Serverabschaltung

Editorial: Nadelstiche gegen die Internet-Mafia

Die Abschaltung großer Botnetze bringt allenfalls kurzzeitig Entlastung von den Aktivitäten der Cyberkriminellen. Andere - und bessere - Maßnahmen sind aber denkbar.
AAA
Teilen

Nadelstiche gegen die InternetmafiaNadelstiche gegen die Internetmafia Stolz melden BKA und BSI: Weltweites Botnetz zerschlagen. Dabei wurden wahrscheinlich lediglich ein paar Command&Control-Server abgeschaltet. Wahrscheinlich sind die Trojaner in den Millionen PCs, die sich über diese Server fernsteuern ließen, so programmiert, dass sie in absehbarer Zeit nach neuen Master-Servern Ausschau halten, wenn sie die alten nicht mehr erreichen können. Außer einer vorübergehenden Schwächung wurde dann nichts erreicht.

Wie hilflos die Behörden letztendlich der Cyber-Mafia gegenüberstehen, zeigt auch die Höhe des Lösegelds, das auf den Russen Jevgeni Michailowitsch Bogatschew ausgesetzt wurde: Bis zu drei Millionen Dollar sollen für Hinweise bezahlt werden, die zu seiner Ergreifung führen.

Der Schaden, den die Cyber-Mafia jährlich produziert, geht in die Milliarden. Der Schaden besteht zum einen aus den Aktionen, mit denen die Cyber-Kriminellen ihr Geld verdienen, etwa durch das Abräumen von Konten, das Erpressen von Schutzgeld von Website-Betreibern oder das Auslösen von (vom Nutzer nicht gewollten) Anrufen an Premium-Nummern. Zum anderen entsteht erheblicher Kollateralschaden durch unbrauchbar gewordene PCs oder die für die Neuinstallation eines sauberen Systems benötigte Arbeitszeit. Auch die Zeit, die wir alle für das Wegklicken von Spam-Mails benötigen, ist letztendlich Teil des Schadens.

Da die Akteure ihre Angriffe selten direkt starten, sondern sich hinter einer Kaskade aus infizierten PCs und Servern verstecken, sind sie so schwer greifbar. Und anders als Drogenschmuggler haben sie auch kein Risiko, beim Transport von heißer Ware erwischt zu werden. Selbst das schwierige Geschäft der Geldwäsche wird outgesourced, an den per Spam-Mail angeworbenen Finanzagenten. Das sind Dumme, die sich so lange freuen, endlich einen einfachen Job (ab und zu einen Geldbetrag überweisen oder per Western Union verschicken) mit guter Bezahlung (einige Prozent des Betrages dürfen sie für sich behalten) gefunden zu haben, bis die Polizei klingelt und ihnen klarmacht, was sie da wirklich gearbeitet haben.

Die eigentlichen Täter machen sich derweil die Hände nicht selber schmutzig. Indem sie einen Teil der ergaunerten Gelder als Geschenke und Spenden verteilen, erkaufen sie sich vor Ort sogar einen makellosen Ruf und umfangreiche Protektion. Selbst, wenn rauskommt, dass diese Gelder von "westlichen" Bankkonten geklaut worden sind: Bringt das den Tätern in einem Entwicklungsland nicht erst recht ein Robin-Hood-Image ein?

Gegenangriff von der Opferseite aus

Das Gesagte bedeutet aber nicht, dass es aussichtslos wäre, gegen die Cyberkriminellen zu kämpfen. Am besten wären sie mit den eigenen Methoden zu schlagen: Wer andere hackt, ist zwangsläufig mit dem Netz verbunden - und damit auch selber per Hacking angreifbar. Antivirenfirmen besitzen umfangreiches Know How bei der Analyse von Schadsoftware. Dieses könnte beispielsweise genutzt werden, um aus neuen Trojanern schnellstmöglich eine Liste der genutzten Command&Control-Server zu extrahieren - und dann diese Server vom Netz zu nehmen und/oder die Internet-Verbindungen zu diesen IP-Adressen zu kappen.

Noch zielführender als die Abschaltung der C&C-Server wäre deren Übernahme: Der Admin des Servers installiert in Absprache mit der Polizei ein Update mit einem Gegentrojaner im Kernel. Nach außen sieht dieses jedoch wie ein ganz normales Sicherheitsupdate des Servers aus, mit anschließendem Reboot. Im Optimalfall gelingt es, so Schritt für Schritt die komplette Kontrollkette bis zurück zum PC des Täters zu kapern. Der sitzt dann in der Falle.

Aber selbst, wenn nur Teile der Kontrollkette aufgeklärt werden können: Indem Angriffe, zum Beispiel DOS-Attacken, frühzeitig automatisiert erkannt werden, besteht die Chance, schneller als bisher auf Provider-Ebene zu reagieren. So werden Ausfallzeiten für die Opfer minimiert. Zudem ließen sich C&C-Server so umprogrammieren, das sie kleine Angriffe weiterhin durchführen, große aber blockieren, und falsche Statistiken über die Wirksamkeit der Angriffe oder der Größe des Botnetzes an die Betreiber zurückliefern. Letztere verlieren so Schritt für Schritt die Kontrolle über ihr eigenes Netz.

Solche gezielten Gegenangriffe gibt es nicht umsonst. Aber der Aufwand würde sich im Vergleich zum ersparten Schaden sicher rechnen. Zudem ist bei den Geheimdiensten auch mehr als genug Know How vorhanden, um solche Gegenangriffe durchzuführen. Doch politisch ist der Wille dafür nicht da. Lieber crackt man auf Regierungsebene selber fremde Systeme, um an zusätzliche Daten zu kommen, als um anderen Crackern das Handwerk zu legen. Leider.

Teilen

Weitere Editorials