Kampf gegen Botnetze

Handschellen für die Hintermänner

Von Uli Ries

Der IT-Sicherheitsexperte Joe Stewart, Director of Malware Research bei SecureWorks meint, dass sich die weltweite IT-Sicherheitsgemeinde viel zu sehr auf Cyberattacken und deren Folgen konzentriert. Wesentlich effizienter wäre der Kampf gegen Botnetze und ähnliche Plagen, würde man die eigentlichen Angreifer ins Visier nehmen.

Insbesondere die IT-Sicherheitsexperten sollten laut Stewart ihre Zeit lieber darauf verwenden, den Strafverfolgern möglichst viele Informationen über die Verantwortlichen der Attacken zu liefern. Bislang gebe es kaum Berührungspunkte zwischen den Aktivitäten der Forscher und der Behörden. Kombiniert man diese Tatsache mit der allgegenwärtigen Knappheit an Geld und Mitarbeitern sowie der oft schwierigen internationalen Zusammenarbeit, hat man laut Stewart die Erklärung für die niedrige Erfolgsquote der Strafverfolger und für die gleichzeitig anwachsende Zahl neuer Angriffe.

Der Malware-Experte ist auch der Meinung, dass viele der technischen Gegenmaßnahmen nur kurzfristig helfen, dass die Cybergangster aber nach kurzer Pause ihr Ziel umso entschlossener verfolgen. So kritisiert Stewart z.B., dass die Behörden den US-Hoster McColo nicht einfach vom Netz hätten trennen dürfen. Die Aktion habe zu viel Aufsehen erregt und sofort die Betreiber der Botnetze alarmiert, deren Control-Server beim als „Spamhoster“ verschrienen McColo untergebracht waren. Die Kriminellen sind daraufhin sehr wahrscheinlich zu einem Hoster abgewandert, dessen Heimatland den ISP nicht so einfach zur Zusammenarbeit zwingen kann. Die Aktion der US-Behörden vereitelte damit die Chance, nach und nach die Identität der Cyberkriminellen zu entlarven, und brachte obendrein keine langfristige Entschärfung der Spamflut.

Serie: IT-Sicherheit
Teil 1 beschreibt die heutige IT-Sicherheitslage: Das Web bietet Angreifern bequeme Einfallstore. Teil 2 benennt die Lücken in Firmennetzwerken und zeigt die Tricks von Hackern und Spionen. Teil 3 skizziert die Zukunft der Gefahrenabwehr: System und Sicherheit unter einem Hut.

Aus Schaden klug

Laut Stewart müssen Behörden also dezenter ans Werk gehen. Hinsichtlich der Botnetz-Control-Server wäre eine Bandbreitendrosselung durch den Hoster ausreichend, um die Schlagkraft des Botnetzes für die Zeitdauer zu hemmen, in der Polizei und Sicherheitsforscher mehr über die Hintermänner in Erfahrung bringen. Parallel hierzu hätten die ISPs die infizierten PCs ihrer Kunden per DNS-Zone isolieren und so die Bots an ihrem schädlichen Treiben hindern können.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Die Jäger sollten sich also keiner auffälligen und leicht zu durchschauenden Taktik bedienen, die die Kriminellen aufscheucht und dazu motiviert, die Technik ihrer Angriffe noch perfider zu gestalten. Die raffiniert-dezentrale – teilweise sogar (MD6) verschlüsselte – Peer-2-Peer-Struktur der Botnetze Conficker und Whaledac sind laut Stewart die Folge des vorherigen, geräuschvollen Abschaltens einiger CC-Server.

Fazit: Kombinierte Eingreiftruppe

Stewart stellt sich andere Strukturen und Kompetenzverteilungen vor, um schlagkräftiger gegen Cybergangster vorgehen zu können. Der Experte schlägt spezialisierte Teams aus Fachleuten vor, die gezielt gegen jeweils eine Gruppe von Kriminellen vorgehen – und sich nicht an mehreren Fronten verzetteln. Zusammensetzen sollen sich die Teams aus jeweils über den ganzen Globus verteilten Experten mit unterschiedlichen Fähigkeiten, wie z.B. Fachleute für Reverse Engineering, Social Engineering oder Sprachwissenschaftler. Ob hinter den Kulissen bereits am Aufbau solcher Teams gearbeitet wird, ließ Stewart auf Nachfrage offen.

Nützliche Links