Was sind Botnetze?

Angriff der Zombie-Armee

Botnetze schließen Tausende Rechner unbedarfter Bürger zusammen, um mit ihnen Server lahmzulegen, Passwörter und Kontodaten auszuspähen und Spam zu verschicken. Mittlerweile warnt auch der In­nen­minister vor Botnetzen. Dabei wären sie auch für seine Zwecke einsetzbar.

Angeblich fing einst alles mit einer Pöbelei an: Die ersten Botnetze sollen 1993 von Nutzern von Internet Relay Chats (IRC) entwickelt worden sein, die sich nicht an die Netiquette der Chat-Kom­munikation hielten. Als sie deshalb aus ihrem Chat-Kanal geschmissen wurden, dürsteten sie nach Rache und schrieben, so behaupten Theorien zur Entstehung von Botnetzen, spezielle Programme, die die IRC-Kanäle und deren Server schädigen sollten. Aus diesen Programmen sollen sich mit der Zeit die ersten Botnetze entwickelt haben: Netze, in denen mehrere Computer verknüpft und über einen Server ferngesteuert, also von außen in Besitz genommen und so zu Robotern, zu »Bots«, werden.
Ob diese Geschichte wahr ist oder nicht: Heute existieren zahlreiche Botnetze, seit 2003 verbreiten sie sich immer weiter und wachsen teils bis auf mehrere 100 000 Rechner an. Einige schaf­fen es immer wieder in die Schlagzeilen – außerhalb von Fachblättern werden sie dabei meist mit Krieg, Krankheit und Horror assoziiert: Diese »Viren« machen ihren PC zum »Zombie«, sie spähen ihn aus, verbinden ihn mit anderen, machen ihn zum Mitglied einer »Armee«, die Porno-Spam verschickt und Server attackiert, während ihre braven Nutzer nichts ahnend vor ihnen sitzen.

Das ruft mittlerweile auch Bundesinnenminister Wolfgang Schäuble auf den Plan, der Anfang des Jahres Botnetze als »Mittel der asymmetrischen Kriegsführung« bezeichnete. »Ein Angriff auf Rechenzentren könnte noch höhere volks­wirt­schaft­liche Schäden entfalten als die Terroranschläge vom 11. September 2001«, warnte der Innenminister vor drohendem »Cyberkrieg«. Dabei geht es jedoch nicht nur darum, entsprechende staatliche Eingriffe zu legitimieren, indem man eine angebliche Terrorgefahr beschwört.
Denn die Formulierung des Innenministers, dass man sich nur schützen könne, »wenn man weiß, wie man die anderen angreifen kann«, gab in Kreisen des Chaos Computer Clubs zu Überlegungen Anlass, dass die Funktionsweise von Botnetzen den Staat eventuell nicht nur interessiert, um Botnetze abzuwehren, sondern dass auch die Einrichtung staatlicher Botnetze für das Innenministerium von Interesse sein könnte. Denn heutige Botnetze tun zunächst nichts anderes als das, was der so genannte Bundestrojaner im Rahmen der vom Innenministerium geplanten Online-Durchsuchung erledigen soll: Zugangspass­wörter und private Daten ausspähen.
Dabei war das Ausspähen von Daten zu Beginn nicht die vorrangige Aufgabe der Botnetze. Vielmehr sollten die zum Botnetz verbundenen Com­puter dazu dienen, so genannte Distributed Denial of Services (DDoS)-Attacken durchzuführen. Hierbei richten viele über ein Botnetz koordinierte Rechner immer wieder Kontaktanfragen an einen ausgewählten Server, der diese Menge nicht bewältigen kann und deshalb seinen Betrieb einstel­len muss. Der eigentliche Angriffsrechner bleibt dabei hinter dem von ihm zum Massenangriff ge­nutzten Botnetz unsichtbar.
Bei den heutigen Aktivitäten der Botnetze treten DDoS-Attacken jedoch eher in den Hintergrund – private Daten, insbesondere Kreditkarten­nummern und Kontodaten, Bildschirmfotos und Passwörter auszuspähen, ist lukrativer als einen Server lahmzulegen. Zudem werden die versklavten Rechner häufig dazu benutzt, Spam-E-Mails zu verschicken, die häufig wiederum Webadressen enthalten. Klickt ein Empfänger diese Links an, kann darüber wiederum Schadcode auf seinen Rech­ner geladen werden, der diesen ebenfalls zum Teil des Botnetzes macht.
Auch durch einen Download einer Datei aus dem Internet oder aus einem Peer-to-Peer-Netzwerk kann man sich durch das Öffnen oder Installieren von veränderten Dateien und Programmen Schadcode auf den Rechner laden und ihn so zum ferngesteuerten Sklaven machen. Nach der Verhaftung eines 19jährigen in Los Angeles, der mit Hilfe eines Peer-to-Peer-Netzes 15 000 Compu­ter unter seine Befehlsgewalt gebracht hatte, sagte Wesley L. Hsu, Chef der Cyber-Verbrechensbekämpfung in Los Angeles, dem US-Magazin Wired, dass es bei jedem Download aus dem Inter­net möglich sei, dass die heruntergeladene Datei Software enthält, »die dort nicht hingehört«. Da sich Botnetze zu allem verwenden lassen, was zur Tarnung von Aktivitäten dient, große Rechen­leistungen erfordert oder Daten von Nutzern ausspähen soll, könnte es sich bei der Software, »die dort nicht hingehört«, auch eines Tages um Software handeln, die private Computer in ein staatlich initiiertes Botnetz-Projekt einbindet.

