Bundesweite Zentrale zur Botnetz-Bekämpfung

Großes Bohei um eine eigentlich simple, geniale Sache: Das BSI und eco stellten am Dienstag auf dem vierten nationalen IT-Gipfel in Stuttgart ein gemeinsames Projekt vor, das Endanwender dabei unterstützen soll, ihre Rechner von Viren und Bots zu befreien. Herzstück der bundesweiten Beratungsstelle soll ein rund 40 Mitarbeiter starkes Call-Center sein, bei dem hilfesuchende Bundesbürger telefonische Unterstützung von Anti-Viren-Spezialisten erhalten.

Nun macht sich im Netz jedoch die Vermutung breit, angeheizt von der Presse, dass die Bundesregierung so heimlich auf die Rechner rechtschaffender Bürger Einblick nehmen möchte oder gar Provider dazu ermutigt, umstrittene Überwachungsmethoden, wie der Durchfilterung des Netzverkehrs per „Deep Packet Inspection” einzusetzen. Auch wird von Sanktionen gesprochen, die gegen vermeintlich unwillige Kunden vorgesehen seien oder gar von einem verpflichtenden Virenschutz.

Entsprechend haben sich sofort mahnende Stimmen aus der Politik erhoben: „Eine generelle Überwachung des Internet-Datenverkehrs darf es nicht geben, dies ist auch im Koalitionsvertrag vereinbart„, heißt es aus den Reihen der FDP. Ein Sperren von Netzzugängen oder eine Beschränkung des Internetzugangs allein auf eine Warnseite sei ein gravierender Grundrechtseingriff, der für die Liberalen nicht denkbar sei.

Dass das auch mit mitnichten das Interesse eines ISPs sein kann, zeigt 1&1 bereits seit Anfang des Jahres: Anlässlich des Safer Internet Days haben wir ein vergleichbares Projekt im Alleingang gestartet, das nicht nur erfolgreich angelaufen ist, sondern auch den „Piloten” für das gemeinsame Projekt von Wirtschaft und Staat bildet: Denn wir informieren unsere Kunden (und auch Mitbewerber, wie die Deutsche Telekom, wenn deren Kunden sich bei uns melden) bereits gezielt per E-Mail über erkannte Infektion und geben diesen „Schritt-für-Schritt-Anleitungen” zum Entfernen der Schädlinge an die Hand. Angereichert mit nützlichen Tipps, wie sich Endanwender zukünftig vor derartigem Malware-Befall schützen können, runden unser Sicherheitsangebot ab.

Aus meiner Sicht ist hier weder die Verweigerung von Dienstleistungen (Sperrungen; Aussprechen von Sanktionen), noch der Einsatz von DPI-Technologien notwendig um infizierte Systeme zu lokalisieren oder den Kunden zum Handeln zu ermutigen: Honeypot-Systeme (die Computersysteme ohne aktuelle Sicherheitsupdates simulieren), Spamfallen und das gezielte Sinkholen (Simulieren von Command & Control-Servern) von Malware (wie es z.B. die Conficker Working Group seit Ende letzten Jahres beim gleichnamigen Schädling tut) liefern genug Material, um valide Informationen über infizierte Computer-Systeme zu erhalten. Das müssten auch die „Sicherheitsexperten” der Online-Redaktion des Heise/IX-Verlages wissen. Warum alles in der Welt, wird hier die „Zensursula” & „Stasi 2.0” rausgeholt? Was bezweckt der Redakteur mit derartigen Behauptungen?

Ob in den E-Mails, Briefen oder Vorschaltseiten (Walled Garden) nun die Telefonnummer der kostenpflichtige Hotline-Nummer des eigenen Service-Providers für weitere Rückfragen angegeben ist, oder eine bundesweit / einheitliche Hotline des eco-Verbandes, ist für den Anwender doch eigentlich unerheblich: Hauptsache ihm wird bei aufkommenden Fragen geholfen.

Siehe auch: „Botnetze sind keine verschnupften PCs, sondern Tatwerkzeuge”

Kategorie: Netzkultur
11 Kommentare11
  1. 25. Dezember 2009 um 21:38 |

    Guten Tag, Herr Kraft,

    Sie schreiben: „Denn wir informieren unsere Kunden (und auch Mitbewerber, wie die Deutsche Telekom, wenn deren Kunden sich bei uns melden) bereits gezielt per E-Mail über erkannte Infektion und geben diesen “Schritt-für-Schritt-Anleitungen” zum Entfernen der Schädlinge an die Hand.”

