Wie Virenjäger gegen Zombies kämpfen
Millionenfach infizieren Kriminelle Privatrechner mit Schadsoftware. So entstehen Zombies, die vom User unbemerkt Spam verschicken oder auf Anzeigen klicken. Weltweit sind Unternehmen den Kriminellen auf der Spur, die Behörden sind oft machtlos.
München, Bahnhofsgegend, ein Hotelzimmer.
"It is in Russian."
Vitaly Kamluk führt an seinem Laptop durch ein Angebot der russischen Mafia. Die offerierte Dienstleistung sind dDoS-Angriffe, distributed Denial-of-Service-Attacken: Tausende Computer aus aller Welt sollen gleichzeitig eine Web-Site aufrufen, so lange bis der angegriffene Server unter der Arbeitslast zusammenbricht. So lassen sich Internet-Auftritte lästiger Konkurrenten und politischer Gegner lahmlegen.
"Die Idee ist, den Datenverkehr künstlich zu erhöhen und so die Internet-Anbindung des Web-Servers völlig zu überlasten. Dann kann niemand mehr diesen Server erreichen. Ein anderer Ansatz besteht darin, den Server direkt anzugreifen. Dadurch wird seine Leistungsfähigkeit überbeansprucht. Das kann die Prozessorleistung oder die Speicherkapazität sein. Das Ergebnis ist dasselbe. Der Server bricht zusammen und ist für die Surfer nicht mehr erreichbar."
"Rabatt, wenn Sie gleich mehrere Web-Sites angreifen wollen"
Das Angebot der Kriminellen erfüllt alle Anforderungen, die an einen Internet-Dienstleister heutzutage gestellt werden. Und die Seite wirbt mit äußerst kundenfreundlichen Konditionen:
"Hallo, wir bieten dDoS-Dienste an. Um sicherzustellen, dass der Kunde zufrieden ist, wird jedem ein individuell auf ihn zugeschnittenes Angebot gemacht. Wenn Sie gleich mehrere Web-Sites angreifen wollen, bekommen Sie Rabatt. Und auch wenn Sie Stammkunde sind. 100-prozentige Anonymität ist garantiert. Sie können den Service zehn Minuten lang kostenlos testen, um seine Qualität zu überprüfen und um auszuprobieren, ob die angegriffene Seite wirklich zusammenbricht."
So stellt man sich doch gemeinhin einen funktionierenden Markt vor: Kundenorientierung und Treueprämien. Die angebotene Dienstleistung ist von überprüfbar hoher Qualität. Und die Preise sind bezahlbar:
"Ein einstündiger dDoS-Angriff kostet zehn Dollar. 50 Dollar pro Tag. 300 Dollar für eine Woche. Und 1000 Dollar für den Monat."
Vitaly Kamluk ist natürlich keiner von denen, die ihr Geld mit der Vermarktung von Internet-Angriffen verdienen. Im Gegenteil: Er ist Schad-Software-Experte bei der russischen Anti-Viren-Firma Kaspersky Labs. Deswegen befasst er sich mit dDoS-Angriffen. Denn die Computer, die zu Tausenden fremde Web-Server attackieren sollen, gehören nicht den Kriminellen selbst, sondern harmlosen Surfern. Die waren vielleicht auf verseuchten Web-Sites und haben so ihre eigenen Computer infiziert. Oder sie haben seltsame Mails bekommen:
Nacktbilder von deiner Nachbarin
Terror-Anschlag auf Bundeskanzleramt
Heiße Fotos von Paris Hilton
An Mails mit solchen Betreffzeilen hängen Internet-Kriminelle oft Schadprogramme an, sogenannte Bot-Software. Wenn der Empfänger draufklickt, installiert die sich, und der infizierte Rechner kann dann von den Kriminellen über das Netz ferngesteuert werden. Es ist fast so wie im Voodoo-Glauben der Karibik, wo schwarze Magier Menschen mit einem Fluch belegen. Der Verfluchte stirbt. Und der Magier erweckt ihn als Zombie wieder zum Leben, um ihn Sklavenarbeit verrichten zu lassen.
Zombies nennt man denn auch infizierte Rechner, die zu willenlosen Werkzeugen in der Hand von Internet-Kriminellen geworden sind. Seit 1932, seit dem Film "White Zombie" verbreiten die Untoten des Voodoo auch unter Kinogängern Angst und Schrecken. Und seit gut einem Jahrzehnt ihre digitalen Wiedergänger unter Computer-Nutzern.
