Ferngesteuerte Computer

Erst kürzlich unternahm die Sicherheitsfirma Symantec auf der eigenen Website eine Umfrage zum Thema Schädlinge und Gefahren im Internet. Dabei wurden 1 000 Personen zum Begriff und Thema Bot oder Botnetz befragt. Als Ergebnis gaben insgesamt 62,4 Prozent der Befragten an, noch nie etwas davon gehört zu haben. Dabei sind Botnetze (engl.: Botnet) ein weit verbreitetes Phänomen und nicht immer ungefährlich. Erst in den letzten Tagen nahm das FBI drei Betreiber von Botnetzen fest. Ermöglicht wird das vermehrte Auftreten der Botnets vor allem durch die flächendeckende Verbreitung von Breitband-Internetanschlüssen, bei denen der Nutzer üblicherweise die meiste Zeit online ist.

Wie wird mein PC zum "Zombie"?

Der Begriff Bot leitet sich von dem Wort Roboter (tschechisch "robota"=Arbeit) ab und bezeichnet im Zusammenhang mit Computern ein Programm, welches selbstständig und ohne menschliches Zutun Tätigkeiten verrichten kann.

Bots lassen sich in so genannte "gutartige" und "bösartige" Bots unterscheiden. Gutartige Bots sind beispielsweise Webcrawler, die systematisch Websites absuchen und meist von Suchmaschinen eingesetzt werden. Sie dienen dem besseren Auffinden des Inhalts der durchsuchten Seiten und halten sich an das Robot Exclusion Standard Protokoll. Dieses ermöglicht dem Betreiber der Seite, bestimmte Bereiche seiner Internetpräsenz vor dem Zugriff des Suchprogramms zu sperren. Das Protokoll ist aber nicht bindend und somit auf die "guten" Absichten des Bots angewiesen. Bösartige Bots halten sich nicht an den Robot Exclusion Standard. Sie verfolgen andere, weniger harmlose Ziele.

Ein solcher Schädling hat sich schnell auf dem eigenen Rechner eingenistet. Die Gefahr besteht, sobald eine Verbindung zum Internet hergestellt wird. Oft finden schon nach wenigen Sekunden erste Angriffe auf den PC statt. Ist der Rechner dann erst einmal infiziert, kann er Kontakt mit anderen befallenen Rechnern aufnehmen. Der Zusammenschluss mehrerer befallener Rechner wird als Botnetz bezeichnet.

Die Bots kommunizieren über einen so genannten Internet Relay Chat Kanal (IRC-Channel). IRC ist ein weit verbreitetes Chatsystem. Es ermöglicht normalerweise beliebig vielen Teilnehmen miteinander zu chatten, indem diese sich einem solchen IRC-Channel anschließen oder selbst einen eröffnen. Koordiniert wird der Chat über einen zentralen IRC-Server. Auch Bots eröffnen einen solchen Channel und warten auf Anweisungen vom Bot-Herder, dem "Besitzer" des Netzes. Die gekaperten PCs können somit über den zentralen Server ferngesteuert werden. Deshalb werden diese, in Anlehnung an die willenlosen Arbeitssklaven aus der afrikanischen Voodoo-Religion, auch als Zombies bezeichnet.

Wie bereits erwähnt, werden solche Netzwerke über einen zentralen IRC-Server gesteuert. Doch treten in letzter Zeit auch vermehrt Bots auf, die dezentrale Strukturen benutzen. Die verwendete Peer-to-Peer-Technologie (P2P), die auch bei Tauschbörsen wie KaZaA und eMule zum Einsatz kommt, ermöglicht eine direkte Kommunikation von Rechner zu Rechner ohne auf einen zentralen Server angewiesen zu sein. So analysierte das Internet Storm Center (ISC) bereits vor einem Jahr einen solchen Bot. Die Gefahr, die von dezentralen Botnetzen ausgeht, ist ungleich höher als bei den zentral gesteuerten Varianten. Letztere lassen sich noch recht einfach lahm legen, indem der IRC-Server aufgespürt und aus dem Netz genommen wird. Die einzelnen "Zombies" bleiben zwar immer noch infiziert, können aber nicht mehr vom Bot-Herder angesprochen werden. P2P-Botnetze dürften sich dagegen strukturbedingt nicht so einfach zerstören lassen. Sie werden wohl in Zukunft ein großes Problem für das Internet darstellen, denn Botnetze verursachen einen nicht unerheblichen Netzwerkverkehr.

Welchen Zweck haben solche Netzwerke?

