Manfred Kloiber: Maximilian Schönherr im Interview mit José Fernandez von der Polytechnischen Hochschule Montréal. Herr Schönherr, das Testlabor des größten deutschen Virenschutzherstellers verzeichnete am Donnerstag Morgen den 50 Millionsten Virus in seiner Datenbank. Wie ist eigentlich das Verhältnis zwischen Virus und Bots?
Maximilian Schönherr: Eigentlich sind es ähnliche Partner. Der Bot ist als ferngesteuerter Computervirus definiert, also ein Virus, der nur auf Zuruf agiert. Das ist die heute weit verbreiteste Virensorte. Und wenn ein nagelneuer Virus über eine Sicherheitslücke, zum Beispiel im Arcrobat Reader, in den Rechner hinein gelangt, besteht sein Job in der Regel einzig und allein darin, einen Bot, vermutlich ein älteres Modell, auf dem Computer auszusetzen, der dann rasch mit seiner Zentrale Kontakt aufnimmt und sich wieder ruhig verhält.
Kloiber: Reden wir mal über den Sinn und Zweck von Botnetzen. Was ist der Zweck?
Schönherr: Also die Bots in einem Netz sind datenmäßig sehr klein, typischer Weise zwischen 10 und 100 Kilobyte. Da man nicht sehr viel reinprogrammieren. Deswegen können sie als Einzelkämpfer auch gar nicht viel tun. Passwörter auf dem Wirts-PC ausspähen und dann nach Hause melden ist eine gängige Anwendung. Damit lassen sich dann Man-in-the Middle-Angriffe beim Online-Banking lancieren, wo sich ein unsichtbarer Virus zwischen den Anwender und das Rechenzentrum der Bank stellt Die drastischste Aktion von Botnetzen ist der verteilte Ablehungs-Angriff, der DDoS, wo Tausende von Bots zugleich auf eine Webseite hinsurfen, sodass diese unter der Last der Anfragen zusammenbricht. In diesem verbrecherischen Geschäftsmodell stecken viele Potenziale, unter anderem das der Erpressung. Und hier habe ich einen Preis Erfahren: Für 200 Euro kann man heute ein Botnetz mieten, um die Webseite der Konkurrenz nachhaltig auszuschalten.
Kloiber: Gucken wir mal auf die Bekämpfung von Botnetzen. Ist man beim Kampf gegen Botnetze noch im Stadium von akademischen Sandkastenspielen und gelegentlichen Freilandversuchen oder ist man da schon drüber hinaus?
Schönherr: Das ganze Thema ist sehr hoch angesiedelt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Botnetzbekämpfung ganz oben in seine Agenda gesetzt. Dort arbeitet man vor allem mit den Herstellern von Antiviren-Software zusammen. Deren Hauptgeschäft besteht aber natürlich darin in einer ganz anderen Sache, nämlich den PC des einzelnen Anwenders vor neuen Viren zu schützen, also vor neuen Eindringligen, denen zu sagen: Hier kommst du nicht mehr rein. Das ist etwas ganz anderes, als aktiv in die Struktur von bestehenden Botnetzen einzugreifen. Da gehen die Amerikaner mit FBI-Unterstützung beherzter heran als europäische Strafverfolgungsbehörden. Typisches Verhalten, so hat mir der britische Informatiker Ross Anderson mal gesagt, ist: Mich treffen in sagen wir mal London ja nur 10 Prozent der Bot-Attacken, 70 Prozent treffen die USA, also sollen die sich gefälligst drum kümmern. Und bei uns ist das rechtlich schwer zu lösen. Die Forschung darf auf dem Gebiet nur sehr eingeschränkt tätig werden, denn wenn man sich an den mafia-ähnlichen Aktionen eines Botnetzes beteiligt, indem man zum Beispiel seine eigenen Bots einfach so reintut, macht man sich strafbar. Der Botnetz-Spezialist Thorsten Holz an der Ruhr-Universität Bochum stellt, wie einige andere Gruppen auch, Honeypots auf, also speziell für den Virenbefall vorbereitete Rechner, sammeln die Bots ein und analysieren sie vorsichtig, ohne dass der Versender misstrauisch wird. Was tut dann der Bot mit der Registry des Betriebssystems, wann funkt es über welchen Port wohin? Wann erhält er Befehle von außen, dieser Bot? Und möchte am liebsten einen Staubsauger für all die schlafenden Tierchen entwickeln, der alles wegsaugt. Das würden die am liebsten tun und das dürfen sie natürlich auch, solange sie sich eben nicht an einem Botnetz aktiv beteiligen.
Kloiber: Die Botnetze entwickeln sich natürlich auch weiter. Die kriminellen arbeiten auch daran, diese Dinger zukunftssicher zu machen, wenn man das so sagen kann. Wie sieht denn die Zukunft der Botnetze überhaupt aus?
Schönherr: Alle Spezialisten, mit denen ich sprach, haben sich gewundert. Denn sie bewundern die Botnetze, die auf P2P-Verbindungen aufsetzen. Das sind ähnliche Protokolle wie die Tauschbörsen. Die zuletzt bekannten Exemplare dieser Art waren Storm und Waledac. José Fernandez zum Beispiel versucht, diese, und nur diese, mit Sybil-Angriffen einzudämmen, aber ab einer gewissen Netzgröße geht das nicht mehr. Es wundert alle, warum die Cyberkriminellen heute wieder auf viel leichter zu enttarnende, zentralisierte Botnetze zurückgefallen sind. Vielleicht machen die Programmierer eine Pause, so Fernandez, denn alle zwei, drei Jahre müssen sich sowieso wieder eine völlig neue Technik einfallen lassen.