    Anfang 2009 wurde auch ich von Ihrer Abuse-Abteilung beschuldigt, Teil eines Bot-Netzes zu sein. Allerdings war und ist mein Mac absolut sauber; die ganzen Anschuldigungen fauler Zauber. Als IT-Experte konnte ich anhand von Logfiles, etc. nachweisen, dass ihre Anschuldigungen völlig falsch waren.

    Natürlich keine Reaktionen oder eine Entschuldigung von seiten 1&1. Ihre Beschuldigungsmail hat mich fast mehrere Tage mit Analysen etc. beschäftigt, und endgültig „das Fass zum Überlaufen” (bzgl. 1&1) gebracht – ich habe gekündigt.

  2. 26. Dezember 2009 um 09:35 |

    @Hans-Peter: Wir bedauern sehr, dass Sie zum damaligen Zeitpunkt von uns keine Antwort erhalten haben. Ich kann Ihnen versichern, dass dies defintiv nicht von uns gewünscht ist.

    Mangels Dateneinsicht kann ich Ihnen hier aber auch nur generisch antworten: Wenn Kunden von uns angeschrieben werden, wurde die IP-Adresse, die zum damaligen Zeitpunkt Ihrem DSL-Anschluss zugeordnet war, entweder einer externen Beschwerde über DSL-Spam zugeordnet, oder aber wir haben Ihr System auf einem selbst betriebenen HoneyPot-System gesichtet.

    Wohingegen wir bei unseren selbst aufgesetzten Systemen wissen, dass die relevanten Daten zur Zuordnung sekundengenau mitprotokolliert werden, können wir dies bei externen Beschwerden natürlich nicht und sind hier auf die Richtigkeit IP/Zeitstempel-Angaben durch den Beschwerdeführer angewissen. Eventuell kam es hier zu einer fehlerhaften Übermittlung und daher auch zu einer Falsch-Alarmierung. In diesem Falle möchten wir uns natürlich entschuldigen.

    Mgl. wäre auch, dass Ihr WLAN zum genannten Zeitpunkt von einer Dritten Person mitgenutzt wurde; und dieser Rechner bei uns aufgefallen ist.

    Wie Sie als IT-Experte wissen, ist es jedoch nicht ausgeschlossen, dass MAC-Systeme (entgegen weitläufigen Aussagen) mit spamsendendem „Ungeziefer” oder Trojaner infiziert sind und dass VirenScanner, die auf Patternbasis nach Malware suchen nur etwa 40-60% aller existierender Schadsoftware erkennen.

  3. 26. Dezember 2009 um 12:27 |

    Hallo Herr Kraft,

    danke für Ihre Antwort. Und genau diese Antwort hatte ich auch schon erwartet, denn Sie beten das Mantra Ihrer Abuse-Abteilung: „Auch Macs sind mit spamsendendem “Ungeziefer” infiziert” oder „Ihr WLAN zum genannten Zeitpunkt von einer Dritten Person mitgenutzt wurde”, usw.

    Ich kann nur folgendes dazu nur sagen: Meine Fritzbox war WLAN-mäßig vollständig abgesichert. Die Protokolle zeigen: keiner außer meinem Rechner konnte sich verbinden (WPA-2, MAC-Address-Filter: ein), und zum Zeitpunkt des Spam-Mailversands war dieser eine Rechner ausgeschaltet.

    Das „Abusix-Team” (info@abusix.org) hat mir auf meine Frage „Can you explain to me, how the spam email has a timestamp at which I was not online?” folgendes geschrieben: „I cannot answer this question. What we do, is just sending reports to the responsible ip owner. The way your ISP (1&1) is using to figure out who you are and forwarding the complaint to you is not in our responsibilities. That is something you should discuss with your ISP.”

    Meiner Meinung nach wurden die Spam-Mails von einem Vornutzer der betr. IP versandt oder gefälscht. Mir ist es unbegreiflich, warum jemand, dem einige Stunden nach einem Spamversand von einer IP genau diese zugeteilt wird, sofort verdächtigt wird. Dies sollten Sie in Ihren Analysen berücksichtigen! Oder geraten alle in einen Generalverdacht?

    Fazit für mich: Ihre Abuse-Detection-Systeme arbeiten anscheinend nicht zuverlässig. Es wäre schön gewesen, dies auch einmal zuzugeben. Eine Entschuldigung der Abuse-Abteilung von 1&1 wäre auch angebracht gewesen.

  4. 26. Dezember 2009 um 23:51 |

    @ Hans-Peter: In diesem speziellen Fall ist es, so zumindest Ihre Beschreibung, eine externe „Beschwerde” zum DSL-Spam, die nach Abgleich mit den Logdateien unsere Login-Servers ein Anschreiben an Sie ausgelöst hat. Wie bereits erwähnt, vertrauen wir hier auf die Richtigkeit der uns übermittelten Daten, wenn uns der Beschwerdeführer (hier Abusix.org) bekannt ist.

