Botnetze und Gegenmaßnahmen

Der Zombie in meinem Netz

| Autor / Redakteur: Michael Sauermann / Peter Schmitz

Tausende Computer in Deutschland sind Teil von Bot-Netzen und führen ferngesteuert Angriffe im Internet aus. Ihre Besitzer sind meist ahnungslos. Die Angriffe zu stoppen ist schwierig.
Tausende Computer in Deutschland sind Teil von Bot-Netzen und führen ferngesteuert Angriffe im Internet aus. Ihre Besitzer sind meist ahnungslos. Die Angriffe zu stoppen ist schwierig. (© sdecoret - stock.adobe.com)

Im Lied „Re: Your Brains“ des amerikanischen Liedermachers Jonathan Coulton geht es um einen Zombie, der seinen Nachbar davon überzeugen möchte, sich den Untoten anzuschließen. Coulton singt „Thing have been okay for me except that I'm a zombie now”. Mit ähnlicher Leichtigkeit scheinen viele Privatpersonen und Unternehmen mit dem Risiko umzugehen, sich eine Schadsoftware einzufangen und dann mit Ihren „Zombie-Systemen“ Teil eines sogenannten Botnet zu werden.

Ein schlechtes Sicherheitsniveau, ein falscher Klick auf den Anhang einer E-Mail, oder fehlende Updates und es ist geschehen: Der Rechner ist infiziert. Häufig wird dieser Angriff selbst von einem infizierten System verschickt. Das Opfer wird also wie im Hollywood-Film durch Kontakt mit einem „Zombie“ selbst einer. Allein über einen Zeitraum von zehn Tagen im April und Mai 2017 waren der Anti-Spam-Webseite Spamhaus über 80.000 Systeme in Deutschland bekannt, die als „Zombies“ unerwünschte E-Mails verschickten.

Neben dem Versenden von Spam-E-Mails oder zur Verteilung von Schadsoftware werden „Zombie-Systeme“ oder „Bots“ (von engl. „Robot“) auch für weit aggressivere Aktivitäten genutzt. Bei einem Distributed Denial of Service-Angriff (DDoS) überfluten Abertausende Bots ein einzelnes Ziel mit einer Masse von Anfragen. Im vergangenen Jahr legte solch ein Angriff durch das berüchtigte „Mirai“-Botnetz mehrere sehr beliebte Webseiten wie Twitter, Reddit und Amazon lahm.

Ein DDoS-Angriff kann neben den Big Players im Internet aber auch andere Unternehmen treffen. KPMG Forensic hat Fälle untersucht, in denen Webshops immer dann lahmgelegt wurden, wenn besonders viele Kunden einkaufen wollten. Teils ging damit eine Erpressung einher, in anderen Fällen werden Konkurrenten als Auftraggeber verdächtigt.

Dass Botnetze und DDoS-Angriffe überhaupt möglich sind, liegt unter anderem an der offenen Architektur des Internets. Verstärkt wird das Problem durch schlampende Hersteller, unwissende Benutzer und unzureichend geschützte Unternehmen. Die sind zwar Verursacher, spüren meist aber selbst nur wenig von den Folgen. Und selbst wenn ein Versäumnis bekannt wird: Wer kennt schon den Hersteller einer verbauten, unsicheren Systemkomponente, die sich durch ein voreingestelltes Passwort durch Kriminelle ganz einfach zum „Zombie“ – also zum.Bot – machen lässt?

So fehlt es bei Firmen, deren Systeme Teil eines Botnet werden, häufig am Risikobewusstsein. In der kürzlich erschienenen KPMG e-Crime-Studie 2017 gab es beispielsweise erneut eine deutliche Diskrepanz zwischen Eigen- und Fremdwahrnehmung. So sagen neun von zehn Unternehmen, dass sie das Risiko, Opfer von e-Crime zu werden, als hoch, beziehungsweise sehr hoch einschätzen. Allerdings sieht nur knapp die Hälfte das Risiko im eigenen Haus. Aus der Praxis sind Fälle bekannt, in denen eine „Grundinfektionsrate“ der eigenen Systeme mehr oder weniger akzeptiert wurde.