"Zombie! Allez vite. Allez!"
Beliebter Spam-Begriff: Freundschafszentrale
Der aufsehenerregendste Zombie-Angriff bislang erfolgte im Jahr 2007. Manche sprachen damals schon von einem Cyberkrieg:
Estnische Behörden, Banken, Medien und Firmen werden seit dem 26. April, 10 Uhr morgens, in Wellen immer wieder durch so genannte 'Denial-of-Service'-Attacken aus dem Internet sabotiert. Die Strategie der Angreifer: Sie überschwemmen Webserver mit einer Flut unsinniger Datenanfragen, bis sie unter der Last zusammenbrechen. Die betroffenen Behörden- und Unternehmensseiten sind dann kaum mehr erreichbar. An den Angriffen sollen bis zu einer Million PCs – vor allem aus Russland – beteiligt sein.
So der Tagesspiegel aus Berlin, und der Spiegel meldete:
Cyber-Angriffe auf Estland alarmieren EU und Nato
Wahrscheinlich waren es russische Nationalisten, die damals mit gemieteten Zombie-Armeen nahezu die gesamte Internet-Infrastruktur ihres Nachbarlandes lahmlegten. Die meisten Aktionen der digitalen Untoten allerdings sind weniger spektakulär: Sie verschicken Spam, Werbe-Mails, wie jeder Internet-Nutzer sie kennt:
[Vau] eins [agra]
V-I-A-G-R-A
[vi – at – gra]
heißt es in der Betreffzeile. Denn Werbung für Viagra würde der Spamfilter nicht durchlassen. Gespammt wird auch für:
Im Autocorso ganz vorne dabei! Zeigen Sie Flagge! Bestellung per Mail.
Freundschaftszentrale: Freundschaftsanfrage von Marlen
Quickdiät – Garantierter Gewichtsverlust ohne Hunger und Sport.
"Das ist sehr interessant, dass eine besondere Thematik für deutschen Spam zum Beispiel die Werbung für Stühle ist. Und was noch? Die Flaggen, was auch sehr merkwürdig ist. Und auch Kettensäge. Und auch noch interessant ist, dass die Deutschen sehr viel Spam mit Werbung für Gewichtsreduzierungspillen bekommen. So."
Maria Namestnikova von den Kaspersky Labs. Spam zu verschicken, ist in vielen Ländern verboten. Dennoch macht der Werbemüll weit über 90 Prozent des weltweiten E-Mail-Verkehrs aus. Recht ist national. Das Internet international. Cyberkriminelle können deshalb nur selten belangt werden. Mehr noch: Ihr Treiben wird häufig nicht einmal bemerkt.
So geht das Bundeslagebild Cybercrime des deutschen Bundeskriminalamtes davon aus, dass nur jedes zehnte Vergehen entdeckt wird. Die Bot-Netze bilden dabei die zentrale Infrastruktur für die Kriminellen. Ganze Zombie-Armeen lassen sich von einem Steuerungsrechner aus, dem Command-and Control-Center, im Gleichschritt in Marsch setzen. Zuvor aber werden die infizierten Rechner – über Staatsgrenzen hinweg – fachmännisch ausgeweidet, durchsucht nach allen Daten, die sich zu Geld machen lassen.
Und auch Geld selbst liefern Zombies neuerdings bei ihren Hirten ab, Bitcoins, eine virtuelle Währung, die von keiner Notenbank emittiert wird. Die Nutzer suchen Bitcoins vielmehr mit Hilfe ihrer Computer, indem sie komplizierte Rechenaufgaben lösen. Wie bei Goldsuchern spricht man denn auch davon, dass Bitcoins geschürft werden. Das virtuelle Geld ist knapp. Und so werden die Rechenaufgaben immer aufwändiger. Der Wechselkurs der Bitcoins steigt. Da lohnt es sich, wenn man über die Leistung von möglichst vielen Computern verfügen kann. Bot-Herder schicken denn auch in jüngster Zeit ihre Zombie-Brigaden zum Bitcoin-Schürfen in die virtuelle Gold-Mine, beobachtet Mikko Hypponen, der Cheftechniker des finnischen Anti-Virenunternehmens F-Secure.
