Abwehr von Botnet-Attacken

Mit ACDC gegen die Zombie-PCs

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Highway to Hell? Nein, eher das Gegenteil: Das europäische Advanced Cyber Defense Center (ACDC) bietet für Unternehmen eine wichtige Ergänzung bestehender Anti-Botnet-Tools.

Unter den EU-Staaten steht Deutschland an der unrühmlichen Spitze der Standorte von Botnet-Servern, wie der McAfee Threats Report: Second Quarter 2013 zeigt. Weltweit liegt Deutschland als Botnet-Server-Standort auf Platz 2 hinter den USA. Die Botnet-Server geben die Kommandos an ferngesteuerte Computer (Zombie-Computer) und sind beteiligt an Spamming, der Verteilung von Malware, Datendiebstahl, Denial-of-Service-Attacken und Betrugsfällen.

Keine Frage: Es besteht weltweit Handlungsbedarf im Kampf gegen die Botnets - nicht nur auf staatlicher Ebene, sondern in jedem einzelnen Unternehmen. Dabei können internationale und nationale Initiativen ebenso helfen wie professionelle Security-Lösungen, spezielle Anti-Bot-Scanner und nicht zuletzt die Unterweisung der Nutzer.

Angebote europäischer und nationaler Initiativen

Im Februar 2013 fiel der Startschuss für das Advanced Cyber Defense Center (ACDC). Das ACDC soll eine Antwort Europas auf die Gefahr durch Botnets werden. Meldungen zu Botnet-Attacken werden zentral gesammelt und ausgewertet, betroffene Stellen werden in definierter Form informiert und erhalten Unterstützung durch Tools und präventive Aufklärung. 28 Partner aus 14 europäischen Ländern sind an dem Pilotprojekt beteiligt, ein Gesamtbudget von 16 Millionen Euro steht zur Verfügung. Was Unternehmen an Unterstützung durch das ACDC erwarten dürfen, wurde kürzlich auf den Internet Security Days 2013 vorgestellt.

Das Advanced Cyber Defense Center (ACDC) soll dem gemeinsamen, europäischen Kampf gegen Botnets dienen.
Das Advanced Cyber Defense Center (ACDC) soll dem gemeinsamen, europäischen Kampf gegen Botnets dienen.
Foto: eco Verband der deutschen Internetwirtschaft e.V.

Von zentraler Bedeutung im ACDC-Konzept ist ein Clearing House, an das die Projektteilnehmer Sicherheitsvorfälle wie Spam-Attacken, Datendiebstahl oder DDoS-Angriffe melden sollen. Umgekehrt meldet das Clearing House die Sicherheitsereignisse beispielsweise an betroffene Anwenderunternehmen, Netzbetreiber, Cloud-Provider, Sicherheitsanbieter oder Banken.

Betroffene Unternehmen sollen über die Website www.botfree.eu bei der Beseitigung der Bots und anderer Malware unterstützt werden, mit entsprechenden Software-Tools und konkreten Anleitungen. Das ACDC wird zudem selbst aktiv nach gefährlichen Web-Seiten suchen und entsprechend davor warnen.

Damit soll das ACDC insgesamt fünf Services anbieten:

  • das Clearing House zur Sammlung, Auswertung und standardisierten Meldung von Botnet-Aktivitäten,

  • das Support-Center zur Information und zur Unterstützung betroffener Stellen mit speziellen Tools,

  • das Aufspüren verseuchter Webseiten,

  • die Untersuchung von Netzwerk-Anomalien und

  • die Bereitstellung von Abwehr-Tools für Endgeräte, darunter auch Smartphone und Tablets, die Teil mobiler Botnets werden können.

In mindestens acht europäischen Staaten sollen zusätzlich nationale Zentren geschaffen werden, die sich dem Kampf gegen Botnets widmen und von dem ACDC koordiniert werden. In Deutschland besteht bereits ein solches nationales Zentrum, das eco Anti-Botnet-Beratungszentrum.

Anti-Botnet-Beratungszentrum (ABBZ)

Das Anti-Botnet-Beratungszentrum (ABBZ) nahm seine Tätigkeit bereits im September 2010 auf und wird ebenso wie das ACDC-Projekt von eco - Verband der deutschen Internetwirtschaft e.V. koordiniert.

Botfrei.de bietet einen Browsercheck.
Botfrei.de bietet einen Browsercheck.
Foto: Screenshot F-Secure.com

Internetnutzer, deren Computer Teil eines Botnets geworden sind, finden auf der Website des Beratungszentrums Tools wie DE-Cleaner, Hinweise zu verschiedenen Online-Scannern sowie Anleitungen, wie man sich besser vor Bot-Infektionen schützen kann. Zusätzlich gibt es eine telefonische Hotline. Unterstützt wird das Projekt vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und vom Bundesministerium des Innern (BMI).

Laut eco als Koordinator des Anti-Botnet-Beratungszentrums gab es zwischen September 2010 und Dezember 2012 insgesamt 3,3 Millionen Besucher auf botfrei.de, wurde der DE-Cleaner 1,9 Millionen-mal heruntergeladen und waren über 30 Prozent der gescannten Systeme infiziert.

