Botnetz-Kontrollle funktioniert nicht in Social NetworksDatensumpf: Werden Anti-Botnet-Aktivitäten der Provider unterlaufen?
Kampagne gegn Botnetze
Edgar Weippl, wissenschaftlicher Leiter von Secure Business Austria fürchtet, die Anti-Botnetz-Initiativen des Internet-Branchenverbands eco und des Internet Dienstleisters 1&1 könnten unterlaufen werden. Die Wirtschaft will Anwender dabei unterstützen, ihre wurmbefallenen Computer zu entseuchen, um damit die gefürchteten Botnetze einzudämmen. Beim letzten IT-Gipfel hob Innenminister Thomas de Maiziere die Bedeutung der Kampagne hervor: »Botnetze stellen aktuell die virulenteste Gefährdung für das Internet sowie die angeschlossenen Infrastrukturen dar. Hier besteht dringender Handlungsbedarf. Die »Anti-Botnet-Initiative« des eco-Verbandes ist in diesem Zusammenhang ein gelungenes Beispiel privatwirtschaftlicher Verantwortungsübernahme«
Der Grund für seine Befürchtung: Die Projekte können nur Spam erkennen, der per Mail verschickt wird. Der Müll, der per Facebook und anderen sozialen Netzen verbreitet wird, bleibt unentdeckt. Und der Ungezieferversand übers Web 2.0 lässt sich noch dazu automatisieren. Niels Lepperhoff, Geschäftsführer der Düsseldorfer Xamit Bewertungsgesellschaft erläutert: »Eine ‘Web 2.0’ Anwendung läuft hauptsächlich auf dem Server des Anbieters. Im Browser des Anwenders laufen einige kleine Scripte, die die Anwendung auf dem Server steuern. Nun kann ein solches Script – je nach sozialem Netz – dem Server sagen: Schicke folgende Meldung an meine Kontakte. Der Server weiß nicht, ob der Wunsch von einem Menschen oder einem Schädling kommt.« Edgar Weippl bestätigt das und ergänzt: »Die Kommunikation mit dem Bot wird zusätzlich noch verschlüsselt«. Sicherheitsexperte Lepperhoff räumt ein, dass sich die kriminelle Verbindung meiwt mit Hilfe eines captcha einschränken ließe. Damit wäre dann aber auch der Nutzen für den Web-2.0-Anwender reduziert.
1&1 bestätigt diese Analyse ebenfalls. Der eco-Verbandsgeschäftsführer Harald Summa schreibt: »Wie bereits mitgeteilt, sind wir derzeit in der Feinplanung des Serviceangebotes. Insofern kann ich Ihnen nicht sagen, ob wir uns auch mit dieser Art von Malware befassen werden.« Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) wollte sich zu dem Thema nicht öffentlich äußern.
Eine der möglichen Gefahren heißt »Koobface«. Der Wurm, der mit dem Namen von Facebook spielt, verteilt sich – anders als frühere Schädlinge – nicht per Mail, sondern über die sozialen Netze. Kaspersky unterstreicht die Lernfähigkeit des Schädlings. Dazu passt eine Studie von Webroot. Das Ecommerce-Journal berichtet, dass drei von vier Befragten die Web-basierten Gefahren größer einschätzen, als die, die von infizierten Mails ausgehen. Webroot-Direktorin MacLean Guthrie beschreibt den Umfang der Studie: Zur Jahreswende seien 803 Experten in Australien, Großbritannien und den USA zur Internet-Sicherheit befragt worden. Die Befragten sind in Unternehmen mit 100 bis 5000 Mitarbeitern beschäftigt. Webroot rechnet mit einer Fehlerquote von gut drei Prozent.
Bereits an Ostern 2009 verursachte die Wurm-Welle eines gelangweilten Jugendlichen 10.000 verseuchte Twitter-Nachrichten. Die ebenfalls infizierte Botschaft eines Trittbrettfahrers tarnte sich als Desinfektionsanleitung und wurde 18.000 Mal angeklickt. Insgesamt seien hunderte Anwender-Konten betroffen gewesen.
Niels Lepperhoff weiß, weshalb Internet-basierte Angriffe gefährlichersind als die, die per Mail ins Postfach flattern: »Email wird durch einen Satz normierter Protokolle gesteuert, das heißt Email-Anwendungen verhalten sich alle gleich. ‘Web 2.0’ ist weder normiert noch definiert. Jedes Social Network arbeitet anderes. Zwar nutzen alle http oder https zur Übertragung. Dort eingebunden sind aber Hersteller-spezifische Scripte, die mit Hersteller-spezifischen Server-Anwendungen in einem ebenso Hersteller-spezifischen Protokoll sprechen. Das ist alles nicht normiert. Damit kann eine Sicherheitssoftware diesen Verkehr kaum überwachen.«
Das Potential für die Kriminellen scheint jedenfalls riesig zu sein: Einer Umfrage des Bitkom zu Folge sind 30 Millionen Menschen in Deutschland Mitglied in den elektronischen Sozialvereinen organisiert. Wie infektiös Schädlinge sein können, beschreibt die Zeitung USA Today: Bob fotografiert Alice beim Picknick und berichtet anschließend darüber in seinem Facebook-Profil. Alice erhält anschließend eine Nachricht mit Link der angeblich zu den Fotos führen sollte. Tatsächlich hatten aber die Kriminellen dem Zeitungsbericht zu Folge Bob’s Profil gekapert und den Link mit einem Schädling infiziert.
Vermutlich werden die Botnetze in Zukunft nicht nur durch Phishing oder Blockade von Facebook und Twitter von sich reden machen; sondern sich plattformübergreifend verbinden und auch Dritte angreifen. Edgar Weippl hält das für »sehr wahrscheinlich«. Sollte aber Facebook solche »Requests« in Masse – etwa auf Amazon – feststellen, könnte dies leicht unterbunden werden. Torsten Strufe, Web 2.0-Spezialist an der Universität Darmstadt; bestätigt: »Die sozialen Netze könnten viel zur Sicherheit beitragen und sollten deutlich mehr als bisher in diesem Bereich investieren«. Eine Sprecherin bei VZnet Netzwerke Limited (Betreiberin von StudiVZ) ist dagegen der Überzeugung: »Unsere Security-Prozesse sind so gestaltet, dass neue Bestandteile intensiv auf mögliche Sicherheitslücken überprüft werden, so dass sich Würmer auf unserer Plattform nicht automatisch verbreiten können.« Facebook hat sich zu dem Thema gegenüber ITespresso bis Redaktionsschluss noch nicht geäußert.
Trotz des drohenden Misserfolgs ist Edgar Weippl von der Notwendigkeit der Kampagnen überzeugt und verweist auf den seit Jahren andauernden Wettlauf zwischen Kriminellen und der Sicherheitsbranche. Außerdem unterstützt er die Anstrengungen, die Anwender zu bilden und einen Computerführerschein erwerben zu lassen.
Verpflichtend will er den aber nicht vorschreiben lassen: »Ich bin gegen eine weitere Kontrolle des Internet« Der Verband der Internetwirtschaft eco will in seiner Kölner Verbandszentrale zur Jahresmitte »5 bis 6« Spezialisten einstellen, die ein Call-Center bei der Anwenderhilfe unterstützen. Die Stellenanzeigen wurden noch nicht geschaltet; Initiativbewerbungen sind aber möglich.