Es klingt so bestechend einfach: Die Polizei stellt täglich eine schwarze Liste zusammen, schickt sie an Internetzugangs-Anbieter und diese zeigen ihren Kunden statt Bildern missbrauchter Kinder eine Seite mit einem Stoppschild an, wenn sie auf eine entsprechende Seite geklickt haben. Die Wirklichkeit im weltumspannenden Netz aber ist um einiges komplizierter.
Beamte des BKA spüren immer wieder Kinderpornographie im Netz auf. Doch die Kriminellen, die dahinter stehen, nutzen Methoden, die sie nahezu unsichtbar werden lassen.
(Foto: Foto: ddp)Viele, die mit Schmutz und Schund im Internet Geld machen, nutzen längst Methoden, die sie für das Radar der Ermittler nahezu unsichtbar werden lassen. Die Internetverwaltung Icann könnte ein sehr wichtiges dieser Schlupflöcher stopfen, geschehen aber ist bisher nichts - weil es dabei auch um viel Geld geht.
Unentdeckte Malware
Kaum ein Online-Krimineller ist heute noch so dumm, seine illegalen Geschäfte von einem Rechner aus zu erledigen, der ihm zugeordnet werden kann. Benutzt werden dazu vielmehr Netze aus sogenannten Bots. Das sind nicht etwa die Rechner von Bandenmitgliedern, sondern Computer meist völlig ahnungsloser Menschen irgendwo auf dem Globus, die durch Schadsoftware gekapert wurden. Während frühere Viren und Würmer auf sich aufmerksam machten oder - meist weil sie schlecht programmiert waren - sogar den PC lahmlegten, tut die Malware von heute alles, um möglichst unentdeckt zu bleiben. Sie wird von Profis geschrieben und dient überwiegend einem Zweck: illegal Geld zu machen. Und dazu braucht man Rechner, die funktionieren.
Vor kurzem erst hat ein amerikanisches Sicherheitsunternehmen ein riesiges solches Netz an Rechnern entdeckt. Es soll sich aus nahezu zwei Millionen Rechnern zusammensetzen, die in 77 Ländern der Erde stehen, immerhin knapp 80.000 davon in Deutschland. Die Entdeckung ist nicht nur wegen der schieren Größe des Heeres aus Zombierechnern bemerkenswert, sondern auch, weil es nur selten gelingt, Zugang zu einem der sogenannten Command-and-Control-Rechner zu erhalten, von denen aus die illegalen Operationen gesteuert werden. Als nämlich die Strafverfolgungsbehörden gezielt gegen diese Steuerzentralen vorzugehen begannen, entwickelten die Kriminellen raffinierte Verschleierungstaktiken.
Die Command-and-Control-Rechner kommunizieren nicht mehr direkt mit den einzelnen Bots. Vielmehr werden einzelne Bots dazu benutzt, den Verkehr weiterzuleiten - jedoch nur für ein paar Minuten. "Illegale Inhalte können über Botnetze verbreitet werden, die alle paar Minuten die Inhalte auf einem anderen Rechner zeigen", sagt der IT-Experte Lutz Donnerhacke. Er sitzt in der Icann-Arbeitsgruppe, die sich mit der Sicherheit des Adresssystems im Internet beschäftigt. Im Fachjargon Domain Name System (DNS) genannt, sorgt es dafür, dass Namen von Webseiten wie sueddeutsche.de in die Ziffernkombination übersetzt werden, die Internetcomputer verstehen, in diesem Fall 213.221.91.5.
Täglich zehn Millionen Änderungen
Namen und zugehörige Nummern sind auf Rechnern gespeichert, die über das gesamte Internet verteilt sind. Ändert nun ein Server seine Adresse, muss das dem Domain Name System gemeldet werden, sonst würden Internetnutzer eine Seite nicht mehr aufrufen können, wenn Name und Nummer nicht mehr zusammenpassen.
Damit die Botnetze unerkannt agieren können, ändern sie kurzfristig über ein vorher festgelegtes Programm den Eintrag im Domain-Name-Server. Die Methoden dafür heißen "Fast Flux" und "Fast Double Flux". Möglich ist das beispielsweise bei Seiten, die auf .com und .net enden. "Es gibt in der .com-Domain täglich zehn Millionen Änderungen", sagt der Netzexperte Donnerhacke, "erklären lässt sich das nur mit Botnetzen, die Spam, Wurmattacken oder Kinderpornographie verbreiten."
