Angriff der Zombie-Armee
Angeblich fing einst alles mit einer Pöbelei an: Die ersten Botnetze sollen 1993 von Nutzern von Internet Relay Chats (IRC) entwickelt worden sein, die sich nicht an die Netiquette der Chat-Kommunikation hielten. Als sie deshalb aus ihrem Chat-Kanal geschmissen wurden, dürsteten sie nach Rache und schrieben, so behaupten Theorien zur Entstehung von Botnetzen, spezielle Programme, die die IRC-Kanäle und deren Server schädigen sollten. Aus diesen Programmen sollen sich mit der Zeit die ersten Botnetze entwickelt haben: Netze, in denen mehrere Computer verknüpft und über einen Server ferngesteuert, also von außen in Besitz genommen und so zu Robotern, zu »Bots«, werden.
Ob diese Geschichte wahr ist oder nicht: Heute existieren zahlreiche Botnetze, seit 2003 verbreiten sie sich immer weiter und wachsen teils bis auf mehrere 100 000 Rechner an. Einige schaffen es immer wieder in die Schlagzeilen – außerhalb von Fachblättern werden sie dabei meist mit Krieg, Krankheit und Horror assoziiert: Diese »Viren« machen ihren PC zum »Zombie«, sie spähen ihn aus, verbinden ihn mit anderen, machen ihn zum Mitglied einer »Armee«, die Porno-Spam verschickt und Server attackiert, während ihre braven Nutzer nichts ahnend vor ihnen sitzen.
Das ruft mittlerweile auch Bundesinnenminister Wolfgang Schäuble auf den Plan, der Anfang des Jahres Botnetze als »Mittel der asymmetrischen Kriegsführung« bezeichnete. »Ein Angriff auf Rechenzentren könnte noch höhere volkswirtschaftliche Schäden entfalten als die Terroranschläge vom 11. September 2001«, warnte der Innenminister vor drohendem »Cyberkrieg«. Dabei geht es jedoch nicht nur darum, entsprechende staatliche Eingriffe zu legitimieren, indem man eine angebliche Terrorgefahr beschwört.
Denn die Formulierung des Innenministers, dass man sich nur schützen könne, »wenn man weiß, wie man die anderen angreifen kann«, gab in Kreisen des Chaos Computer Clubs zu Überlegungen Anlass, dass die Funktionsweise von Botnetzen den Staat eventuell nicht nur interessiert, um Botnetze abzuwehren, sondern dass auch die Einrichtung staatlicher Botnetze für das Innenministerium von Interesse sein könnte. Denn heutige Botnetze tun zunächst nichts anderes als das, was der so genannte Bundestrojaner im Rahmen der vom Innenministerium geplanten Online-Durchsuchung erledigen soll: Zugangspasswörter und private Daten ausspähen.
Dabei war das Ausspähen von Daten zu Beginn nicht die vorrangige Aufgabe der Botnetze. Vielmehr sollten die zum Botnetz verbundenen Computer dazu dienen, so genannte Distributed Denial of Services (DDoS)-Attacken durchzuführen. Hierbei richten viele über ein Botnetz koordinierte Rechner immer wieder Kontaktanfragen an einen ausgewählten Server, der diese Menge nicht bewältigen kann und deshalb seinen Betrieb einstellen muss. Der eigentliche Angriffsrechner bleibt dabei hinter dem von ihm zum Massenangriff genutzten Botnetz unsichtbar.
Bei den heutigen Aktivitäten der Botnetze treten DDoS-Attacken jedoch eher in den Hintergrund – private Daten, insbesondere Kreditkartennummern und Kontodaten, Bildschirmfotos und Passwörter auszuspähen, ist lukrativer als einen Server lahmzulegen. Zudem werden die versklavten Rechner häufig dazu benutzt, Spam-E-Mails zu verschicken, die häufig wiederum Webadressen enthalten. Klickt ein Empfänger diese Links an, kann darüber wiederum Schadcode auf seinen Rechner geladen werden, der diesen ebenfalls zum Teil des Botnetzes macht.
