DNS-Changer: Behörden erwägen weitere Maßnahmen

Während die Aufräumarbeiten der Hinterlassenschaften der Malware DNS Changer andauern, mehrt sich die Kritik an der Vorgehensweise. Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) geht man davon aus, dass weitere Aktionen nötig sein könnten, bevor die US-Polizei FBI am 8. März die derzeit vom Internet Systems Consortium (ISC) fürs FBI betriebenen DNS-Server abschaltet.

Am 9. November hatte das FBI mehrere DNS-Server übernommen, über die eine Gruppe von Kriminellen falsche DNS-Antworten an manipulierte Rechner ausgab. Zwei Monate nach der FBI-Aktion hatte das BSI zusammen mit dem Bundeskriminalamt (BKA) und der Deutschen Telekom eine Hilfestellung für deutsche Nutzer veröffentlicht. Diese Aktion sei zu spät gekommen und außerdem auch nicht wirklich effizient, meinen Kritiker.

Beim BSI ist man jedoch anderer Meinung. Es sei für deutsche Internetnutzer “relativ schnell und sehr datensparsam eine Überprüfungsmöglichkeit” angeboten worden, wobei man unter Datensparsamkeit versteht, dass die Nutzer für den ersten Check keine Software zu installieren haben. Durch die polizeiliche Aktion des FBI habe für die Nutzer keine unmittelbare Gefahr mehr durch die Umleitungen bestanden, versicherte der Sprecher des BSI, Matthias Gärtner. Man habe daher deutsche Informationen und, in Zusammenarbeit mit dem FBI, auch die Warnseite für die infizierten deutschen Systeme vorbereiten können.

Auch den Vorwurf, man könnte doch die betroffenen Anwender direkt kontaktieren und ihnen etwa zu Beginn einer Internet-Sitzung einblenden könne, will Gärtner nicht gelten lassen. “Der willentliche Akt der Nutzer, ihr System zu überprüfen, ist ein erster Schritt,” so der BSI-Sprecher, “wenn da auf eine DNS-Anfrage etwas kommt, was sie gar nicht erwartet haben, würde das möglicherweise für Verwirrung sorgen.” Ganz vom Tisch sind solche Aktionen aber nicht. Nach dem ersten Schritt könnten durchaus weitere folgen, bevor das FBI Anfang März die DNS-Server abschalten läßt, räumt Gärtner ein.

Allerdings sei eine direkte Mitteilung an betroffene Nutzer, die bei den FBI/ISC-Servern landen “schon organisatorisch sehr schwierig, da diese Meldung in allen Sprachen verfügbar sein müsste,” gibt Thorsten Kraft, Senior Technical Provider beim Anti-Botnet-Beratungszentrum, zu bedenken. Zudem könne es technisch gesehen heikel sein, solche Direktwarnungen an Endsysteme auszugeben, da Anfragen lebensnotwendiger Systeme kompromittiert werden könnten.

Wie erfolgreich die groß angelegte Kampagne wirklich ist, weiß unterdessen niemand so genau. 14,6 Millionen Unbedenklichkeitsbescheinigungen (grüne Seiten) und 38.600 Warnungen (rote Seiten) holten sich deutsche Nutzer nach Informationen der DTAG bis zum Montag über die Seite DNS-ok.de ab. Aber das sagt wenig über die Zahl der wirklich infizierten Systeme aus; ursprünglich ging das BSI von rund 33.000 in Deutschland aus. Auf Nachfragen, ob und wie sich die Aktion darauf ausgewirkt hat, verweist das BSI auf das mit dem FBI in Kontakt stehende BKA. Doch dort verweist man selbst für Anfragen zu Statistiken auf ein laufendes Verfahren des FBI. (ju)