HOME

Internet-Kriminalität: Fette Beute im Botnet

In so genannten Botnets schließen Cyber-Kriminelle hunderttausende gekaperter Privat- und Büro-PCs zusammen und missbrauchen sie für ihre Zwecke. Ein solches illegales Netzwerk wurde jetzt in der Ukraine ausgehoben. Auf den Rechnern fanden die Ermittler Millionen privater Daten und Bankinformationen.

Rechner, die in illegalen Botnetzen verbunden sind, werden über Trojaner-Viren ferngesteuert

Rechner, die in illegalen Botnetzen verbunden sind, werden über Trojaner-Viren ferngesteuert

Wenn der eigene PC von einer Bot-Software gekapert wird, verwandelt er sich zum Verräter. Er spioniert alle vertraulichen Daten aus und schickt diese an die Absender der Schadsoftware. Was dabei so alles zusammengetragen wird, haben jetzt Experten der britischen Sicherheitsfirma Prevx entdeckt. Auf einem Server in der Ukraine fanden die Experten die Daten von 160.000 infizierten Computern, zusammengeschlossen zu einem Botnet. Der Zugang zu den Daten auf dem Botnet-Server war mit einem Passwort gesichert, das die Prevx-Fahnder aufgrund einer relativ schwachen Verschlüsselung knacken konnten.

Was sie fanden, wirft ein seltenes Schlaglicht auf ein Botnet aus der Perspektive der Cyber-Kriminellen. Außerdem zeigt der Fall, wie lange es dauert, bis grenzüberschreitende Zusammenarbeit in Gang kommt, um etwas gegen die Betreiber eines Botnets zu unternehmen. Nachdem Prevx den von dem Botnet genutzten Provider und die ukrainischen Behörden alarmiert hatten, dauerte es noch fast einen Monat, bis der Server abgeschaltet wurde. In dieser Zeit kamen jeden Tag rund 5.000 neu infizierte Computer hinzu, deren Daten abgesaugt wurden.

Betroffen waren in diesem Fall zumeist ganz gewöhnliche Internet-Nutzer. Ohne dass sie es wussten, fanden sich in der Botnet-Beute jede Menge Passwörter für vertrauliche Web-Sites, vom Facebook-Account bis zu den Zugangsdaten fürs Online-Banking, zusammen mit Liebesgeflüster und anderen E-Mails. Neben den Daten von privaten Computern fanden sich aber auch Informationen aus dem infizierten Computer einer Bank. Zwtl:

Logs von Internet-Verbindungen gesammelt

Solche Datenverstecke gibt es mehrere im Internet. Das von Prevx entdeckte Botnet sammelte alle möglichen Informationen. Es hätte aber auch weiterentwickelt werden können, etwa zu einer Spam-Schleuder. Die Rechner sind mit einer Schadsoftware infiziert, die immer wieder Kontakt mit ihrem Absender aufnimmt und dessen Anweisungen ausführt.

Das ukrainische Botnet sammelte die Logs (Protokolle) von Internet-Verbindungen. Darunter war etwa die eines 22-jährigen Mannes aus Kalifornien, der eine Internet-Domain registrierte, sein Yahoo-Passwort änderte und online eine Pizza bestellt hat. Seine Kreditkartendaten, seine Passwörter, sein Geburtsdatum, seine Telefonnummern und Adresse, sind jetzt alle in der Hand von Kriminellen.

Quälend ist die Unsicherheit, dass niemand sagen kann, ob die Botnet-Betreiber die Daten schon verwendet haben und auf welche Weise. In der Botnet-Beute waren auch die Kundendaten einer Bank im US-Staat Georgia, zusammen mit den E-Mails der Bankangestellten, die über denselben infizierten Rechner abgeschickt wurden. Betroffen waren auch zwei Computer von Regierungsbehörden in Texas und North Carolina. "Das gibt den Kriminellen die Schlüssel zum Schloss", sagte der Leiter der Prevx-Forschungsabteilung, Jacques Erasmus. "Sobald sie in diesem System sind, sieht das noch nicht wie der größte Datenraub des Jahrhunderts aus. Aber das ist ihr Einfallstor in ein internes Netz. Das ist ihr Spiel - und sie betreiben das jeden Tag." Die Kriminellen fangen klein an, setzen sich auf einem ersten Computer fest. Diesen nutzen sie dann als Ausgangspunkt für weitere Angriffe in sensiblere Systeme.

Einstiegsbarrieren immer niedriger

Die Sicherheitsexperten haben nicht die Kapazitäten, um alle Betroffenen zu informieren, dass sie einem Botnet zum Opfer gefallen sind. Stattdessen unterrichten sie die Behörden. Im Fall des ukrainischen Botnets informierten sie auch die Metro City Bank in Georgia, die daraufhin den infizierten Rechner nach Angaben von Prevx entfernte. Ein Bankkunde, der 22-jährige Student Yoon-Kee Hong, hatte sein Konto gerade erst einen Monat bei der Metro City, als er von der Nachrichtenagentur AP erfuhr, dass seine Daten in die Hände von Cyber-Kriminellen gelangt sind, darunter die in den USA für viele Vorgänge sehr wichtige Sozialversicherungsnummer. Yoon-Kee Hong beschwerte sich bei seiner Bank, dass sie ihn nicht davon unterrichtet habe und erhielt von ihr ein neues Konto und die Zusicherung, künftig so schnell wie möglich von Sicherheitspannen unterrichtet zu werden. Metro City gab eine öffentliche Erklärung heraus, wonach alle Kunden unterrichtet worden seien und der Einbruch untersucht werde.

Die Einstiegsbarrieren in die Internet-Kriminalität werden offenbar immer niedriger. Trojaner für den Aufbau eines Botnets gibt es bereits für weniger als 1.000 Dollar (775 Euro). Der Botnet-Experte Joe Stewart von der Sicherheitsfirma SecureWorks erklärte, er sei im vergangenen Jahr an der Schließung eines Servers beteiligt gewesen, über den ein riesiges Botnet mit mehr als 378.000 Computern gesteuert worden sei. Dabei seien mehr als 460.000 Zugangsdaten aller Art gestohlen worden.

Es gibt zahllose kleinere Botnets, und es entstehen immer wieder neue, aufgesetzt mit Schadprogrammen, die noch von keiner Sicherheitssoftware erfasst sind. "Die hohe Beteiligung von Amateuren zeigt, wie weit verbreitet das ist", sagt Stewart. "Buchstäblich jeder mit ein bisschen Computerwissen und krimineller Neigung kann sich einen Zugang zu einem dieser Trojaner verschaffen und damit auf Datenklau gehen." Zwtl:

Was tun gegen das Botnet-Risiko?

Und wie kann man sich schützen? Die Sicherheitssoftware immer aktuell zu halten, reiche unter Umständen nicht aus, erklärt Prevx. Dessen Experten empfehlen, jeder PC-Anwender sollte misstrauisch werden, wenn die Internet-Verbindung ohne erkennbaren Grund plötzlich deutlich langsamer wird. Dann ist es an der Zeit, den Netzwerkverkehr des Computers zu überprüfen - etwa indem man mit "Steuerung", "Alt" und "Entferne" den Task-Manager von Windows aufruft und dort im Bereich "Netzwerk" die Werte und die Kurve der "Netzwerkauslastung" überprüft. Wird dort ohne eigenes Zutun ein verdächtiger Datenverkehr sichtbar, sollte man ruhigen Kopf bewahren und mit speziellen Software-Werkzeugen in die genauere Analyse einsteigen.

Jordan Robertson/AP / AP
Themen in diesem Artikel
Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.