Ob es sich um ein staatlich-geheimdienstliches oder kriminell-privatwirtschaftlich organisiertes Botnetz handelt – man kann seinen Computer auch schon dadurch ungewollt zum Teil eines sol­chen Netzes machen, indem man präparierte Websites besucht, die ein Skript enthalten, das ei­ne Sicherheitslücke im Browser ausnutzt, oder indem man fremde Datenträger nutzt oder Anhän­ge von E-Mails öffnet. Wenn es das darin gespeicherte Schadprogramm schafft, Firewalls und Virenscanner zu überlisten, kann es den Rechner etwa über eine Webanwendung bei Proxys melden, die ebenfalls ferngesteuerte Rechner sind, und auf Anweisungen warten. Diese Proxys etablieren zwischen befallenem Rechner und dem Befehlsgeber eine Art Zwischenschicht, so dass der eigent­liche Hauptrechner, der die Anweisungen gibt, schwerer zu identifizieren ist. Sobald sich das Pro­gramm auf dem PC beim Proxy meldet, lädt es Anweisungen nach. Wenn alles läuft wie geplant, bekommt der Besitzer des Rechners von all dem nichts mit.
Bei Botnetzen gewöhnlicher Krimineller werden die über das Netz gewonnenen Daten verkauft, genauso wie die Infrastruktur: Die Autoren von Spam-Mails sind nicht identisch mit den Betreibern der Botnetze. Diesen bringt das Vermieten ihres Netzes Geld, den Spam-Urhebern bietet es eine günstige Verbreitungsplattform. Aber Botnetzbetreiber können auch durch Erpressung Geld verdienen, indem sie anderen drohen, ihre Server mit DDoS-Attacken anzugreifen. Da klar ist, dass diese Server zusammenbrechen werden, wenn alle im Botnetz versammelten Zombies auf sie zugreifen, wird in der Regel gezahlt.
Wie viele ferngesteuerte Rechner für solche Attacken jeweils zur Verfügung stehen, ist unklar. Nach einer im vergangenen Jahr veröffentlichten Studie des Antivirus-Herstellers Kaspersky Lab ist derzeit jeder zehnte PC Teil eines Botnetzes. Da­mit dürften Botnetze eine der größten illegalen Einnahmequellen im Internet sein. Das Sicherheitsunternehmen Finjan hat nach eigenen Angaben in diesem Jahr ein aus 1,9 Millionen Computern bestehendes Botnetz entdeckt, in das auch viele Rechner von Behörden, Unternehmen und öffentlichen Einrichtungen eingebunden sind. Die­ses Botnetz wird vermutlich von nur sechs Personen betrieben. Die Rechner wurden offenbar hauptsächlich durch Lücken im Internet Explorer, zum Teil aber auch durch verwundbare Firefox-Browser infiziert.

