"Der Kunde wird ermittelt, der Kunde wird gesperrt im System, der Kunde wird anschließend aus der Leitung rausgeschmissen, so dass sämtliche Internetkonnektivität des Kunden gesperrt ist, also kein weiterer Spam-Versand insbesondere geschehen kann."
So rigoros wie Dietmar Braun vom Kölner Stadtnetzbetreiber Netcologne geht wohl kein anderer Netzbetreiber mit Kunden um, die das Netz missbrauchen. Netcologne ist in der Branche bekannt dafür, mit Zombies kurzen Prozess zu machen. Zombies sind gekaperte Rechner, von denen aus Spam-E-Mails oder Viren verschickt werden, ohne dass der Besitzer etwas davon weiß. Zombie-Rechner werden auch Bots genannt, viele Bots zusammen bilden ein Botnetz. Mindestens zehn Prozent aller PCs sollen Teil eines Botnetzes sein. Solche Botnetze bestehen aus mehreren Tausend einzelnen Rechnern und werden von einem Botmaster kontrolliert. Der Botmaster kann über einen Zentralrechner die einzelnen Bots fernsteuern und sie dazu bringen, etwa Spam-Mails zu versenden. Welche Macht Botnetze haben, zeigte sich besonders am 11. November vergangenen Jahres, als ein Botnetz erfolgreich vom Internet abgekoppelt wurde.
"An diesem Tag wurde nämlich in den USA ein Internet Service Provider vom Netz genommen, der in erster Linie so genannte Command-and-Control-Server, also Steuer-Server für Botnetze zur Verfügung gestellt hat. Und als dieser ISP vom Netz genommen wurde, da brach der Spam-Verkehr weltweit ein. Das heißt die Bots konnten sozusagen nicht mehr angesteuert werden und haben aufgehört, Spam-Mails zu verschicken."
Christian Dietrich vom Institut für Internet-Sicherheit plädiert dafür, stärker Jagd auf solche Command-and-Control-Server zu machen. Doch dazu wäre ein gemeinsames Vorgehen von Strafverfolgungsbehörden und Internetprovidern nötig. Doch diese beharken sich stattdessen gegenseitig. Warum sind die Provider so bockig, wenn es um die Zusammenarbeit mit Ermittlern geht?
"Hm, ja, ob bockig da das richtige Wort ist - es könnte so sein. Es ist natürlich klar, das ist ja ein gegenseitiges Geben und Nehmen. An der einen Stelle erwartet man dann vielleicht auch im Gegenzug entsprechende Hilfe. Also wir setzen ganz klar darauf, dass wir sagen: Sprecht miteinander. Dafür gibt es unzählige Treffen im Jahr, wo genau das gefördert werden soll, dass man sich an einen Tisch setzt und unterhält, weil sonst haben glaube ich beide Seiten nichts davon."
Sagt Markus Schaffrin vom Eco-Verband der deutschen Internetwirtschaft, in dem viele Provider organisiert sind. Das Stimmungsbild auf dem Frankfurter Treffen erweckte den Anschein, dass einem großen Teil der Provider der Missbrauch ihrer Netze durch Botrechner egal ist. Andere hatten Bedenken, ihre Nutzer kurzfristig vom Netz zu trennen, weil sie dadurch oder bei der Identifizierung der Rechner mit dem Datenschutzrecht oder dem Telekommunikationsgesetz in Konflikt geraten könnten. Andere wiederum sehen ihre Hände gebunden, weil sie als Reseller auftreten und ihre Anschlüsse an andere Anbieter weiterverkaufen. Fremde Kunden will aber niemand vom Netz trennen. Nicht zuletzt reden sich Provider damit heraus, dass der Aufwand, Zombies aufzuspüren und abzuschalten sich nicht lohne. Dem widerspricht der Netcologne Administrator Dietmar Braun:
"Ja, das rechnet sich nicht, das kommt hauptsächlich von Leuten, die von der Materie an sich weniger Ahnung haben und erstmal nur das Geschäftliche sehen. Die sehen dann primär nur, dass beim Abuse-Management ein Kunde gesperrt wird und denken dann sofort, das ist geschäftsschädigend und wir verlieren dadurch Geld und wir verlieren dadurch insbesondere auch Kunden. Unsere Erfahrung zeigt genau das Gegenteil. Wir haben also sogar auch schon Kunden gehabt, die sich bei uns bedankt haben, dass wir sie gesperrt haben. Weil sie eben auch gesagt haben: Ja, das wusste ich ja gar nicht, dass meine Kreditkarten-Daten in Russland landen und ich mich dann über irgendwelche Abbuchungen wundere."
Wenn ein Privatkunde bei Netcologne gesperrt wird, dann wird sein Internetverkehr über einen Zwangs-Proxyserver umgeleitet. Eine Webseite informiert den Nutzer über die Sperrung. Normaler Internetverkehr ist nicht mehr möglich, nur das Herunterladen von Sicherheitspatches ist möglich. Erst wenn der Zombie tot ist und der Rechner wieder normal arbeitet, soll sich der gesperrte Nutzer selbst wieder frei schalten. Würden alle Provider so vorgehen, sagt Braun, könne die Zahl mit Schadsoftware verseuchter PCs in Deutschland drastisch reduziert werden.