"Das Schürfen mit Bot-Netzen ist ein großes Problem. Der Untergrund hat sich sehr schnell darauf spezialisiert. Es sind Annoncen aufgetaucht wie diese hier: Der Junge bietet sein Software-Werkzeug an: Hier ist mein Schürf-Programm. Es rechnet Bitcoins und Lightcoins aus. Der Preis für eine Installation beträgt fünf Dollar. Und er nennt seine Software den stillen Schürfer."
Für Windows gibt es die meisten Schadprogramme
Die Zombie-Hirten wählen mit Bedacht aus, welche ihrer schwarzen Schäfchen sie Spam versenden lassen, mit welchen sie fremde Web-Server angreifen und welche sie Bitcoins berechnen lassen. In die Gold-Mine schicken sie nur die stärksten, die, die nicht nur über einen modernen Prozessor, sondern auch über eine leistungsfähige Grafikkarte verfügen. Die Schad-Software analysiert die Konfiguration des Rechners, und wenn sie dabei einen starken Grafik-Chip entdeckt, beispielsweise in einem Spiele-PC, dann muss der Zombie in die Bitcoin-Mine. Und während der Youngster im Kinderzimmer an seinem Computer spielt, scheffelt dieser einem Kriminellen Geld in die Tasche.
"Es hat sich herausgestellt, dass Grafikkarten mit Chips beispielsweise von Nvidia und AMD sich perfekt für diese Art von Rechenaufgaben eignen. Das heißt, jedes System mit einer hohen Grafikleistung, kann sehr effektiv Bitcoins oder ähnliches Kryptogeld ausrechnen."
Bitcoin-Mining auf anderer Leute Kosten, Web-Attacken, Datendiebstahl und Spam-Versand – Zombies sind Universal-Werkzeuge in der Hand von Cyber-Kriminellen. Und auf hocheffizienten Schwarz-Märkten im Netz werden sie gehandelt. Nirgendwo sonst funktioniert die Globalisierung so reibungslos wie auf dem Gebiet der Internet-Kriminalität. Die Nationalstaaten sind dagegen weitgehend machtlos. Wenn die Polizei eines Landes ein Bot-Netz entdeckt, dann befindet sich das zugehörige Command- und Control-Center meist im Ausland. Und die Spur der Zombie-Hirten verliert sich in den Weiten des Cyberspace.
"Zombie! Allez vite. Allez!"
Redmond, US-Bundesstaat Washington, Konzern-Zentrale von Microsoft. Das Unternehmen ist wie kein anderes von Internet-Kriminalität betroffen: Sie kratzt an seinem Renommee. Denn wenn sich ein scheinbar harmloser PC in einen Zombie verwandelt, dann handelt es sich meist um einen Windows-Rechner. Dafür werden die meisten Schadprogramme geschrieben, ganz einfach, weil es so viele davon gibt. Da die polizeiliche Zusammenarbeit über Staatsgrenzen hinweg meist nur schlecht funktioniert, heuert Microsoft in aller Welt Privatdetektive an und hat in Redmond ein digital Crime Center eingerichtet.
"Welcome everybody. Thanks for waiting for a few minutes. My name is Jerome Stewart. And I am the director of business operations for the digital crime unit team…"
Ausdrücklich hebt Jerome Stewart vor der Besuchergruppe hervor, dass es sich bei Microsoft’s Digital Crime Center um die Arbeitsplätze einer digitalen Einsatzgruppe und nicht um ein Museum handelt. Trotzdem: Es sieht so aus. Schautafeln an den Wänden illustrieren die Funktionsweise von Bot-Netzen. Und da sind sie wieder: die Namen von digitalen Untoten, die Schlagzeilen gemacht haben:
Bot-Netz Mariposa: Drei Studenten verseuchen 13 Millionen Computer
meldete im Juli 2010 das Portal von T-online und ein dreiviertel Jahr später:
Rustock: Microsoft schaltet das größte Bot-Netz im Internet ab
Und schließlich die berüchtigtste Zombie-Armee:
Conficker: Fachleute befürchten 50 Millionen verseuchte Rechner
So Spiegel Online am 23. Januar 2009. Es ist keine Seltenheit, dass Zombie-Armeen mehrere Millionen infizierter Rechner stark sind. Die Einsatzgruppe an Microsoft’s Digital Crime Center sucht nach ihren Spuren im Netz und informiert, wenn sie fündig geworden ist, das FBI:
Jerome Stewart: "In den letzten Jahren haben wir im Rahmen von polizeilichen Maßnahmen neun Bot-Netze ausgehoben. Neun ist nicht viel. Aber diese neun waren neun der bösartigsten. Aber-Millionen von Computern waren infiziert.´"
Verbrechen als Dienstleistung
Wenn die Polizei eines Landes einem Zombie-Hirten den Steuerungsrechner weggenommen hat, dann bekommt der Konzern oft die Internet-Adresse dieses Computers. Die verwaisten Zombies melden sich dann regelmäßig bei dem Software-Haus in der Annahme, es handele sich dabei um ihren Hirten:
Jerome Stewart: "Wenn wir die Verbindung zwischen den Steuerungsrechnern und den Computern getrennt haben, was passiert dann? Die Computer sind immer noch infiziert. Was machen sie? Sie fragen beim Steuerungsrechner nach, was sie Schlimmes tun sollen. Aber diese Anfragen kommen jetzt bei Microsoft an, und – wie Sie sich vorstellen können – wir sagen ihnen, dass sie gar nichts tun sollen."
