Unter Botnets versteht man hauptsächlich das Kapern von Computern zum Versenden von Spam-Mails. Die Bedrohung geht jedoch viel weiter: Im schlimmsten Fall vermieten Kriminelle die Botnets, um an persönliche Informationen zu gelangen, zum Beispiel Bankdaten oder Passwörter, um kommerzielle Attacken zu fahren, Geld zu stehlen oder um betrügerische Aktionen durchzuführen.

Betroffen sind sowohl Privatanwender als auch Unternehmen. So werden zum Beispiel Webseiten infiziert, die bereits beim bloßen Öffnen schädlichen Code auf dem Rechner des Besuchers abspeichern (sogenannte Drive-by-Infektionen). Botnets werden auch dazu verwendet, DDoS-Attacken auf Unternehmen zu fahren. Das kann schwerwiegende Folgen haben: so wurde auch der Internet-Dienst Twitter vor kurzem Opfer einer solchen DDoS-Attacke und war zeitweise nicht mehr erreichbar.

Besonders diese Bedrohung darf auf keinen Fall auf die leichte Schulter genommen werden. Das Abgreifen von Bankinformationen ist ein äußerst lukratives Geschäft. Das gilt auch für erpresserische DDoS-Attacken und für das Vermieten der Botnets an Dritte. Diese "Armeen" werden ständig weiter rekrutiert und entwickelt. Die Personen oder Organisationen, die hinter solchen Gruppen von Botnets stecken, sogenannte "Bot Herders", investieren ständig in die Infrastruktur zur Steuerung ihrer Botnets.

Botnets sind mitunter extrem ausgefeilt und sehr hartnäckig. Sie besitzen sogar eine eigene Disaster Recovery, um gegen Angriffe gefeit zu sein.

Die einzelnen Botherds können immense Ausmaße annehmen. So wurde kürzlich in den USA und in England ein Botnet mit über 2 Millionen PCs entdeckt. Ein Botnet in den Niederlanden erstreckte sich über mehr als 1,4 Millionen Rechner.

Wie infiziert man sich?

Botnets sind multiple Software-Roboter (Bots), die selbstständig laufen. Sie können bösartig oder gutartig sein, wir wollen uns hier jedoch nur auf die bösartige Variante beschränken. Bots werde üblicherweise per e-Mail oder über Webseiten verbreitet.

Die User wissen mittlerweile gut über e-Mail-basierte Bedrohungen Bescheid und haben sich großteils dagegen geschützt. Deshalb wächst die Zahl der Bots, die sich über das Web ausbreiten. Dies passiert zum Beispiel beim Besuch auf einer vermeintlich harmlosen Webseite, bei der man sich einen bösartigen Download einfängt. Diese Art von Bedrohung umgeht sogar die herkömmlichen listenbasierten Web Content Security-Systeme, die auf Listen mit guten und bösen Sites basieren. Auf diesen Listen tauchen die infizierten "guten" Seiten meist nicht auf.

Es gibt auch Phishing-Mails, die den Surfer auf Webseiten führen, bei denen man sich unabsichtlich mit einem Bot infiziert. Benutzer in Ihrem System schleppen diese dann möglicherweise auf Laptops oder USB-Geräten ein, und infizieren so das gesamte Netzwerk. Bots kann man sich außerdem beim Spielen von Online-Rollenspielen (MMORPG, Massive Multiplayer Online Role Playing Games) einfangen.

Auch Trojaner und Würmer sind gängige Methoden, um Rechner für die Botherde zu rekrutieren. Conficker, der kürzlich bei der Stadt Manchester einen Schaden von mehr als 1,5 Millionen Pfund anrichtete, ist so ein ausgefeilter Wurm. Er repliziert sich selbst und wird von einer zentralen Kommando- und Kontrollstruktur aus gesteuert.

Verwundbar sind Sie auch, wenn Sie keine aktuelle Anti-Viren-Software verwenden und Sicherheitslücken nicht umgehend schließen.

Gefahren

Es ist gut möglich, dass Sie von der Infektion Ihres Rechners gar nichts mitbekommen und bereits Teil einer Zombie-Armee sind. Der Bot könnte bereits versteckt auf Ihrem System installiert sein und Ihren Rechner dazu missbrauchen, im Hintergrund Unmengen an Spam zu verschicken oder Keyboard-Eingaben, Passwörter, Details zum Online-Banking und viele weitere Informationen abzugreifen.

Im Falle von Botnets, die für DDoS-Attacken benutzt werden, sind bereits unwissende Nutzer ins Visier der Fahnder geraten. Es kann auch passieren, dass Ihre Firma sich plötzlich auf einer Spam-Blacklist wiederfindet.

Bots sind in der Lage, in das Firmennetzwerk einzudringen. Dann können sie alle Aktivitäten überwachen und Ihre Sicherheit gefährden, indem möglicherweise Passwörter oder Online-Banking-Daten weitergegeben werden.

Ist der Bot erst einmal installiert, kann er auch durch das massenhafte Versenden von Spam Ihr Netzwerk lahmlegen, ohne dass Sie den Grund dafür erkennen.

So schützen Sie sich vor Bots

Es gibt etliche Wege, um Ihr Unternehmen vor Bots zu schützen. Sehr hilfreich ist es, so schnell wie möglich die Sicherheitsupdates für die Kernanwendungen zu installieren. Deren Sicherheitslücken stellen bis zum Aufspielen des Patches ein hohes Risiko dar.