Fehlende Konsequenzen

Eine Ursache dafür, dass die eigene Komplizenschaft als wenig dramatisch angesehen wird, liegt an den fehlenden Konsequenzen. Unsichere Unternehmensnetzwerke werden selten an den Pranger gestellt. Durch das deutsche IT-Sicherheitsgesetz (IT-SiG) und zukünftige EU-Regularien könnte sich das aber ändern. Im „IT-SiG“ werden explizit geeignete Schutzmaßnahmen nach dem Stand der Technik gefordert – andernfalls drohen Sanktionen. Bisher hat das Bundesinnenministerium nur die Weichen für Strafen gelegt. Es bleibt abzuwarten, ob und wann das Gesetz erstmals seine Zähne zeigt.

Dabei gibt es bereits heute triftige Gründe, sich mehr mit der Sicherheit der eigenen Systeme zu befassen. So werden unsichere Systeme häufig im Laufe der Zeit von mehreren Schädlingen befallen. Dies beginnt mit dem Versenden von Spam und der Generierung von Bitcoins oder einer anderen Crypto-Währung auf Kosten des Unternehmens. Beispielsweise war die Kryptowährung generierende Schadsoftware „Adylkuzz“ nach Informationen von Sicherheitsforschern sogar deutlich lukrativer als der Erpressungstrojaner „WannaCry“. Das besondere an diesen erfolgreichen Schadsoftwarekampagnen ist, dass diese sich unter Ausnutzung der am 14. April 2017 von der Hackergruppe „The Shadow Brokers“ veröffentlichten Exploit „EternalBlue“ selbständig in Netzwerken verbreiten kann. Dabei wird eine Schwachstelle in der Implementierung des SMB-Protokolls (siehe CVE-2017-0144) ausgenutzt, um Code auf einen verwundbaren Rechner auszuführen.

In komplexeren Fällen wird sogar die E-Mail-Kommunikation des befallenen Systems mitgeschnitten. Die so gewonnenen Informationen werden dann etwa für Social-Engineering-Angriffe verwendet.

Schutz ist möglich

Wie gegen andere Bedrohungen aus dem Cyberraum gibt es aber auch gegen die „Zombiearmeen“ geeignete Maßnahmen. Der Katalog der Präventionsoptionen umfasst unter anderem die regelmäßige Schulung und Sensibilisierung der Mitarbeiter hinsichtlich digitaler Bedrohungen, einen zeitgemäßen Schutz gegen schädliche E-Mails und Software und die proaktive Suche nach Infektionen.

Ein bereits eingetretener DDoS-Angriff erfordert hingegen reaktive Maßnahmen. Bei einer Offensive, der von einem kleinen Botnetz ausgeht, kann die eigene Unternehmens-IT gegensteuern. Bei größeren Angriffen müssen häufig externe Dienstleister einbezogen werden. Die versuchen ein Angriffsmuster zu identifizieren, um anschließend möglichst effektive Abwehrmaßnahmen anzuwenden.

Expertenhilfe anfordern

DDoS-Protection-Dienstleister können den Netzwerkverkehr der Kunden filtern. Hierfür müssen die Daten in Richtung des Dienstleisters umgeleitet werden. Der überträgt den Netzverkehr nach dem Filtern üblicherweise über einen unverschlüsselten Tunnel zurück zum Kunden.

Ob diese Maßnahmen implementiert sind oder nicht, hängt vor allem davon ab, wie gut der Überblick über das eigene Sicherheitsniveau ist. Es hat sich bewährt, regelmäßig selbst oder mit externen Experten das eigene „Cyber-Immunsystem“ und das Reaktionsniveau des eigenen Unternehmens zu beleuchten. Der Katalog möglicher Präventionsmaßnahmen ist zwar lang und detailliert, aber jeder richtige Schritt stärkt die Abwehrfähigkeiten.

Über den Autor: Michael Sauermann ist Partner bei KPMG Forensic Technology und unterstützt Mandanten bei der Bewältigung von IT-Sicherheitsvorfällen (Cyber Incident Response), IT-Forensik und beim Krisenmanagement.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44866845 / Malware)