Ein Schaubild im Digital Crime Center zeigt, wie Schad-Software-Programmierer, Virenschleudern und Bot-Herder zusammenwirken, um ein Angebot zustande zu bringen, wie Vitaly Kamluk es im Münchner Hotelzimmer präsentiert hat, ein Angebot, wie moderne Internet-Unternehmen es anstreben. Die Computer-Industrie befindet sich Umbruch. Unternehmen wollen nicht mehr Hard- und Software verkaufen, sondern lieber die Dienste von Hard- und Software. "aaS, as a Service" heißt das im Branchenjargon. Die Internet-Kriminellen haben diese Umstellung längst vollzogen. Auf ihren Marktplätzen im Netz präsentieren sie Komplettangebote, die sicher und benutzerfreundlich sind.
"Die Kriminellen bieten Verbrechen als Dienstleistung an – Crime as a Service – CaaS. Sie bieten Betreuung per Telefon an und per E-Mail. Sie informieren über bewährte Geschäftsmethoden und wie man Geld-Mulis organisiert. Es ist im wahrsten Sinne des Wortes Cloud-Kriminalität. Man kann Rechenkapazität als Dienstleistung kaufen. Man kann Infrastruktur als Dienstleistung kaufen. Und man kann eben auch Verbrechen als Dienstleistung kaufen. Es gibt eine Web-Site dafür."
So Bryan Hurd von Microsoft’s Zombie-Museum, das keines sein will. Das jüngste Ausstellungsstück ist die Dokumentation über Bot-Software, die vorzugsweise PCs in den Industrieländern befallen hat, Rechner in Russland, der Ukraine und Weißrussland hingegen verschonte sie.
Bryan Hurd: "Ein wahllos verbreitetes Schadprogramm scheint zu wissen, wo eine Linie ist, die physisch gar nicht existiert. Woher weiß die Epidemie, wo die Grenze ist? - Es hat die Spracheinstellungen der Betriebssysteme überprüft. Wenn man kyrillische Buchstaben verwendet, wird der Rechner nicht infiziert."
Vishant Patel, der für dieses Botnet zuständige Experte erklärt, warum die Programmierer ihren Kreaturen aufgegeben haben, auf Staatsgrenzen zu achten.
"Sie tun das, weil sie nicht wollen, dass Bürger ihres Landes ihre Rechner infizieren. Grund sind die Gesetze vieler dieser Länder: Wenn die Internet-Kriminellen nicht Staatsbürger ihres eigenen Landes betrügen, dann laufen sie kaum Gefahr, juristisch belangt zu werden. Sie kennen die Gesetze und nutzen sie zu ihrem Vorteil."
"John Doe One" nannte sich der oberste Hirte dieses Zombie-Netzes. Zu Deutsch etwa "Max Mustermann, Nummer Eins". Er ist verschwunden, als die Polizei in 80 Ländern das Botnet aushob und Steuerungsrechner abklemmte. Viele seiner Zombies aber sind noch da und rufen nach ihrem Hirten. Ein großer Flachbildschirm im Digital Crime Center zeigt, von wo auf dem Globus aus sie versuchen, Kontakt aufzunehmen. Und wenn man eine Region näher heranzoomt, kann man die Zombies in seiner Heimatstadt erkennen. Zum Beispiel in München:
Bryan Hurd: "Das ist das Citadel-Bot-Netz. Fünf Millionen Computer weltweit, die von einem Finanz-Trojaner infiziert waren, der die Kontodaten der Leute gestohlen hat. Und diese Rechner aus München Mitte haben persönliche Daten und Kontoinformationen hart arbeitender deutscher Bürger an ukrainische Banden geschickt."
