Original-URL des Artikels: https://www.golem.de/news/fraunhofer-institut-auf-der-jagd-nach-den-botnetzen-1401-104152.html    Veröffentlicht: 24.01.2014 16:04    Kurz-URL: https://glm.io/104152

Fraunhofer-Institut

Auf der Jagd nach den Botnetzen

Die Warnung des BSI vor gehackten Onlinekonten geht auf die Analyse von Botnetzen zurück. Wie sich diese effektiv bekämpfen lassen, erforscht ein Team des Fraunhofer-Instituts in Wachtberg bei Bonn.

Mit seiner Warnung zu 16 Millionen gekaperten Online-Accounts hat das BSI viel Aufsehen erregt. Auch wenn viele Fragen zu Herkunft und Zweck des Datensatzes offen sind, ist eines sicher: Hinter dem Fund stecken unter anderem Forscher des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) in Wachtberg bei Bonn. Dort beschäftigt sich ein rund 20-köpfiges Team unter der Leitung von Elmar Gerhards-Padilla mit dem Sammeln, Analysieren und Bekämpfen von Schadsoftware. Mit wissenschaftlichen Methoden untersucht das FKIE dabei die Struktur und Funktion von Botnetzen, um bessere Methoden zum Bekämpfen der Programme zu entwickeln.

Was das aktuelle Beispiel gezeigt hat: Die Gefahren durch Botnetze für die Nutzer sind nicht zu unterschätzen. Am harmlosesten erscheinen dabei noch die Fälle, bei denen die gekaperten Rechner (Bots) zum Versenden von Spams missbraucht werden. Ein größerer Schaden ist hingegen möglich, wenn die E-Mail-Adressen inklusive Passwörtern gehandelt werden und über die Onlinekonten Einkäufe oder sonstige Geschäfte getätigt werden. Eine solche Datenbank, wenn sie beispielsweise durch ein Botnetz erbeutet wurde, ist eine lukrative Handelsware. Selbst wenn nicht klar ist, wie viele der Datensätze tatsächlich für kriminelle Fälle brauchbar sind.

Aufwendige Rekonstruktion der Funktionen

Allerdings ist es nicht so einfach, solche Botnetze zu bekämpfen. Diese bestehen in der Regel aus einer beliebigen Zahl infizierter Rechner, die über ein Schadprogramm mit einem Server kommunizieren. "Das Erste, das wir machen, ist ein Reverse Engineering", sagte Gerhards-Padilla im Gespräch mit Golem.de. Dazu werde versucht, aus den Binärdateien auf die Funktion der Programme zu schließen. "Das ist ein recht aufwendiger Prozess. Da muss man schon Zeit investieren", erläutert der Informatiker. Es geht dabei darum, die sogenannte Command-&-Control-Infrastruktur (C&C) des Botnetzes zu ermitteln. Dabei soll herausgefunden werden, wie der infizierte Rechner mit dem Kontrollserver kommuniziert und welche Funktionen über das Internet nachgeladen werden.

Das FKIE ist in der Lage, Infrastrukturen der Botnetze im Labor nachzustellen. "Wir können dort nicht nur den Einzelbot betrachten, sondern auch den C&C-Server nachbilden und sehen, wie das Zusammenspiel zwischen Bots und Server funktioniert", sagt Gerhards-Padilla. Das eigentliche Ziel des FKIE ist aber ein anderes. Denn der Forscher räumt ein: "Wir sind viel zu langsam mit den Analysen. Wir müssen viel, viel schneller werden. Wir müssen deutlich mehr der Schritte, die wir zu machen haben, automatisieren." Das Forschungsteam versucht daher, über eine Automatisierung und die Entwicklung von Algorithmen, eine Beschleunigung des Prozesses zu erreichen. Dies würde dann auch den Strafverfolgungsbehörden helfen, solche Botnetze effektiver zu bekämpfen.

Kampf gegen Botnetze nicht aussichtslos

Diesen Kampf hält Gerhards-Padilla derzeit für schwierig, "aber nicht aussichtslos". Ansetzen könne man dabei an drei Stellen: bei den infizierten Rechnern, den Kontrollservern und den Botnetzbetreibern. "Im Moment haben wir das Problem, dass der Angreifer sehr viel Geld damit verdienen kann, aber nur ein sehr geringes Risiko hat. Aus der Sicht eines Verteidigers ist das eine extrem ungute und unbefriedigende Situation", sagt Gerhards-Padilla. Eine Zusammenarbeit mit der Staatsanwaltschaft sei da unverzichtbar, um einen nachhaltigen Effekt zu erreichen. Das Problem sei aber, dass die Täter oft international agierten und schwer zu greifen seien.

Auch das Abschalten eines Botnetzes bedeute in der Regel keinen langfristigen Erfolg, da die Infrastruktur sehr schnell neu etabliert werden könne. Ohnehin sei es schwer zu sagen, wie viele Botnetze es derzeit gebe. "Da gibt es ein großes Dunkelfeld. Von shadowserver.org werden weltweit derzeit rund 2.000 C&C-Server überwacht. Das sind aber leider bei weitem nicht alle existenten C&C-Server. Allerdings sagt das nichts darüber aus, wie viele Botnetze dahinter stehen", erläutert Gerhards-Padilla.

Noch Millionen Systeme durch Conficker infiziert

Die Botnetz-Forscher von FKIE können beim Kampf gegen Kriminelle aber nicht alle im Labor getesteten Maßnahmen sofort umsetzen. "Wir können aus rechtlichen Gründen da nur bis zu einem gewissen Grad gehen", sagt Gerhards-Padilla. "Wir entwickeln angewandte Forschung, nah an der Realität dran. Wir können nicht alles, was wir uns überlegt haben, eins zu eins in die Realität umsetzen. Das muss dann in Absprache mit den Behörden passieren, oder man darf es gar nicht."

Ob es in absehbarer Zeit wieder einen spektakulären Fall wie den der 16 Millionen Kontendaten gibt, ist daher schwer abzuschätzen, aber eher unwahrscheinlich. Die Strategie des BSI bei der Warnung bestand auch darin, die Nutzer generell für die Gefahren von Botnetzen und Schadprogrammen zu sensibilisieren. Wenn die Zahl der infizierten Rechner insgesamt sinkt, wird auch den Botnetz-Betreibern das Leben schwerer gemacht. Wie wichtig das ist, zeigt das Beispiel des Computerwurms Conficker. Auch fünf Jahre nach dessen erstem Auftauchen sind weltweit immer noch 1,4 Millionen Systeme in 220 Ländern infiziert.  (fg)


Verwandte Artikel:
Verfassungsbeschwerde: Journalisten klagen gegen Datenhehlerei-Paragrafen   
(13.01.2017, https://glm.io/125575 )
BSI-Warnung: Fragen und Antworten zum Identitätsdiebstahl   
(23.01.2014, https://glm.io/104118 )
BSI-Sicherheitswarnung: Fast eine Million gehackter Nutzer informiert   
(22.01.2014, https://glm.io/104089 )
Botnetz: BSI wusste seit Dezember von Identitätsdiebstahl   
(22.01.2014, https://glm.io/104077 )
Sicherheitstest eingerichtet: BSI meldet millionenfachen Identitätsdiebstahl   
(21.01.2014, https://glm.io/104045 )

© 1997–2019 Golem.de, https://www.golem.de/