Noch größer war vermutlich das Botnetz, das über den Computerwurm Conficker aufgebaut wur­de, von dem mindestens drei Millionen Rechner betroffen gewesen sein sollen. Hersteller für Sicher­heitssoftware schätzten, nicht ganz ohne Eigeninteresse, dass zehn bis elf Millionen Rechner betroffen sind. Zdnet zufolge fand im Monat Mai dieses Jahres der »Botmeter« der Firma Ciphertrust täglich über 170 000 neu infizierte Computer. Das sind nicht gerade wenig.
Wer bis hier schmunzelnd dachte, das eigene Linux- oder Mac OsX-Betriebssystem sei sicher, da nur Nutzer von Microsoft Windows durch Botnetze gefährdet seien, irrt. Auch wenn die meisten derzeit befallenen Betriebssysteme schlecht gesicherte Windows-Systeme sind, haben im Frühjahr Experten vom Sicherheitsanbieter Sy­man­tec einem Bericht des Virus Bulletin zufolge Anzeichen für ein Botnetz auf Basis von Mac-Computern gefunden. Im März 2009 berichtete der Betreiber der Website Drone BL, der Schädling mit dem Namen Psybot habe rund 100 000 Router unter Kontrolle gebracht und zu einem Bot-Netz zusammengeschlossen. Auf diesen Routern war ein Linux-System installiert.

Egal welches Betriebssystem man also hat, stellt sich die Frage, wie sich die Übernahme des eigenen Rechners durch andere verhindern lässt. Denn vermutlich will man seine privaten Daten und Passwörter weder dem Staat noch dem Datenmarkt preisgeben. Auf Sicherheitsfirmen und Ermittlungsbehörden ist kein Verlass, sie kommen mit der Bekämpfung von Botnetzen bisher nicht recht weiter. Demnach haben Botnetze eine recht lange Lebenszeit: Das Botnetz Torpig gibt es schon seit 2006.
Um herauszufinden, wie die Botnetze technisch funktionieren, haben verschiedene Gruppen versucht, einige Zeit Herr eines Botnetzes zu werden. Ein Team der Universität Santa Barbara hat zehn Tage lang das Botnetz »Torpig« übernom­men. In ihrem im Mai dieses Jahres veröffentlichten Bericht ist nachzulesen, wie sich das Botnetz erweitert und wohin die gestohlenen Daten geschickt wurden. Die für die Nutzer wichtigste Erkenntnis des Teams war, dass »die meisten Opfer von Botnetzen Nutzer von schlecht gepfleg­ten Maschinen« seien, die »leicht erratbare Passwörter« nutzten. »Dies ist ein Hinweis darauf, dass das Problem der Schadsoftware vor allem ein kulturelles Problem ist«, so der Bericht.
Insofern empfiehlt es sich, auf seinen PC möglichst immer alle Sicherheitsupdates einzuspielen. Dann können immerhin nicht die bekannten Sicherheitslücken ausgenutzt werden. Wenn der eigene Rechner dagegen bereits befallen ist, hilft häufig nur eins: das Betriebssystem neu zu installieren. Denn Virenscanner können nicht alle schädlichen Bestandteile entfernen, da der Schäd­ling sich häufig tief eingegraben hat und das halbe System manipuliert.
Für die umfassendere Bekämpfung von Botnetzen gibt es inzwischen Überlegungen, ein Gegenbotnetz, ein »gutes« Botnetz, aufzubauen. Forschern der University of Washington zufolge soll dann das gute Botnetz das böse Botnetz mit eigenen Waffen schlagen und etwa DDoS-Attacken böser Botnetze mit vereinten Kräften abwehren. Sollte die Idee eines guten Botnetzes, das sich über BitTorrent verbreiten soll, wirklich realisiert werden, prüfe dennoch, wer sich an es bindet: Wer weiß, was das »gute« Botnetz genau tut? Ob es sich etwa wie der »gute« Trojaner des Bundes einsetzen ließe?