicht mehr. Neue Bots verbreiten sich auch über Instant Messenger (ICQ, MSN, AIM u.a.). Bald sollen auch Mediacenter, Handys und andere mobile Geräte attackiert werden. Um immer mehr Nutzer mit einer Bot-Software zu infizieren, stellen Hacker-Teams ausgefuchste Webseiten ins Netz, die aufwendig gestaltet sind. Bereits zwei Drittel aller Neuinfektionen geschieht über solche clever gestaltete Webseiten, die gezielt Sicherheitslücken in Browsern und Betriebssystemen ausnutzen.
Der nächste Schritt: spezialisierte Botnets
Der deutsche Botnet-Experte Thorsten Holz, Doktorand am Laboratory for Dependable Distributed Systems der Uni Mannheim, zeigt sich über das technische und organisatorische Geschick der Botnet-Hacker erstaunt: "Das sind professionelle Teams mit Qualitätssicherung und Vertriebsstrukturen." In seinem Honeyblog greift er aktuelle Botforschung auf und zeigt Webseiten, auf die Internet-Nutzer gelockt werden, um Bots auf ihre PCs übertragen zu können. Holz zufolge setzen viele dieser Teams noch auf möglichst große Bot-Armeen. Doch das könnte bald ein Ende haben: Je größer so ein Netzwerk, desto leichter ist es auch zu erkennen.
Neue Kaper-Methoden - und was man dagegen unternehmen kann
Die beste Tarnung, gibt Holz zu bedenken, haben kleine, hochspezialisierte Botnets. Sie greifen mithilfe sogenannter Social-Engineering-Techniken gezielt eine Firma, eine Behörde oder einen Sprachraum an mit hoher Erfolgsquote. Solche Botnets machen sich zunutze, dass E-Mails oder Webseiten-Links scheinbar von Freunden oder Kollegen geschickt wurden. Die so gewonnenen Informationen lassen sich zielgerichtet zum Beispiel zum Passwort-Klau oder zur Betriebsspionage ausnutzen.
Auch wird es immer schwieriger, einzelne Bots überhaupt aufzuspüren. Vertrauten Botmeister früher noch auf einen zentralen Server, über den sie ihre Bots kontrollierten, tauschen sich moderne Bots über ein P2P-Netz aus es gibt also keinen zentralen Server mehr, den man einfach abschalten könnte, um so das ganze Botnet lahmzulegen.
Besonders trickreich: Die Bots verändern sich mittels Zufallsroutinen ständig selbst: Sie mutieren, können aus der Entfernung um neue Funktionen erweitert werden. Sie verändern ständig die Spuren, die sie im Netz und auf ihren Wirtsrechnern hinterlassen und sind damit immer schwieriger aufzuspüren.
Internationale Zusammenarbeit ist gefragt
Um der wachsenden Gefahr Herr zu werden, ruft das ENISA-Papier die EU-Staaten dazu auf, gemeinsam eine EU-weite Organisation zur Bekämpfung von Cyberkriminalität einzurichten. Botnets stellten zunehmend ein Problem für Wirtschaft, Handel, Staat, Industrie und Individuum dar. Die Maßnahmen gegen Botnets müssten "höchste Priorität" haben, die weltweiten Netzwerk-Strukturen seien mit "desaströsen Konsequenzen" konfrontiert.
Ein Zusammenschluss der Staaten sei wichtig. Auch wenn einzelne Länder in den Statistiken hervorstechen: Botnets sind ein globales Problem, das erst gelöst ist, wenn Bots überall bekämpft und verhindert werden.
Aber nicht nur die Staaten sind gefordert, zum Beispiel mit Awareness-Programmen auf Bots aufmerksam zu machen. Holz wirft insbesondere den deutschen Internetprovidern vor, dass sie zu wenig tun, um ihre Netze gegen die Schädlinge zu schützen. Wie in Amerika sollten sie sich über neue Bot-Funde austauschen und Provider-übergreifende Ausschlusslisten erstellen. Sie sollten ihre Kunden vor der Gefahr warnen und ihnen Anlaufstelle für Infektionsprobleme sein. Manche Internetanbieter zeigen sich indes vorbildlich, weisen ihre Kunden sogar auf eine mögliche Bot-Infektion hin - mitunter einfach dadurch, dass sie die DSL-Verbindung kappen, wenn sie einen Massenversand von Spams von einem befallenen Rechner aus feststellen.
Einfache Maßnahmen könnten helfen
Weiter liegt es aber auch an Software-Herstellern und Betriebssystem-Entwicklern, ihre Produkte sicherer zu gestalten zur Not mit privaten oder staatlichen Zuschüssen oder durch Prämien für besonders sichere Programme. Die Bot-Forscher arbeiten währenddessen an immer besseren Bot-Fallen den sogenannten Honeypots. Das Honeynet-Projekt von Thorsten Holz infiltriert gar selber Botnets.
Mit all diesen Maßnahmen kann zwar eine Eindämmung und eine Kartografie der Botgefahr gelingen. Letztlich, darauf weisen Holz und das ENISA-Papier ausdrücklich hin, führen aber die Anwender selbst die stärkste Waffen im Kampf gegen die Bots: Wer im Internet unterwegs ist, sollte sein Betriebssystem mit den neusten Updates versorgen, Sicherheitslücken schließen, eine Firewall und ein Antiviren-Programm installieren, auf einen sichereren Browser setzen (z.B. Mozilla Firefox statt Internet Explorer), Links nicht ohne weiteres anklicken und E-Mail-Anhänge von unbekannten Absendern einfach nicht öffnen. Wenn Staat, Industrie und Bürger an einem Strang ziehen, könnte die Botgefahr in wenigen Jahren auf ein Minimum eingedampft sein.
