Kriminelle haben in Deutschland jahrelang Zehntausende Computer gleichzeitig kontrolliert. Sie hatten die Geräte mit Schadsoftware infiziert und konnten sie fernsteuern. Das wurde bekannt, als es Ermittlern am Donnerstag gelang, das Netzwerk der Betrüger aufzudecken. Sie entzogen den Kriminellen die Kontrolle über "Avalanche", ein sogenanntes Botnetz. Mit diesem riesigen Verbund ferngesteuerter Rechner hatten diese seit 2009 viele Millionen Euro verdient. Die wichtigsten Antworten zu dem Fall.
Was ist ein Botnetz?
Der Begriff steht für ein Netzwerk aus sogenannten Bots. Das Wort leitet sich vom englischen "robots" ab, mit Robotern haben sie aber nichts zu tun. Roboter sind Hardware, Bots sind Software. Einen Roboter kann man physisch anfassen, ein Bot ist ein Computerprogramm, das automatisiert bestimmte Aufgaben übernimmt, die sonst von Menschen erledigt werden. Besonders bekannt sind Social Bots, die automatisiert bestimmte Botschaften und Inhalte in sozialen Medien wie Twitter verbreiten und mit anderen Nutzern interagieren. Eine ausführliche Erklärung findet sich bei Netzpolitik.org.
Was ist das Ziel eines Botnetzes?
Die Social Bots können zu Netzwerken zusammengeschaltet werden, die dann zum Beispiel für Propaganda benutzt werden, indem sie massenhaft Tweets zu einem bestimmten Thema absetzen. Den Betreibern des Avalanche-Botnetzes ging es aber nicht darum, politisch Einfluss zu nehmen. Sie infizierten Zehntausende Smartphones und PC mit Schadsoftware, um diese fernsteuern zu können. Ähnlich wie bei einem Grippevirus verläuft die Infektion nach einem Schneeballsystem: Jeder verseuchte Rechner verschickt Dutzende oder Hunderte Nachrichten an andere Nutzer und versucht, möglichst viele weitere Geräte "anzustecken". Die Betroffenen bekommen von der Übernahme ihrer Rechner meist nichts mit und bemerken auch nicht, wenn ihr Gerät später ohne ihr Zutun aktiv wird.
Die Kriminellen verwenden die gekaperten Geräte häufig, um im großen Stil Spam- und Phishing-Mails zu versenden oder Erpresser-Software zu verbreiten. Diese Ransomware verschlüsselt alle Dateien auf der Festplatte und verlangt dann digital Lösegeld, bevor die Betroffenen wieder auf ihre Daten zugreifen können. In den vergangenen Wochen tauchten Botnetze auch immer wieder im Zusammenhang mit sogenannten Distributed Denial of Service-Angriffen (DDoS) auf. Bei DDoS-Attacken greifen viele von Bots gekaperte Geräte innerhalb kurzer Zeit auf einen Server zu und bringen diesen so zum Absturz. Server stellen Daten zur Verfügung, auf die andere zugreifen können. Zum Beispiel können sie eine Webseite bereitstellen, die ein Nutzer zu Hause aufrufen kann.
Als etwa im Jahr 2010 Wikileaks-Konten bei Zahlungsdienstleistern wie Mastercard, Visa und Paypal gesperrt wurden, legten Aktivisten diese Webseiten mit einer DDoS-Attacke lahm. In diesem Oktober waren in Nordamerika etliche populäre Dienste wie Twitter, Netflix und Spotify mehrere Stunden nicht erreichbar. Dahinter steckte ein DDoS-Angriff auf den Internetdienstleister Dyn. Als Angriffswaffen hatten die Hacker mit dem Internet verbundene Geräte gekapert, vor allem Webcams und Videorekorder.
Auch der Ausfall von 900 000 Telekom-Routern am vergangenen Wochenende hängt mit einem Botnetz zusammen: Kriminelle wollten über eine weit verbreitete Schwachstelle heimlich neue Geräte infizieren. Dass die Router dabei auch noch ihren Besitzern den Dienst versagten, war lediglich ein Versehen. Das IT-Sicherheitsteam der US-Regierung erklärte, dass auch das Avalanche-Botnetz zu DDoS-Attacken fähig war. Es gibt aber keine Anzeichen dafür, dass es solche Attacken auch ausgeführt hat.
Was ist das Besondere an Avalanche?
Die Kriminellen nutzten die Avalanche-Infrastruktur auch dazu, um Phishing- und Spam-Mails zu versenden. Diese sollen die Empfänger dazu bringen, persönliche Daten preiszugeben, indem beispielsweise ein Eingabeformular der Online-Bank gefälscht wird. Zuletzt standen vor allem Bankkunden mit Online-Banking-Zugängen im Fokus der Betrüger. Laut Staatsanwaltschaft Verden haben die Kriminellen von jedem Opfer durchschnittlich 5000 Euro erbeutet, insgesamt waren es seit 2009 in Deutschland wohl viele Millionen Euro. Der genaue Schaden ist unklar, weltweit schätzt Europol die Summe auf mehrere Hundert Millionen Euro.
Den Ermittlern zufolge wurden pro Woche mehr als eine Million Spam-Mails von den kontrollierten Geräten versandt. Dabei gingen die Kriminellen professionell vor und versuchten, ihre Steuerungs-Server vor den Behörden zu verstecken. Auf diese Server konnten die Kriminellen zugreifen und so Anweisungen an Tausende infizierte Rechner weiterleiten. Außerdem kam ein Algorithmus zum Einsatz, der jeden Tag Tausende neue Domains registrierte. Proxy-Server sollten die Anfragen an den Steuerungs-Server zusätzlich verschleiern.
Was tun Behörden?
Um das Avalanche-System auszuheben, haben die Behörden sogenannte Sinkhole-Server verwendet. Die Domains, die auf den Steuerungs-Server verweisen, werden von den Behörden übernommen und leiten auf andere Server weiter, die von den Ermittlern kontrolliert werden. Von dort aus werden dann keine Anweisungen mehr an die infizierten Geräte weitergegeben. Und die Ermittler können auf diese Weise nachvollziehen, wer auf die Steuerungs-Server zugreifen wollte - und so die Hintermänner ermitteln. Die Server wurden zu einem Sinkhole, einem Erdloch für die Kriminellen. Ihr Angriff versandet.
Zusätzlich können Behörden über Sinkhole-Server weitere Informationen über das kriminelle Botnetz herausfinden, etwa welchen Umfang es hat oder welche Geräte betroffen sind. Mit den Informationen können Internet-Provider wie die Deutsche Telekom oder Vodafone die Opfer des Netzes ermitteln und sie warnen.
Einen anderen Weg kann von dieser Woche an das FBI gehen. Eine Änderung im US-Recht ermächtigt die amerikanische Bundespolizei dazu, Opfer von Malware zu hacken, um mehr über das Botnetz und die Kriminellen herauszufinden. Bürgerrechtler sind allerdings besorgt über diese Möglichkeit. Sie kritisieren vor allem, dass lediglich ein Durchsuchungsbeschluss ausreichen kann, um Millionen Rechner zu infiltrieren. Denn die Opfer von Botnetzen können nun doppelt betroffen sein: Erst schleusen Kriminelle Malware auf ihr System ein, anschließend hackt auch noch das FBI ihren Rechner.