Die Überreste von Citadel sind das Prunkstück in Microsoft’s digitalem Horrorkabinett. Seine Zombies waren besonders bösartig. Kein schmutziger Trick, den sie nicht beherrscht hätten.
Vishant Patel: "Citadel hat viele Funktionen, eine ist der Identitätsdiebstahl. Es kann den Bildschirminhalt kopieren, Video-Bilder machen und die Internet-Verbindung manipulieren, so dass Anti-Virus- und Windows-Update-Sites blockiert werden."
Geldmulis waschen Beute aus Online-Raubzügen
Die Bot-Software wurde auch auf den PCs von Helfershelfern installiert, um diese zu überwachen. Die Online-Bankräuber benötigen diese Helfer, um das erbeutete Geld zu waschen. Es muss in Bargeld umgetauscht werden. Das erledigen Kleinkriminelle. "Money Mules" werden sie verächtlich genannt, "Geld-Mulies". Rekrutiert werden sie ebenfalls von Zombies mit Spam-Mails, wie jeder Internet-Nutzer sie kennt:
"Arbeitsangebot für dich in Deutschland! – Hoher Verdienst in kürzester Frist! – Wir stellen dir zur Verfügung eine leichte Arbeit mit hohem Einkommen! Du wirst von 400 Euro bis 1600 Euro für Erledigung jeder Transaktion verdienen. Pro Monat kann dein Lohn bei uns von 4000 bis 8000 Euro betragen."
Im Unterschied zu den Zombie-Hirten werden die Geld-Mulies meist gefasst. Sie waschen das Geld aus Online-Raubzügen über ihre eigenen Konten, als deren Inhaber sie namentlich bekannt sind. Vishant Patel hat einen von ihnen befragt.
"Wir haben ihn gebeten, zu erzählen, wie er rekrutiert worden ist. Er bekam ein Stellenangebot als Finanzagent. Man sagte ihm, es handele sich um eine europäische Firma mit einer kleinen Niederlassung in den Vereinigten Staaten. Und die suche eine Teilzeitkraft, die Geld über Western Union transferiert. Alles, was er dafür benötige, sei ein Bankkonto. Er bekam dann zum Beispiel 10.000 Dollar auf das Konto, behielt zehn Prozent davon und transferierte 9000 Dollar über Western Union an die Kriminellen."
Die Geldmulis werden von den Zombie-Hirten an einer sehr kurzen Leine gehalten.
Vishant Patel: Einmal bekam er eine Anordnung und ignorierte sie. Fünf Minuten später erhielt er eine E-Mail, worin gefragt wurde, wo er sei. Er log und antwortete, er sei nur zwei Blocks von Western Union entfernt und das Geld käme gleich. Gleich darauf kam die zweite Mail. In der stand: Nein, du bist zuhause vor deinem Computer, und zwar schon seit zwei Stunden. Schalte den Computer aus und bring das Geld zur Bank. - Die Video-Funktion seines Computers wurde genutzt, um das Geld-Muli auszuspionieren und um sicherzustellen, dass die kriminelle Bande das Geld schnell bekam."
Click-Fraud-Bots klicken unbemerkt auf Anzeigen
Ein anderes Geschäftsmodell ist der Klickbetrug. Klicks sind im Internet bares Geld wert. Wird eine Web-Site häufig angesurft, kann ihr Betreiber mehr Geld für Werbung verlangen. Und der allergrößte Teil des Webs finanziert sich über Werbung. Internet-Verkehr wird denn auch an Börsen im Netz gehandelt. Einige Seiten werben für den Besuch anderer, wieder andere leiten den Surfer automatisch weiter. Im Gegenzug dafür fließt Geld. Ziel dabei ist immer, dass der Surfer Werbebanner zu Gesicht bekommt oder – noch besser – dass er sie anklickt. Besonders gut gelingt dies natürlich, wenn es sich dabei nicht um Intelligenz-begabte Menschen handelt, sondern um willenlose Zombies, sagt Bryan Hurd:
"Click-Fraud-Bots verwenden die infizierten Computer, um heimlich, ohne dass die Eigentümer das wissen, im Internet zu surfen und auf Anzeigen zu klicken. So generieren sie Einnahmen für Leute, die auf dem Werbemarkt betrügen. Ihr Computer gibt vor, Sie zu sein, und schaut Werbung an, wofür Unternehmen bezahlt haben, damit Sie sie zu sehen bekommen. Tatsächlich aber stiehlt der Computer nur Geld. Und weder Sie noch das werbetreibende Unternehmen wissen es."