Maximilian Schönherr: Eigentlich sind es ähnliche Partner. Der Bot ist als ferngesteuerter Computervirus definiert, also ein Virus, der nur auf Zuruf agiert. Das ist die heute weit verbreiteste Virensorte. Und wenn ein nagelneuer Virus über eine Sicherheitslücke, zum Beispiel im Arcrobat Reader, in den Rechner hinein gelangt, besteht sein Job in der Regel einzig und allein darin, einen Bot, vermutlich ein älteres Modell, auf dem Computer auszusetzen, der dann rasch mit seiner Zentrale Kontakt aufnimmt und sich wieder ruhig verhält.
Kloiber: Reden wir mal über den Sinn und Zweck von Botnetzen. Was ist der Zweck?
Schönherr: Also die Bots in einem Netz sind datenmäßig sehr klein, typischer Weise zwischen 10 und 100 Kilobyte. Da man nicht sehr viel reinprogrammieren. Deswegen können sie als Einzelkämpfer auch gar nicht viel tun. Passwörter auf dem Wirts-PC ausspähen und dann nach Hause melden ist eine gängige Anwendung. Damit lassen sich dann Man-in-the Middle-Angriffe beim Online-Banking lancieren, wo sich ein unsichtbarer Virus zwischen den Anwender und das Rechenzentrum der Bank stellt Die drastischste Aktion von Botnetzen ist der verteilte Ablehungs-Angriff, der DDoS, wo Tausende von Bots zugleich auf eine Webseite hinsurfen, sodass diese unter der Last der Anfragen zusammenbricht. In diesem verbrecherischen Geschäftsmodell stecken viele Potenziale, unter anderem das der Erpressung. Und hier habe ich einen Preis Erfahren: Für 200 Euro kann man heute ein Botnetz mieten, um die Webseite der Konkurrenz nachhaltig auszuschalten.
Kloiber: Gucken wir mal auf die Bekämpfung von Botnetzen. Ist man beim Kampf gegen Botnetze noch im Stadium von akademischen Sandkastenspielen und gelegentlichen Freilandversuchen oder ist man da schon drüber hinaus?
Schönherr: Das ganze Thema ist sehr hoch angesiedelt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Botnetzbekämpfung ganz oben in seine Agenda gesetzt. Dort arbeitet man vor allem mit den Herstellern von Antiviren-Software zusammen. Deren Hauptgeschäft besteht aber natürlich darin in einer ganz anderen Sache, nämlich den PC des einzelnen Anwenders vor neuen Viren zu schützen, also vor neuen Eindringligen, denen zu sagen: Hier kommst du nicht mehr rein. Das ist etwas ganz anderes, als aktiv in die Struktur von bestehenden Botnetzen einzugreifen. Da gehen die Amerikaner mit FBI-Unterstützung beherzter heran als europäische Strafverfolgungsbehörden. Typisches Verhalten, so hat mir der britische Informatiker Ross Anderson mal gesagt, ist: Mich treffen in sagen wir mal London ja nur 10 Prozent der Bot-Attacken, 70 Prozent treffen die USA, also sollen die sich gefälligst drum kümmern. Und bei uns ist das rechtlich schwer zu lösen. Die Forschung darf auf dem Gebiet nur sehr eingeschränkt tätig werden, denn wenn man sich an den mafia-ähnlichen Aktionen eines Botnetzes beteiligt, indem man zum Beispiel seine eigenen Bots einfach so reintut, macht man sich strafbar. Der Botnetz-Spezialist Thorsten Holz an der Ruhr-Universität Bochum stellt, wie einige andere Gruppen auch, Honeypots auf, also speziell für den Virenbefall vorbereitete Rechner, sammeln die Bots ein und analysieren sie vorsichtig, ohne dass der Versender misstrauisch wird. Was tut dann der Bot mit der Registry des Betriebssystems, wann funkt es über welchen Port wohin? Wann erhält er Befehle von außen, dieser Bot? Und möchte am liebsten einen Staubsauger für all die schlafenden Tierchen entwickeln, der alles wegsaugt. Das würden die am liebsten tun und das dürfen sie natürlich auch, solange sie sich eben nicht an einem Botnetz aktiv beteiligen.
Kloiber: Die Botnetze entwickeln sich natürlich auch weiter. Die kriminellen arbeiten auch daran, diese Dinger zukunftssicher zu machen, wenn man das so sagen kann. Wie sieht denn die Zukunft der Botnetze überhaupt aus?
Schönherr: Alle Spezialisten, mit denen ich sprach, haben sich gewundert. Denn sie bewundern die Botnetze, die auf P2P-Verbindungen aufsetzen. Das sind ähnliche Protokolle wie die Tauschbörsen. Die zuletzt bekannten Exemplare dieser Art waren Storm und Waledac. José Fernandez zum Beispiel versucht, diese, und nur diese, mit Sybil-Angriffen einzudämmen, aber ab einer gewissen Netzgröße geht das nicht mehr. Es wundert alle, warum die Cyberkriminellen heute wieder auf viel leichter zu enttarnende, zentralisierte Botnetze zurückgefallen sind. Vielleicht machen die Programmierer eine Pause, so Fernandez, denn alle zwei, drei Jahre müssen sich sowieso wieder eine völlig neue Technik einfallen lassen.