    Gerne (und um Auszuschießen, dass auf unserer Seite ein Fehler vorliegt) würde ich mir Ihren Fall mal genauer ansehen. Kann ich Sie über die E-Mail-Adresse aus Ihre Foren-Posting erreichen?

  5. 27. Dezember 2009 um 00:10 |

    Herr Kraft, ja.
    Der beschriebene Fall trat am 01.03.2009 um 10:08 Uhr und um 10:09 Uhr auf. Die Ticketnummer ist: AB6746085.

  6. 27. Dezember 2009 um 00:25 |

    @Hans-Peter: vielen Dank. Bitte haben Sie Verständnis, dass ich Ihnen erst am Montag oder Dienstag vom Büro aus antworte. Ich habe hier von zuhause leider nur begrenzte Möglichkeiten auf unsere Systeme zuzugreifen.

    Beste Grüße und einen angenehmen Sonntag,
    Thorsten Kraft

  7. 27. Dezember 2009 um 14:13 |

    @Hans-Peter: Ich habe mir soeben Ihren Fall nocheinmals angesehen:

    Am 01.03.2009 erhielten wir zwei externe Beschwerden über Spamversendungen, die wir nach Abgleich mit unseren Logfiles Ihrem Vertrag zuordneten. Ob es hierbei auf unserer Seite zu einer fehlerhaften Zuordnung kam, kann ich aufgrund Überschreitung der max. Speicherdauer von IP-Adressdaten nun nicht mehr rekonstruieren. Hierfür möchte ich mich entschuldigen.

    Fakt ist, und das möchte ich an dieser Stelle unterstreichen: Die Informationen zu einer Infektion kommen nicht aus unseren eigenen Systemen. Auch möchte ich bestätigen, dass wir zu Ihrem Vertrag keine weiteren Informationen über eine mgl. Trojanisierung vorliegen haben: Ob es auf Seiten des Beschwerdeführers zum Zeitpunkt des Spameingangs zu einer falschen Protokollierung des Zeitstemples kam, können wir nicht/niemals ausschließen. Was wir jedoch tun können: externe Informationen mit etwas mehr Skepsis betrachten.

    Dies haben wir im Falle von Abusix.org bisher nicht getan; werden wir im Laufe der kommenden Woche aber prüfen und ggf. in unserer automatisierten Bearbeitung berücksichtigen.

    Ich bedaure sehr, dass ich Ihnen nicht weiterhelfen konnte und entschuldige mich vielmals für die entstandenen Unannehmlichkeiten.

  8. 27. Dezember 2009 um 18:59 |

    Herr Kraft, danke für Ihre detaillierte Rückmeldung und Entschuldigung.

    Ich möchte noch hinzufügen, dass bereits ab dem Vortag (28.2.2009, 2:00) die damalige „böse” IP, die mir einen Tag später zugeteilt wurde, unter http://cbl.abuseat.org/lookup.cgi?ip=77.181.171.191 wie folgt gelistet war:
    ____

    IP Address 77.181.171.191 is currently listed in the CBL.
    It was detected at 2009-02-28 01:00 GMT (+/- 30 minutes)…
    ATTENTION: At the time of detection, this IP was infected with, or NATting for a computer infected with a high volume spam sending trojan – it is participating or facilitating a botnet sending spam or spreading virus/spam trojans.
    This is identified as the Ozdok/Mega-D spambot .
    ____

    Derartige IP’s sollte man für eine gewisse Zeit nicht mehr zuteilen, dann würde solche – anscheinend fehlerhaften – Zuordnungen von vornherein ausgeschlossen.

  9. 28. Dezember 2009 um 23:25 |

    @Hans-Peter: Das ist durchaus eine überlegenswerte Anregung.
    Allerdings müsste das die deutsche Telekom (bzw. alle anderen Resale-Partner) für uns tun, da diese für die Zuteilung der IPs zuständig sind.

  10. 7. Januar 2010 um 19:03 |

    Seit wann werden denn Ips von der Telekom vergeben / zugeteilt … ?

  11. 8. Januar 2010 um 09:33 |

    @Christian: DTAG, Vodafone, QSC, … sind unsere Vorleister.

    Die Zuteilung der IPs (nachdem Sie sich bei uns mittels Benutzername & Passwort erfolgreich authentifiziert haben) erfolgt dann aus den IP-Pools die unser technischer Partner für DSL-Kunden bereithalten.

Die Kommentare sind geschlossen.