Werbung ist quasi das Stammgeschäft der Zombies. Als Klick-Bots täuschen sie Kundeninteresse vor, wo für seriöse Angebote im Web geworben wird. Und als Spambots verschicken sie unseriöse Angebote per Mail. Die meisten Nutzer wissen das und löschen solche Mails gleich. Deshalb verschicken Zombie-Netze Spam in exorbitant hohen Stückzahlen. Je höher die Zahl der Empfänger, desto größer ist die Chance, dass sich einige Dumme darunter befinden, die sich auf ein zwielichtiges Geschäft einlassen.
Eine der größten Spam-Schleudern war ein Bot-Netz Namens Rustock. Nachdem es ausgehoben worden war, ging im Internet plötzlich alles schneller. Die Leitungen waren eine Zeit lang nicht mehr gar so sehr mit Spam verstopft. Das ist lange her. Aber noch immer melden sich einige Rustock-Zombies regelmäßig in Microsoft’s Digital Crime Center.
Bryan Hurd: "Rustock ist ein Bot-Netz, das wir 2011, 2012 ausgeschaltet haben. Es umfasste 2,5 Millionen Computer weltweit und versandte pro Tag 30 Milliarden Spam-E-Mails, worin Software und Medikamente beworben wurden. Privatermittler haben für uns weltweit Testkäufe getätigt. Die beworbene Software war nicht nur raubkopiert. Sie war auch noch mit Viren verseucht. Die pharmazeutische Industrie, die mit uns zusammenarbeitete, kaufte ebenfalls ein und bekam verunreinigte Zuckerpillen. Es wurden also in beiden Fällen gefährliche Dinge beworben. Wir haben das Netz abgeschaltet und 99 Prozent der Rechner gesäubert. Aber noch immer fragen 16 Computer aus München nach, welche Spam-Mails sie versenden sollen."
Ermittlungen gegen Cyberkriminelle sind langwierig
München, Landeskriminalamt, Dezernat für Internet-Kriminalität. Anfang 2014 ist es eingerichtet worden. Denn die hiesige Staatsregierung betrachtet die innere Sicherheit als ihr Markenkennzeichen. "In Bayern leben, heißt sicher leben", lobt sich das Innenministerium gerne selbst. Der Personalstand der Polizei hat ein Rekordniveau erreicht. Schlechte Chancen für Mörder, Erpresser, Ladendiebe und Schwarzfahrer. Fast zwei Drittel aller Straftaten im Freistaat werden aufgeklärt.
"Im Internet ist das wesentlich schwieriger. Da verlassen Sie relativ schnell die Landesgrenzen. Und damit tritt die Souveränität eines anderen Landes in Kraft. Wenn Sie keinen entsprechenden Partner haben, werden Sie bei der Bekämpfung der Internet-Kriminalität scheitern."
So der Dezernatsleiter Günter Younger. Aber auch wenn Dienststellen in Russland, der Ukraine oder Brasilien bereit sind, die bayerischen Cyberpolizisten bei Ermittlungen zu unterstützen, so braucht das seine Zeit. Der Dienstweg, vor allem, wenn er über Ländergrenzen führt, lässt sich einfach nicht in Internet-Geschwindigkeit zurücklegen.
"Der Staatsanwalt schreibt dann an das Gericht des jeweiligen Landes und bittet um die Informationen und erklärt auch, warum, also dass ein Verfahren bei uns läuft mit dem und dem Hintergrund. Und deswegen benötigen wir die Daten. Und dann werden die Daten normaler Weise auch zu Verfügung gestellt. Das Problem ist lediglich, dass das über die Justiz, über Rechtshilfe, sehr, sehr lange dauert. Und wenn Sie dann ein paar Wochen, zum Teil ein paar Monate warten müssen, bis Sie eine Antwort bekommen, dann können Sie gerade im Internet sich vorstellen, was das bedeutet für die Ermittlungen."