In einem Sicherheitsbericht von Lumension aus dem Jahr 2009 findet sich folgende Aussage von Paul Henry, Security and Forensic Analyst: "Botnets werden sich im Internet weiterhin ungehindert ausbreiten, solange das grundlegende Problem des Patch-Managements nicht gelöst ist."

Der beste Schutz vor Botnets besteht darin, von Anfang an ordentliche Sicherheitslösungen einzusetzen.

Unternehmen sollten dabei am Gateway anfangen. Gateway Security allein genügt jedoch nicht, wenn sich mobile User und Besucher hinter dem Gateway einklinken. Abhilfe schaffen hier eine gute Zugangskontrolle und eine starke Zwei-Faktor-Authentifizierung.

Nutzt die Belegschaft USB-Geräte, Laptops, iPods etc. hinter dem Gateway, besteht das Risiko einer Umgehung der Sicherheitskontrollen und einer Infektion von Netzwerkgeräten. Achten Sie daher darauf, dass Ihre Sicherheits-Policy den sicheren Umgang mit mobilen Geräten abdeckt.

Ein weiteres hohes Risiko innerhalb des Netzwerks besteht in einer Infektion beim Besuch infizierter Websites durch surfende Mitarbeiter. Dagegen schützt der Einsatz einer klassischen Multi-Layer-Protection-Lösung. Sie sollten jedoch nicht nur Ihr Gateway schützen, sondern auch Ihre PCs. Idealerweise stammt dieser Schutz von einem anderen Hersteller als der Schutz auf dem Gateway.

Es gibt eine Vielzahl von Endpoint-Lösungen (PC/Laptop), die guten Schutz bieten. Lösungen von Herstellern wie Lumension, Websense, oder Kaspersky Lab scannen den gesamten eingehenden und ausgehenden Datenstrom der PCs auf schädliche Inhalte, und bewahren so den Rechner vor der Kaperung durch ein Botnet.

Die oben erwähnten Endpoint-Lösungen schützen sowohl vor schädlichem Code von infizierten Websites als auch vor Trojanern aus e-Mails oder von mobilen Geräten, wie zum Beispiel USB-Sticks.

Lösungen für das Gateway werden beispielsweise von NETGEAR STM und Websense angeboten. Diese identifizieren Schadcode und schützen vor bösartigen Websites und infizierten "guten" Seiten.

Zum Schutz Ihrer eigenen Webseite vor Infektion und Verbreitung von Schadcode bieten Unternehmen wie Barracuda Networks und Fortinet Webapplikationen mit Firewall-Fähigkeiten an.

Weitere Lösungen, wie zum Beispiel die Anti-Spam, Anti-Virus und Anti-Spyware-Firewall von Fortinet, WatchGuard oder Netgear schützen den eingehenden und ausgehenden Traffic in Ihrem Netzwerk. Diese Lösungen schützen auch vor dem Versuch, Spam zu verbreiten oder Spyware-Daten zurückzusenden.

Entdecken können Sie Bots auch durch den Einsatz von Traffic Management-Lösungen, zum Beispiel von Allot. Diese können Traffic-Muster erkennen, auch maskierte, welche durch einen Bot verursacht sein könnten.

Network Intelligence-Systeme, zum Beispiel von Loglogic oder ArcSight, sind ebenfalls sehr hilfreich. Damit haben Sie den Überblick und eine Analyse der gesamten Log-Informationen in Ihrem Netzwerk bis auf PC-Ebene. So werden ungewöhnliche Aktivitäten schnell sichtbar.

Auf Webseiten wie Spamhaus.org wird erklärt, wie Sie beim Verdacht auf eine Infektion ein Botnet erkennen und entfernen können. Auf Firmenebene können die genannten Lösungen ihr System auch säubern. Im Heimbereich bieten Unternehmen wie beispielsweise Kaspersky Lab Schutz zum kleinen Preis.

Handlungsbedarf

Arglosigkeit und mangelnder Schutz führen schnell zu einer Infektion. Hier besteht Handlungsbedarf für die Service Provider. Einige ISPs arbeiten bereits intensiv an dem Problem: so haben sich beispielsweise die niederländischen ISPs Anfang des Jahres zusammengeschlossen, um gemeinsam gegen die Bedrohung vorzugehen.

Das ist jedoch eher die Ausnahme. Viele Service Provider reagieren erst, wenn sie bereits auf einer Spam-Blacklist stehen oder selbst Opfer einer DDoS-Attacke geworden sind.

Dieser Ansatz ist nicht sehr kundenfreundlich und kurzsichtig. Schließlich gibt es bereits Lösungen für Service Provider, wie beispielsweise der ServiceProtector von Allot, der Botnets effektiv ausschaltet und Spamversand sowie -empfang von den Rechnern der Betroffenen verhindern kann.

Das wichtigste dabei ist, dass diese Lösungen den Service Providern und Unternehmen auch Schutz vor DDoS-Attacken bieten. Es gibt also keine Ausrede mehr, keine Maßnahmen gegen diese ernsthafte Bedrohung zu ergreifen.

Es existiert bereits eine Reihe anderer Initiativen im Kampf gegen Botnets. So haben vor kurzem sowohl die Messaging Anti-Abuse Workgroup als auch die IETF (Internet Engineering Task Force) einige Best Practices gegen Botnets veröffentlicht. Außerdem werden die Forderungen vieler großer Unternehmen im Kampf gegen Botnets immer lauter - siehe dazu auch die neuesten Kommentare von Google.

Der Druck nimmt zu, und somit wächst die Wahrscheinlichkeit, dass sich in den nächsten Jahren beim Kampf gegen Botnets einiges tun wird.