Auch durch einen Download einer Datei aus dem Internet oder aus einem Peer-to-Peer-Netzwerk kann man sich durch das Öffnen oder Installieren von veränderten Dateien und Programmen Schadcode auf den Rechner laden und ihn so zum ferngesteuerten Sklaven machen. Nach der Verhaftung eines 19jährigen in Los Angeles, der mit Hilfe eines Peer-to-Peer-Netzes 15 000 Computer unter seine Befehlsgewalt gebracht hatte, sagte Wesley L. Hsu, Chef der Cyber-Verbrechensbekämpfung in Los Angeles, dem US-Magazin Wired, dass es bei jedem Download aus dem Internet möglich sei, dass die heruntergeladene Datei Software enthält, »die dort nicht hingehört«. Da sich Botnetze zu allem verwenden lassen, was zur Tarnung von Aktivitäten dient, große Rechenleistungen erfordert oder Daten von Nutzern ausspähen soll, könnte es sich bei der Software, »die dort nicht hingehört«, auch eines Tages um Software handeln, die private Computer in ein staatlich initiiertes Botnetz-Projekt einbindet.
Ob es sich um ein staatlich-geheimdienstliches oder kriminell-privatwirtschaftlich organisiertes Botnetz handelt – man kann seinen Computer auch schon dadurch ungewollt zum Teil eines solchen Netzes machen, indem man präparierte Websites besucht, die ein Skript enthalten, das eine Sicherheitslücke im Browser ausnutzt, oder indem man fremde Datenträger nutzt oder Anhänge von E-Mails öffnet. Wenn es das darin gespeicherte Schadprogramm schafft, Firewalls und Virenscanner zu überlisten, kann es den Rechner etwa über eine Webanwendung bei Proxys melden, die ebenfalls ferngesteuerte Rechner sind, und auf Anweisungen warten. Diese Proxys etablieren zwischen befallenem Rechner und dem Befehlsgeber eine Art Zwischenschicht, so dass der eigentliche Hauptrechner, der die Anweisungen gibt, schwerer zu identifizieren ist. Sobald sich das Programm auf dem PC beim Proxy meldet, lädt es Anweisungen nach. Wenn alles läuft wie geplant, bekommt der Besitzer des Rechners von all dem nichts mit.
Bei Botnetzen gewöhnlicher Krimineller werden die über das Netz gewonnenen Daten verkauft, genauso wie die Infrastruktur: Die Autoren von Spam-Mails sind nicht identisch mit den Betreibern der Botnetze. Diesen bringt das Vermieten ihres Netzes Geld, den Spam-Urhebern bietet es eine günstige Verbreitungsplattform. Aber Botnetzbetreiber können auch durch Erpressung Geld verdienen, indem sie anderen drohen, ihre Server mit DDoS-Attacken anzugreifen. Da klar ist, dass diese Server zusammenbrechen werden, wenn alle im Botnetz versammelten Zombies auf sie zugreifen, wird in der Regel gezahlt.
Wie viele ferngesteuerte Rechner für solche Attacken jeweils zur Verfügung stehen, ist unklar. Nach einer im vergangenen Jahr veröffentlichten Studie des Antivirus-Herstellers Kaspersky Lab ist derzeit jeder zehnte PC Teil eines Botnetzes. Damit dürften Botnetze eine der größten illegalen Einnahmequellen im Internet sein. Das Sicherheitsunternehmen Finjan hat nach eigenen Angaben in diesem Jahr ein aus 1,9 Millionen Computern bestehendes Botnetz entdeckt, in das auch viele Rechner von Behörden, Unternehmen und öffentlichen Einrichtungen eingebunden sind. Dieses Botnetz wird vermutlich von nur sechs Personen betrieben. Die Rechner wurden offenbar hauptsächlich durch Lücken im Internet Explorer, zum Teil aber auch durch verwundbare Firefox-Browser infiziert.
