Deutsche Hoster bei Kriminellen ausgesprochen beliebt
Das geht aus dem von Infoblox erstelltem DNS Threat Index hervor. Demnach werden 20 Prozent der neu entdeckten schädlichen Domains in Deutschland gehostet. Als Grund nennt das Unternehmen die gute Infrastruktur, die Kriminelle für ihre Aktivitäten benötigen.
Die USA und Deutschland bieten mit der jeweils guten Infrastruktur im Internetbereich günstige Voraussetzungen für Cyberkriminelle. Den Standortfaktor wissen diese dem aktuell von Infoblox vorgelegtem DNS Threat Index zufolge zu schätzen. Demnach werden 20 Prozent der weltweit neu entdeckten schädlichen Domains auf Servern in Deutschland gehostet.
Nach den USA, auf die mit 72 Prozent allerdings der Löwenanteil entfällt, rangiert Deutschland damit in der unrühmlichen Liste auf Platz zwei. Die beiden sind zudem die einzigen Länder, in denen insgesamt gesehen mehr als zwei Prozent aller beobachteten schädlichen Webseiten gehostet werden.
Infoblox ist ein Spezialanbieter für Netzwerksteuerung und DNS-Sicherheit. Das Unternehmen weist darauf hin, dass der Standort der Host-Server allerdings nichts darüber aussagt, von wo die Betrüger aus operieren: “Exploit-Kits und andere Malware kann in einem Land entwickelt, in einem anderen verkauft und in einem dritten genutzt werden, um dann letztendlich Angriffe auf die Infrastruktur eines Unternehmens in einem vierten Land zu starten”, heißt es in einer Pressemitteilung.
Allerdings belegt der DNS Threat Index, wie zahlreiche andere Studien und Erhebungen zur IT-Sicherheit auch, dass kriminelle Geschäfte im Netz florieren. Im vierten Quartal 2015 verzeichnete der Index einen Anstieg von 49 Prozent und damit trotz zahlreicher Aktionen gegen Cyberkriminelle beinahe einen neuen Höchststand. Im vierten Quartal 2015 erreichte der Index einen Wert von 128 Punkten. Der bisherige, traurige Rekordwert von 133 Punkten datiert aus dem zweiten Quartal 2015. Das führt auch dazu, dass der DNS Threat Index auf das gesamte Jahr 2015 bezogen deutlich über dem historischen Durchschnitt liegt.
Laut Infoblox folgten bisher auf Quartale mit hoher cyberkrimineller Aktivität und viel neuer schädlicher DNS-Infrastruktur stets Quartale, in denen die Infrastruktur genutzt wurde, um Daten zu klauen oder Schaden anzurichten. Das scheint sich zu ändern: “Unsere Ergebnisse zeigen, dass möglicherweise eine neue, anhaltende Phase an Aktivität begonnen hat, in der schädliche Netzwerke gleichzeitig benutzt und weiterentwickelt werden”, so Rod Rasmussen, Vice President of Cybersecurity bei Infoblox.
In dem Zusammenhang appelliert das Unternehmen auch an die Provider: “Es wäre ein Lichtblick, wenn Hosting-Provider schnell schädliche Inhalte von gefährlichen Domains entfernen könnten, nachdem sie entdeckt wurden“, sagt Lars Harvey, Vice President of Security Strategy bei Infoblox, in einer Pressemitteilung. “Da viele Hosting-Provider nur langsam reagieren, können sich Exploit Kits für eine zu lange Zeit ungehindert ausbreiten. Der Fokus der Hosting-Provider sollte darauf liegen, diese Situation zu verbessern.”
Was Provider tun und was sie tun könnten
In Deutschland konzentrieren sich die Aktivitäten der Netzbetreiber und Provider vor allem darauf, die Rechner der Kunden aus Botnetzen fernzuhalten. Das ist auch in ihrem Interesse, schließlich belastet der Traffic von Botnetzen ihre Infrastruktur unnötig und immer stärker. Dazu gibt es seit einigen Jahren die Initiative Botfrei, die im Wesentlichen vom eco Verband der deutschen Internetwirtschaft e.V. getragen, aber seit 2011 auch von der Deutschen Telekom unterstützt wird. Dort werden neben Tipps zur Sicherheit des heimischen Rechners auch Tools zum Download angeboten, mit denen befallene Rechner gesäubert werden können.
Ähnliche Aktivitäten, um auch Betreiber von gehosteten Servern zu informieren oder zu unterstützen, sucht man allerdings vergeblich. Denn nicht jeder Server mit bösartigen Aktivitäten ist extra dafür angemietet, teilweise werden auch Server mit älterer Software angegriffen und missbraucht. Außerdem spielt auch die Diskretion der Hoster den Kriminellen in die Hände. Die deutschen Gesetze schützen in dem Fall nicht nur legale Aktivitäten vor unbefugten Einblicken Dritter, sondern auch illegale.
Schließlich spielt neben der guten Infrastruktur auch die Konkurrenzsituation unter den Anbietern den Hintermännern der dunklen Machenschaften in die Hände: Dadurch ist es schwer, gegen Aktivitäten vorzugehen, die mehrere Anbieter betreffen, da jeder die Schuld dem anderen zuweist. Mit dem Problem kämpfen etwa Firmen, die von DDoS-Attacken betroffen sind. Vorbild könnte hier eine bereits seit über zwei Jahren etablierte Vorgehensweise in den Niederlanden sein: Dort haben sich zahlreiche Internet Provider in der NBIP (Nationale Beheersorgansiatie Internet Providers) zusammengetan. Diese Einrichtung fungiert als Shared Service Center der ISPs und nimmt im Auftrag ihrer über 100 Mitglieder zum Beispiel Anfragen der Behörden, insbesondere der Polizei und der Justizbehörden, entgegen und bearbeitet sie.
Außerdem haben die NBIP -Mitglieder ein gemeinsames DDoS-Abwehrzentrum eingerichtet, das als Non-Profit-Organisation agiert. Die Leistungen stehen allen Mitgliedern gleichermaßen zur Verfügung. Davon profitieren sowohl sie als auch die Kunden: Bis ein Angriff als solcher erkannt und abgewehrt wird, reichen in der Regel zwei Minuten aus.