Botnetze können vielfältig genutzt werden. Die ursprüngliche Verwendung besteht darin, groß angelegte Angriffe, so genannte Distributed Denial of Service (DDoS) Attacken auf bestimmte Server zu unternehmen. Ziel ist es hierbei, bestimmte Websites durch Überlastung lahm zu legen. Der Bot-Herder gibt dabei seinen Zombies den Befehl, Anfragen an bestimmte Seiten zu schicken. Besteht das Botnetz aus vielen tausend Rechnern, die alle über einen Breitbandanschluss verfügen, werden so in kurzer Zeit riesige Datenmengen an das Zielobjekt versandt. Die Flut der Anfragen kann auch große Server in die Knie zwingen und zu einem Ausfall führen. Ein solcher Angriff fand beispielsweise im Februar 2000 auf Yahoo, eBay und Amazon statt. Der daraus resultierende Schaden belief sich auf geschätzte 1,2 Milliarden US-Dollar. Einen anderen, eher politisch motivierten Angriff, gab es Ende April 2007 in Estland. Im Streit um die Verlegung eines Weltkriegsdenkmals aus dem Stadtzentrum von Tallin in einen Außenbezirk erfolgten mehrere Angriffswellen auf Regierungs- und Wirtschaftsseiten des Landes und sorgten für eine tagelange Lahmlegung des estnischen Internets. Eine russische Beteiligung scheint dabei nicht ausgeschlossen.

Ständig kommen neue Anwendungsmöglichkeiten für Botnetze hinzu. So werden sie von Cyberkriminellen dazu benutzt, illegale Massenspam-Mails zu versenden. Findige Hacker, die Kontrolle über ein großes Botnetz mit tausenden Rechnern haben, können mit dessen Verleih an Spam-Versender viel Geld verdienen. Desweiteren können Botnetze zum Ausspionieren von Passwörtern und Registrierungsschlüsseln, zum Verbreiten von Kinderpornografie und zur Erpressung verwendet werden. Ahnungslose PC-Nutzer werden so, ohne es zu wissen, zu Helfern krimineller Machenschaften. Nicht jeder Bot kann aber all diese Aufgaben erfüllen. Daher sind die meisten Bots auf bestimmte Tätigkeiten spezialisiert.

Die Schätzungen von Experten über die aktuelle Verbreitung solcher Netze gehen weit auseinander. Symantec nennt Zahlen von rund sieben Prozent der weltweiten PCs. Vint Cerf, der als "Vater des Internet" gilt, ist der Meinung, dass bereits ein Viertel der Computer mit Internetzugang Teil eines Botnetzes seien. Dies stelle eine arge Bedrohung für die Infrastruktur des Internets dar. Trotzdem arbeite derzeit das Internet seiner Einschätzung nach noch stabil weiter.

Intelligente Meister der Tarnung

Meist ist es schwierig zu erkennen, ob der eigene Rechner Teil eines Botnetzes ist. Der Schädling verhält sich sehr unauffällig und agiert im Hintergrund. Er verursacht auch, im Gegensatz zu vielen anderen Viren, keinen Schaden auf dem System. Das ist durchaus so gewollt, denn der Zombie soll dem Bot-Herder so lang wie möglich zur Verfügung stehen. So versagen auch die meisten Virenscanner beim Versuch Bots aufzuspüren, da sich diese zumeist als wichtige Systemprozesse tarnen.

Weiterhin kommt erschwerend hinzu, dass dank schneller Breitbandanschlüsse, oft keine merklichen Geschwindigkeitseinbußen beim Surfen im Internet auftreten. So ist es durchaus möglich, dass völlig unbemerkt im Hintergrund unzählige Spam-Mails versandt werden und der Nutzer es noch nicht einmal mitbekommt. Sollte es aber des Öfteren und unabhängig von den besuchten Seiten zu starken Geschwindigkeitseinbrüchen kommen, kann mit hoher Wahrscheinlichkeit davon ausgegangen werden, dass der eigene Rechner infiziert ist.

Ein einfaches und für Laien taugliches Verfahren zum Erkennen und Beseitigen des Problems vom eigenen PC gibt es derweil aber noch nicht. Bisher scheint die einzige Möglichkeit zu sein, dass der IRC-Server von Spezialisten aufgespürt und aus dem Verkehr gezogen wird. Erst letzte Woche teilte das FBI mit, im Zuge ihrer Operation "Bot Roast" drei große Botnetz-Betreiber verhaftet zu haben. Die aus den Ermittlungen gewonnenen Informationen ermöglichten es, die befallenen Rechner zu identifizieren. Derzeit sollen rund eine Million ahnungslose Opfer eine Mitteilung bekommen, in der steht, dass sie ihre Rechner wieder sauber bekommen sollen. Dennoch wird der Erfolg der Operation nur als Tropfen auf den heißen Stein bezeichnet. Bei den neuen P2P-Netzen versagt die Methode allerdings. Durch die dezentrale Struktur können diese nicht einfach lahm gelegt werden. Hier muss der Schädling von jedem einzelnen System entfernt werden.

So bleibt dem Durchschnittsnutzer lediglich die Möglichkeit, eine aktuelle Antiviren-Software und eine Firewall zu installieren. Doch wirklichen Schutz bieten die derzeitigen Programme nicht. Sicherheitsexperten empfehlen dringend, regelmäßig Sicherheits-Updates für das Betriebssystem herunter zu laden. Damit werden nämlich meist bekannte Sicherheitslücken geschlossen, durch welche ein potenzieller Angreifer erst die Möglichkeit bekommt, ein System zu kapern. Im Zweifelsfall ist es ratsam, das ganze Betriebssystem neu zu installieren. Doch wird es vermutlich nicht lange dauern, bis der nächste Angriff stattfindet.