Noch größer war vermutlich das Botnetz, das über den Computerwurm Conficker aufgebaut wurde, von dem mindestens drei Millionen Rechner betroffen gewesen sein sollen. Hersteller für Sicherheitssoftware schätzten, nicht ganz ohne Eigeninteresse, dass zehn bis elf Millionen Rechner betroffen sind. Zdnet zufolge fand im Monat Mai dieses Jahres der »Botmeter« der Firma Ciphertrust täglich über 170 000 neu infizierte Computer. Das sind nicht gerade wenig.
Wer bis hier schmunzelnd dachte, das eigene Linux- oder Mac OsX-Betriebssystem sei sicher, da nur Nutzer von Microsoft Windows durch Botnetze gefährdet seien, irrt. Auch wenn die meisten derzeit befallenen Betriebssysteme schlecht gesicherte Windows-Systeme sind, haben im Frühjahr Experten vom Sicherheitsanbieter Symantec einem Bericht des Virus Bulletin zufolge Anzeichen für ein Botnetz auf Basis von Mac-Computern gefunden. Im März 2009 berichtete der Betreiber der Website Drone BL, der Schädling mit dem Namen Psybot habe rund 100 000 Router unter Kontrolle gebracht und zu einem Bot-Netz zusammengeschlossen. Auf diesen Routern war ein Linux-System installiert.
Egal welches Betriebssystem man also hat, stellt sich die Frage, wie sich die Übernahme des eigenen Rechners durch andere verhindern lässt. Denn vermutlich will man seine privaten Daten und Passwörter weder dem Staat noch dem Datenmarkt preisgeben. Auf Sicherheitsfirmen und Ermittlungsbehörden ist kein Verlass, sie kommen mit der Bekämpfung von Botnetzen bisher nicht recht weiter. Demnach haben Botnetze eine recht lange Lebenszeit: Das Botnetz Torpig gibt es schon seit 2006.
Um herauszufinden, wie die Botnetze technisch funktionieren, haben verschiedene Gruppen versucht, einige Zeit Herr eines Botnetzes zu werden. Ein Team der Universität Santa Barbara hat zehn Tage lang das Botnetz »Torpig« übernommen. In ihrem im Mai dieses Jahres veröffentlichten Bericht ist nachzulesen, wie sich das Botnetz erweitert und wohin die gestohlenen Daten geschickt wurden. Die für die Nutzer wichtigste Erkenntnis des Teams war, dass »die meisten Opfer von Botnetzen Nutzer von schlecht gepflegten Maschinen« seien, die »leicht erratbare Passwörter« nutzten. »Dies ist ein Hinweis darauf, dass das Problem der Schadsoftware vor allem ein kulturelles Problem ist«, so der Bericht.
Insofern empfiehlt es sich, auf seinen PC möglichst immer alle Sicherheitsupdates einzuspielen. Dann können immerhin nicht die bekannten Sicherheitslücken ausgenutzt werden. Wenn der eigene Rechner dagegen bereits befallen ist, hilft häufig nur eins: das Betriebssystem neu zu installieren. Denn Virenscanner können nicht alle schädlichen Bestandteile entfernen, da der Schädling sich häufig tief eingegraben hat und das halbe System manipuliert.
Für die umfassendere Bekämpfung von Botnetzen gibt es inzwischen Überlegungen, ein Gegenbotnetz, ein »gutes« Botnetz, aufzubauen. Forschern der University of Washington zufolge soll dann das gute Botnetz das böse Botnetz mit eigenen Waffen schlagen und etwa DDoS-Attacken böser Botnetze mit vereinten Kräften abwehren. Sollte die Idee eines guten Botnetzes, das sich über BitTorrent verbreiten soll, wirklich realisiert werden, prüfe dennoch, wer sich an es bindet: Wer weiß, was das »gute« Botnetz genau tut? Ob es sich etwa wie der »gute« Trojaner des Bundes einsetzen ließe?