Kampf gegen Botnetze weitgehend ineffizient

Strafverfolger und IT-Industrie gehen momentan noch ineffizient gegen Botnetzbetreiber und andere Cyber-Kriminelle vor. Das erklärte Joe Stewart, Director of Malware Research bei Secureworks in seinem Vortrag "Demonetizing Botnets" im Rahmen der noch bis heute andauernden RSA Conference 2009. Laut Stewart konzentrieren sich die Gegenmaßnahmen zumeist auf technische Lösungen: Patchen von Lücken, Abschalten der Command-und-Control-Server (C&C) von Botnetzen, Installieren von Spamfiltern und so weiter.

Insbesondere die weltweite IT-Sicherheitsgemeinde hat eher die Abwehr der Attacke im Fokus als die Angreifer. Dabei sind es genau diese Experten, die Stewart zufolge den Strafverfolgern möglichst viele Informationen über die für die Angriffe Verantwortlichen zukommen lassen müssten. Die Aktivitäten der Forscher und der Behörden überschneiden sich laut Stewart kaum. Diese Tatsache sorgt in Kombination mit chronischer Knappheit an Geld und Mitarbeitern sowie der oft mangelhaften internationalen Zusammenarbeit für die niedrige Erfolgsquote der Strafverfolger und die stetig anschwellende Zahl neuer Angriffe. Stewart bemängelt auch, dass viele Maßnahmen nur kurzfristig Linderung bringen, die Angreifer nach kurzer Erholungsphase aber umso entschlossener zu Werke gehen.

Seiner Meinung nach hätte man den Hoster McColo nicht vollständig vom Netz nehmen dürfen. Denn das hat die Betreiber der Botnetze, deren C&C-Server von McColo gehostet wurden, auf den Plan gerufen. Sie haben sich anschließend höchstwahrscheinlich einen Hoster in einem Land gesucht, in dem ISPs nicht so schnell zur Zusammenarbeit mit den Strafverfolgungsbehörden gezwungen werden können. Die Chance wurde also vertan, mehr über die Cyber-Kriminellen in Erfahrung zu bringen.

Der Sicherheitsexperte Stewart schlägt daher vor, unauffälliger zu Werke zu gehen. Im Falle der C&C-Server würde es seiner Meinung nach genügen, deren Bandbreite zu drosseln und so den Wirkungsgrad für die Zeit zu senken, die Sicherheitsforscher und Polizei benötigen, um Hinweise auf die Identität der Betreiber zu sammeln. Gleichzeitig hätten die ISPs der Kunden, deren Rechner infiziert waren, diese per DNS-Zone isolieren können. Die Taktik der Jäger sollte keinesfalls so auffällig und leicht zu durchschauen sein, dass sie die Verfolgten aufschreckt und dazu anstachelt, ihr bösartiges Werk technisch noch weiter zu verfeinern. Laut Stewart ist die raffinierte dezentrale Peer-to-Peer-Struktur der Botnetze Whaledac und Conficker das Ergebnis des zuvor geräuschvoll abgewickelten Abschaltens einiger C&C-Server.

Um wirklich effizient gegen Cyber-Gangster vorgehen zu können, brauche man andere Strukturen und Kompetenzen, sagte Stewart. Ihm schwebe eine Reihe von spezialisierten Teams aus Fachleuten vor, die ganz gezielt gegen jeweils eine Gruppe von Kriminellen vorgeht. In den Teams sollen sich jeweils über den ganzen Globus verstreute Personen mit unterschiedlichen Fähigkeiten finden, wie zum Beispiel Fachleute für Reverse Engineering, Social Engineering oder Sprachwissenschaftler. Stewart ließ offen, ob hinter den Kulissen bereits am Zusammenstellen solcher Teams gearbeitet wird.

Idealer Partner für diese Expertengruppe wären nationale CERTs (Computer Emergency Respsonse Team) mit erweiterten Kompetenzen. Als Beispiel führte Stewart das CERT in Südkorea an: Alle ISPs des Landes schicken im Fünfminutentakt Statusmeldungen über Netzwerktraffic und eventuelle Auffälligkeiten an das CERT. Werden dort bösartige Vorgänge festgestellt, kann das CERT ohne zeitraubende Rücksprache mit Behörden oder Strafverfolgern IP-Adressen sperren, URLs filtern oder schädlichen Traffic blockieren. Die so gesammelten Informationen dienen aber nicht nur als Grundlage für sofortige technische Gegenmaßnahmen, sondern auch zur Identifikation der Täter.

Stewart räumte gleichzeitig aber ein, dass ein solches Konzept nur dann Erfolg verspricht, wenn möglichst viele Länder ein CERT mit solchen erweiterten Zuständigkeiten unterhalten. Außerdem dürfe das CERT keinesfalls zum Hilfssheriff beispielsweise für die Musik- und Filmindustrie werden, sondern sich ausschließlich auf den Kampf gegen Cyber-Kriminelle konzentrieren. (Uli Ries) / (dab)