Fraunhofer-Institut: Auf der Jagd nach den Botnetzen

Mit seiner Warnung zu 16 Millionen gekaperten Online-Accounts hat das BSI viel Aufsehen erregt. Auch wenn viele Fragen zu Herkunft und Zweck des Datensatzes offen sind, ist eines sicher: Hinter dem Fund stecken unter anderem Forscher des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) in Wachtberg bei Bonn. Dort beschäftigt sich ein rund 20-köpfiges Team unter der Leitung von Elmar Gerhards-Padilla mit dem Sammeln, Analysieren und Bekämpfen von Schadsoftware. Mit wissenschaftlichen Methoden untersucht das FKIE dabei die Struktur und Funktion von Botnetzen, um bessere Methoden zum Bekämpfen der Programme zu entwickeln.

Was das aktuelle Beispiel gezeigt hat: Die Gefahren durch Botnetze für die Nutzer sind nicht zu unterschätzen. Am harmlosesten erscheinen dabei noch die Fälle, bei denen die gekaperten Rechner (Bots) zum Versenden von Spams missbraucht werden. Ein größerer Schaden ist hingegen möglich, wenn die E-Mail-Adressen inklusive Passwörtern gehandelt werden und über die Onlinekonten Einkäufe oder sonstige Geschäfte getätigt werden. Eine solche Datenbank, wenn sie beispielsweise durch ein Botnetz erbeutet wurde, ist eine lukrative Handelsware. Selbst wenn nicht klar ist, wie viele der Datensätze tatsächlich für kriminelle Fälle brauchbar sind.

Aufwendige Rekonstruktion der Funktionen

Allerdings ist es nicht so einfach, solche Botnetze zu bekämpfen. Diese bestehen in der Regel aus einer beliebigen Zahl infizierter Rechner, die über ein Schadprogramm mit einem Server kommunizieren. "Das Erste, das wir machen, ist ein Reverse Engineering", sagte Gerhards-Padilla im Gespräch mit Golem.de. Dazu werde versucht, aus den Binärdateien auf die Funktion der Programme zu schließen. "Das ist ein recht aufwendiger Prozess. Da muss man schon Zeit investieren", erläutert der Informatiker. Es geht dabei darum, die sogenannte Command-&-Control-Infrastruktur (C&C) des Botnetzes zu ermitteln. Dabei soll herausgefunden werden, wie der infizierte Rechner mit dem Kontrollserver kommuniziert und welche Funktionen über das Internet nachgeladen werden.

Das FKIE ist in der Lage, Infrastrukturen der Botnetze im Labor nachzustellen. "Wir können dort nicht nur den Einzelbot betrachten, sondern auch den C&C-Server nachbilden und sehen, wie das Zusammenspiel zwischen Bots und Server funktioniert", sagt Gerhards-Padilla. Das eigentliche Ziel des FKIE ist aber ein anderes. Denn der Forscher räumt ein: "Wir sind viel zu langsam mit den Analysen. Wir müssen viel, viel schneller werden. Wir müssen deutlich mehr der Schritte, die wir zu machen haben, automatisieren." Das Forschungsteam versucht daher, über eine Automatisierung und die Entwicklung von Algorithmen, eine Beschleunigung des Prozesses zu erreichen. Dies würde dann auch den Strafverfolgungsbehörden helfen, solche Botnetze effektiver zu bekämpfen.