Für andere hat sich die Bekämpfung der Internet-Kriminalität zum einem lukrativen Geschäft entwickelt. Die IT-Sicherheitsbranche versucht, im globalen Maßstab gegenzuhalten. In ihren Rechenzentren herrscht Massenbetrieb. Vorbei sind die Zeiten, als Sicherheitsexperten noch jedes Stück Schad-Software persönlich kannten. 40 Millionen verschiedene Schädlingsvarianten – so die einschlägige Schätzung – existieren allein für Windows-PCs. Es können auch mehr sein. Verdächtige Software wird automatisch analysiert, klassifiziert und auf Erkennungsmerkmale hin untersucht.
Mit veralteten Rechnern – Honeypots – Kriminelle anlocken
Helsinki, Konzernzentrale des Anti-Viren-Unternehmens F-Secure. Hier laufen die Ergebnisse der Massenuntersuchung zusammen. Unternehmenssprecherin Sandra Proske zeigt auf eine ellenlange Tabelle auf einem Computerbildschirm. Aufgelistet sind Software-Proben. Rot markierte haben sich als bösartig erwiesen. Grüne als harmlos.
"Wir haben jetzt über 330.000 in den letzten 24 Stunden bekommen."
Eingesammelt werden die verdächtigen Software-Proben rund um den Globus.
"Also die kommen aus ganz verschiedenen Quellen. Wir haben Honeypots. Die bekommen wir von unseren Kunden. Die bekommen wir von anderen Anti-Viren-Herstellern. Oder eben auch von Telekommunikationsunternehmen, die mit uns zusammenarbeiten."
Honeypots, Honigtöpfe, so werden Rechner genannt, die absichtlich so konfiguriert sind, wie Internet-Kriminelle es mögen. Die Betriebssystem-Software ist veraltet. Keine Sicherheits-Updates sind aufgespielt worden. Es läuft kein Anti-Viren-Programm und die Firewall ist deaktiviert. Solche Computer ziehen digitales Ungeziefer unwiderstehlich an. Wäre ein Surfer damit im Netz unterwegs, sein Rechner würde sich in kürzester Zeit in einen Zombie verwandeln.
Weil Anti-Viren-Unternehmen sehr viele davon benötigen, richten sie sie nicht einzeln ein, sondern simulieren Hunderte davon auf sehr leistungsfähigen Servern. Und ein Spezialprogramm darauf simuliert jeweils das Verhalten eines leichtsinnigen Internet-Nutzers. Es surft dubiose Web-Sites an und klickt auf alles, was es vorfindet. Schadprogramme schlüpfen dann durch die Sicherheitslücken der digitalen Honeypots und bleiben kleben.
"Ja, das ist wie ein Honigtopf. Und wir fangen damit keine Bienen, sondern wir fangen damit Virenproben. Also das sind Fallen, die wir aufstellen. Und auf diese Art und Weise versuchen wir eben sehr schnell an neue Proben zu gelangen."
Dann wird der Fang seziert. Das muss schnell gehen. Denn Schädlinge, die im digitalen Honigtopf kleben geblieben sind, können auch die PCs von wirklichen Surfern befallen und sollten deshalb von der Schutz-Software auf diesen PCs ohne Zeitverzug erkannt werden. Eine gewaltige Rechenleistung ist für diese Blitzanalyse nötig:
"Das macht nicht nur ein Computer, sondern das machen Hunderte von Rechnern. Die stehen in Rechenzentren verteilt über die ganze Welt. Die haben wir in Europa, in Asien und auch in den Vereinigten Staaten."
Der Kampf Virenjäger gegen Zombie-Hirten, er findet von der Öffentlichkeit weitgehend unbemerkt im Cyberspace statt, jenem virtuellen Raum, der sich über Staatsgrenzen hinweg um den ganzen Globus legt. Die Akteure sind international: Multinationale Unternehmen gegen internationale Banden. Staatliche Stellen spielen in dieser Auseinandersetzung kaum eine Rolle. Denn Cyberkriminelle halten sich nun mal nicht an die Zuständigkeitsbereiche nationaler Behörden.
Innere Sicherheit im herkömmlichen Sinn gibt es im Internet-Zeitalter nicht mehr, sehr wohl aber neue internationale Gefahren.
"Zombie! Allez vite. Allez!"