So rigoros wie Dietmar Braun vom Kölner Stadtnetzbetreiber Netcologne geht wohl kein anderer Netzbetreiber mit Kunden um, die das Netz missbrauchen. Netcologne ist in der Branche bekannt dafür, mit Zombies kurzen Prozess zu machen. Zombies sind gekaperte Rechner, von denen aus Spam-E-Mails oder Viren verschickt werden, ohne dass der Besitzer etwas davon weiß. Zombie-Rechner werden auch Bots genannt, viele Bots zusammen bilden ein Botnetz. Mindestens zehn Prozent aller PCs sollen Teil eines Botnetzes sein. Solche Botnetze bestehen aus mehreren Tausend einzelnen Rechnern und werden von einem Botmaster kontrolliert. Der Botmaster kann über einen Zentralrechner die einzelnen Bots fernsteuern und sie dazu bringen, etwa Spam-Mails zu versenden. Welche Macht Botnetze haben, zeigte sich besonders am 11. November vergangenen Jahres, als ein Botnetz erfolgreich vom Internet abgekoppelt wurde.
"An diesem Tag wurde nämlich in den USA ein Internet Service Provider vom Netz genommen, der in erster Linie so genannte Command-and-Control-Server, also Steuer-Server für Botnetze zur Verfügung gestellt hat. Und als dieser ISP vom Netz genommen wurde, da brach der Spam-Verkehr weltweit ein. Das heißt die Bots konnten sozusagen nicht mehr angesteuert werden und haben aufgehört, Spam-Mails zu verschicken."
Christian Dietrich vom Institut für Internet-Sicherheit plädiert dafür, stärker Jagd auf solche Command-and-Control-Server zu machen. Doch dazu wäre ein gemeinsames Vorgehen von Strafverfolgungsbehörden und Internetprovidern nötig. Doch diese beharken sich stattdessen gegenseitig. Warum sind die Provider so bockig, wenn es um die Zusammenarbeit mit Ermittlern geht?
"Hm, ja, ob bockig da das richtige Wort ist - es könnte so sein. Es ist natürlich klar, das ist ja ein gegenseitiges Geben und Nehmen. An der einen Stelle erwartet man dann vielleicht auch im Gegenzug entsprechende Hilfe. Also wir setzen ganz klar darauf, dass wir sagen: Sprecht miteinander. Dafür gibt es unzählige Treffen im Jahr, wo genau das gefördert werden soll, dass man sich an einen Tisch setzt und unterhält, weil sonst haben glaube ich beide Seiten nichts davon."
Sagt Markus Schaffrin vom Eco-Verband der deutschen Internetwirtschaft, in dem viele Provider organisiert sind. Das Stimmungsbild auf dem Frankfurter Treffen erweckte den Anschein, dass einem großen Teil der Provider der Missbrauch ihrer Netze durch Botrechner egal ist. Andere hatten Bedenken, ihre Nutzer kurzfristig vom Netz zu trennen, weil sie dadurch oder bei der Identifizierung der Rechner mit dem Datenschutzrecht oder dem Telekommunikationsgesetz in Konflikt geraten könnten. Andere wiederum sehen ihre Hände gebunden, weil sie als Reseller auftreten und ihre Anschlüsse an andere Anbieter weiterverkaufen. Fremde Kunden will aber niemand vom Netz trennen. Nicht zuletzt reden sich Provider damit heraus, dass der Aufwand, Zombies aufzuspüren und abzuschalten sich nicht lohne. Dem widerspricht der Netcologne Administrator Dietmar Braun:
"Ja, das rechnet sich nicht, das kommt hauptsächlich von Leuten, die von der Materie an sich weniger Ahnung haben und erstmal nur das Geschäftliche sehen. Die sehen dann primär nur, dass beim Abuse-Management ein Kunde gesperrt wird und denken dann sofort, das ist geschäftsschädigend und wir verlieren dadurch Geld und wir verlieren dadurch insbesondere auch Kunden. Unsere Erfahrung zeigt genau das Gegenteil. Wir haben also sogar auch schon Kunden gehabt, die sich bei uns bedankt haben, dass wir sie gesperrt haben. Weil sie eben auch gesagt haben: Ja, das wusste ich ja gar nicht, dass meine Kreditkarten-Daten in Russland landen und ich mich dann über irgendwelche Abbuchungen wundere."
Wenn ein Privatkunde bei Netcologne gesperrt wird, dann wird sein Internetverkehr über einen Zwangs-Proxyserver umgeleitet. Eine Webseite informiert den Nutzer über die Sperrung. Normaler Internetverkehr ist nicht mehr möglich, nur das Herunterladen von Sicherheitspatches ist möglich. Erst wenn der Zombie tot ist und der Rechner wieder normal arbeitet, soll sich der gesperrte Nutzer selbst wieder frei schalten. Würden alle Provider so vorgehen, sagt Braun, könne die Zahl mit Schadsoftware verseuchter PCs in Deutschland drastisch reduziert werden.