Kinderpornographie im Netz Adressen mit Wartezeit

Durch Änderungen bei der Vergabe von Internetadressen ließe sich Kinderpornographie im Netz eindämmen - wenn es dabei nicht um so viel Geld gehen würde.

Von H. Martin-Jung und C. Schulzki-Haddouti

Es klingt so bestechend einfach: Die Polizei stellt täglich eine schwarze Liste zusammen, schickt sie an Internetzugangs-Anbieter und diese zeigen ihren Kunden statt Bildern missbrauchter Kinder eine Seite mit einem Stoppschild an, wenn sie auf eine entsprechende Seite geklickt haben. Die Wirklichkeit im weltumspannenden Netz aber ist um einiges komplizierter.

Viele, die mit Schmutz und Schund im Internet Geld machen, nutzen längst Methoden, die sie für das Radar der Ermittler nahezu unsichtbar werden lassen. Die Internetverwaltung Icann könnte ein sehr wichtiges dieser Schlupflöcher stopfen, geschehen aber ist bisher nichts - weil es dabei auch um viel Geld geht.

Unentdeckte Malware

Kaum ein Online-Krimineller ist heute noch so dumm, seine illegalen Geschäfte von einem Rechner aus zu erledigen, der ihm zugeordnet werden kann. Benutzt werden dazu vielmehr Netze aus sogenannten Bots. Das sind nicht etwa die Rechner von Bandenmitgliedern, sondern Computer meist völlig ahnungsloser Menschen irgendwo auf dem Globus, die durch Schadsoftware gekapert wurden. Während frühere Viren und Würmer auf sich aufmerksam machten oder - meist weil sie schlecht programmiert waren - sogar den PC lahmlegten, tut die Malware von heute alles, um möglichst unentdeckt zu bleiben. Sie wird von Profis geschrieben und dient überwiegend einem Zweck: illegal Geld zu machen. Und dazu braucht man Rechner, die funktionieren.

Vor kurzem erst hat ein amerikanisches Sicherheitsunternehmen ein riesiges solches Netz an Rechnern entdeckt. Es soll sich aus nahezu zwei Millionen Rechnern zusammensetzen, die in 77 Ländern der Erde stehen, immerhin knapp 80.000 davon in Deutschland. Die Entdeckung ist nicht nur wegen der schieren Größe des Heeres aus Zombierechnern bemerkenswert, sondern auch, weil es nur selten gelingt, Zugang zu einem der sogenannten Command-and-Control-Rechner zu erhalten, von denen aus die illegalen Operationen gesteuert werden. Als nämlich die Strafverfolgungsbehörden gezielt gegen diese Steuerzentralen vorzugehen begannen, entwickelten die Kriminellen raffinierte Verschleierungstaktiken.

Die Command-and-Control-Rechner kommunizieren nicht mehr direkt mit den einzelnen Bots. Vielmehr werden einzelne Bots dazu benutzt, den Verkehr weiterzuleiten - jedoch nur für ein paar Minuten. "Illegale Inhalte können über Botnetze verbreitet werden, die alle paar Minuten die Inhalte auf einem anderen Rechner zeigen", sagt der IT-Experte Lutz Donnerhacke. Er sitzt in der Icann-Arbeitsgruppe, die sich mit der Sicherheit des Adresssystems im Internet beschäftigt. Im Fachjargon Domain Name System (DNS) genannt, sorgt es dafür, dass Namen von Webseiten wie sueddeutsche.de in die Ziffernkombination übersetzt werden, die Internetcomputer verstehen, in diesem Fall 213.221.91.5.

Täglich zehn Millionen Änderungen

Namen und zugehörige Nummern sind auf Rechnern gespeichert, die über das gesamte Internet verteilt sind. Ändert nun ein Server seine Adresse, muss das dem Domain Name System gemeldet werden, sonst würden Internetnutzer eine Seite nicht mehr aufrufen können, wenn Name und Nummer nicht mehr zusammenpassen.

Damit die Botnetze unerkannt agieren können, ändern sie kurzfristig über ein vorher festgelegtes Programm den Eintrag im Domain-Name-Server. Die Methoden dafür heißen "Fast Flux" und "Fast Double Flux". Möglich ist das beispielsweise bei Seiten, die auf .com und .net enden. "Es gibt in der .com-Domain täglich zehn Millionen Änderungen", sagt der Netzexperte Donnerhacke, "erklären lässt sich das nur mit Botnetzen, die Spam, Wurmattacken oder Kinderpornographie verbreiten."