Analyse: 1&1 bei Betreibern von Botnetzen beliebt [Update]

Einer Analyse des Antibotnet-Spezialisten Damballa zufolge stehen weltweit die meisten Kontrollserver für Botnetze in den USA, Deutschland und Frankreich. Demnach findet sich die Hälfte aller im ersten Halbjahr 2010 beobachteten Kontrollserver (Command&Control, C&C) in diesen drei Ländern – die nach Meinung von Gunter Ollmann, stellvertretender Leiter der Damballa-Forschungsabteilung, üblicherweise nicht mit kriminellen Aktivitäten in diesem Bereich in Zusammenhang gebracht werden.

Dabei nutzen die Botnetzbetreiber gerne kommerzielle Hosting Provider, bei denen sie offenbar besondere Vorlieben an den Tag legen: Die Spuren von fast 11 Prozent der C&C-Server ließ sich in die Netze des deutschen Anbieters 1&1 zurückverfolgen. Über die Gründe für die Beliebtheit lässt sich nur spekulieren, möglicherweise liegt sie in der guten Anbindung und hohen Verfügbarkeit der Netze und Server begründet. Auf eine Anfrage von heise Security an 1&1 gab es bislang keine Antwort.

Ollmann schlägt vor, dass die Provider und Hoster darüber nachdenken, warum sie bei den Botherdern so beliebt sind und Gegenmaßnahmen ergreifen. Bleibt zu hoffen, dass 1&1 deshalb nicht die gute Anbindung und Verfügbarkeit reduziert.

Die Zahlen dürften aber 1&1 insbesondere im Zusammenhang mit der Mitte Oktober gestarteten
Anti-Botnet-Zentrale wenig erfreuen, der ISP beteiligt sich nämlich daran. Die ISPs informieren in diesem Rahmen von sich aus Kunden, in deren Haushalt oder Büro mit hoher Wahrscheinlichkeit eine Botnetzinfektion vorliegt, etwa weil deren Internet-Anschluss als Spam-Quelle in Erscheinung tritt. Offenbar wird die Kommunikation der Botnetze mit ihren Steuerservern aber nicht überwacht – sonst hätte 1&1 wohl auffallen müssen, dass diese in die eigenen Netze führt.

[Update] Nach heftiger Kritik an den Zahlen hat Damballa die Analyse mittlerweile zurückgezogen.

(dab)