Angst vor der Macht der Online-Kriminellen
60 Minuten reichen aus
Aber wie bewältigen die Kriminellen diese enorme Flut von Änderungen überhaupt? "Die Anmeldungen und Änderungen von Domain-Namen laufen bei den Registraren, die Domain-Namen an Endkunden verkaufen, über voll automatisierte Schnittstellen", erläutert der Karlsruher Sicherheitsexperte Christoph Fischer. Um diese zu bedienen, könnten auch Skripte - kleine Computerprogramme also - eingesetzt werden. Bis überhaupt ein Ermittler gemerkt hat, dass auf einem Server illegale Inhalte liegen, hat der längst wieder seine Adresse geändert. "Auf diese Weise", sagt Fischer, "kommt man an die illegalen Server nicht mehr heran."
Eigentlich ließe sich das Problem leicht lösen, sagt Lutz Donnerhacke: "Es genügt, die möglichen Änderungen auf ein paar Mal am Tag zu begrenzen oder zwischen Änderungen eine Wartezeit von 60 Minuten einzubauen." Eine solche Begrenzung gibt es zum Beispiel bei der zentralen deutschen Registrierungsstelle Denic. "Das genügt, um das Konzept der Double-Fast-Flux-Netze zu behindern", bestätigt auch Fischer.
Zahlen mit gestohlenen Kreditkarten
Bereits seit 2005 liegt der Internetverwaltung Icann ein entsprechender Maßnahmenkatalog vor. Seine Umsetzung aber werde von großen Registraren wie Verisign verhindert, sagt Donnerhacke. Das sind Unternehmen, welche die Vergabe von Internetadressen regeln. Bei täglich 100.000 Neuanmeldungen allein über Verisign verdienten diese Registrare eben sehr viel Geld. Pro Adressänderung kassiert Verisign 6,86 Dollar für eine .com-Seite und 4,23 Dollar für eine .net-Seite. Die Kriminellen haben mit diesen Gebühren kein Problem - sie zahlen ohnehin mit gestohlenen Kreditkarten. Das entlastet nicht bloß das Budget, sondern lässt auch Ermittlungen über diesen Weg ins Leere laufen.
Die Registrare ihrerseits argumentieren, die Flexibilität sei unerlässlich für Firmen wie etwa Akamai, die sich darauf spezialisiert haben, große Dateien im Auftrag von Kunden möglichst schnell auszuliefern. Dazu müssten Anfragen sehr schnell umgeleitet werden können - ein Argument, das Donnerhacke jedoch nicht gelten lässt. Die dafür nötigen Änderungen würden die Firmen ohnehin auf ihren eigenen Systemen vornehmen, deren Adresse nach außen die gleiche bleibe. Matt Larson, Vizepräsident der Domain-Name-System-Forschung beim Registrar Verisign, lässt auf Anfrage wissen, dass er sich dafür einsetze, andere "Methoden zu entwickeln, mit denen Fast-Flux-Netzwerke entdeckt und das Risiko eines Angriffs reduziert werden kann". Welche das sein könnten, lässt er allerdings offen.
Lahme Internetverwaltung
Die Internetverwaltung Icann hat zwar eigentlich Verträge mit den Registaren geschlossen, die solche Praktiken ausschließen. Dennoch reicht ihre Macht offenbar nicht aus, die Registrare auch dazu zu zwingen, nur noch korrekte Registrierungen vorzunehmen. Überhaupt mahlen die Mühlen der Internetverwaltung um einiges langsamer als das dynamisch sich entwickelnde neue Medium Internet.
Innerhalb der Icann konnte man sich noch nicht einmal darauf einigen, ein Gütesiegel an Registrare zu vergeben, die korrekt arbeiten - auch ein Vorschlag, der schon Jahre alt ist. Manche Registrare wären wohl auch vorsichtig, sich allzu sehr damit zu brüsten. So ist es in der Szene kein Geheimnis, dass manche Registrare, aber auch Internetzugangsanbieter immer wieder mal ganze Blöcke von Adressen abschalten. Aber nur stillschweigend - aus Angst vor den Online-Kriminellen und deren Macht.