Online-Dienste von Sicherheitsanbietern

Online-Scanner wie der von F-Secure können dabei helfen, eine Bot-Infektion auf Endgeräte zu entdecken.
Online-Scanner wie der von F-Secure können dabei helfen, eine Bot-Infektion auf Endgeräte zu entdecken.
Foto: Screenshot F-Secure.com

Ob Teilnehmer am ACDC, ABBZ oder nicht, viele IT-Sicherheitsanbieter leisten einen Beitrag zur Bekämpfung der Botnets - zum Beispiel durch eigene (Online-)Scanner, die zum Aufspüren einer Bot-Infektion genutzt werden können. Beispiele sind Bitdefender QuickScan, Emsisoft Web Malware Scan, F-Secure Online-Scanner, McAfee Security Scan Plus, Panda Security ActiveScan 2.0, Seculert oder Trend Micro HouseCall und RUBotted.

Online-Scanner können zeitnah einen Eindruck über mögliche Verseuchungen auf dem Endgerät geben, wie Bitdefender bereits mit dem Namen Quick Scan zeigt.
Online-Scanner können zeitnah einen Eindruck über mögliche Verseuchungen auf dem Endgerät geben, wie Bitdefender bereits mit dem Namen Quick Scan zeigt.
Foto: Screenshot Bitdefender.de

Der wesentliche Vorteil des ACDC-Konzeptes besteht darin, dass in einem europaweiten Projekt mit 28 Partnern weitaus mehr Informationen über aktive Botnet-Attacken vorliegen werden, als es ein einzelner Sicherheitsanbieter leisten kann. Basis der Sicherheitsinformationen und damit der Botnet-Warnung und -Erkennung können bei einzelnen IT-Sicherheitsanbietern schließlich immer nur die Daten der Kundeninstallationen oder Nutzer sein, die einer Weiterleitung definierter Sicherheitsprotokolle zugestimmt haben.

Anti-Malware-Lösungen wie die von Kaspersky bieten einen erweiterten Schutz, indem zusätzlich zu den regelmäßigen Signaturupdates auch Informationen zu aktuellen Gefahren in Echtzeit ausgewertet werden.
Anti-Malware-Lösungen wie die von Kaspersky bieten einen erweiterten Schutz, indem zusätzlich zu den regelmäßigen Signaturupdates auch Informationen zu aktuellen Gefahren in Echtzeit ausgewertet werden.
Foto: Kaspersky Security Network (KSN), Screenshot O. Schonschek

So nutzen zum Beispiel verschiedene Kaspersky-Lösungen das sogenannte Kaspersky Security Network (KSN). Dieser Cloud-Dienst sammelt sicherheitsrelevante Informationen von Kaspersky-Nutzern, die einer Teilnahme an KSN zugestimmt haben. Auf Basis dieser Nutzerinformationen wird in Echtzeit nach aktuellen Bedrohungen wie zum Beispiel Botnets gesucht. Ein ähnliches Konzept verfolgen auch andere IT-Sicherheitsanbieter - Beispiele sind die Websense ThreatSeeker Intelligence Cloud oder Trend Micro mit Smart Protection Network. Laut Trend Micro werden jeden Tag mehr als sechs Terabyte an Risikosdaten aus der ganzen Welt gesammelt und ausgewertet, um einen Einblick in die verschiedenen Bedrohungsarten zu erlangen. Auf dieser Basis würden mehr als 200 Millionen Bedrohungen täglich erkannt und blockiert.

Botnet-Attacken und andere Malware-Angriffe lassen sich durch die Analyse umfassender Bedrohungsdaten besser und schneller erkennen. Das Beispiel Trend Micro Smart Protection Network zeigt, wie die Menge an täglich analysierten Daten, durchgeführten Prüfungen und entdeckten Gefahren in den vergangenen Jahren angewachsen ist.
Botnet-Attacken und andere Malware-Angriffe lassen sich durch die Analyse umfassender Bedrohungsdaten besser und schneller erkennen. Das Beispiel Trend Micro Smart Protection Network zeigt, wie die Menge an täglich analysierten Daten, durchgeführten Prüfungen und entdeckten Gefahren in den vergangenen Jahren angewachsen ist.
Foto: Trend Micro

Spezielle Anti-Bot-Scanner

Norton AntiBot ist eine spezialisierte Sicherheitslösung, die sich gezielt gegen die rapide zunehmende Übernahme und Fernsteuerung von Computern durch Botnetze richtet.
Norton AntiBot ist eine spezialisierte Sicherheitslösung, die sich gezielt gegen die rapide zunehmende Übernahme und Fernsteuerung von Computern durch Botnetze richtet.
Foto: Symantec

Generell bieten die professionellen Anti-Malware-Lösungen integrierte Funktionen wie Applikationskontrolle, Scanner, Firewall und Schwachstellensuche, um Bot-Infektionen verhindern, erkennen und beseitigen zu können. Trotzdem können spezielle Anti-Bot-Scanner zusätzlich Sinn geben, wenn eine Infektion vermutet wird, oder wenn bestimmte Anwendergruppen wie Operators eine Lösung suchen. Spezial-Tools zur Bot-Erkennung und -Bekämpfung sind beispielsweise F-Secure Antibot und Norton AntiBot. Trotz der ähnlichen Bezeichnung richten sich diese Produkte an ganz unterschiedliche Anwenderkreise: Das Norton-Produkt ist Teil von Norton AntiVirus und sucht nach Bot-Infektionen auf einzelnen Endgeräten, während das F-Secure-Produkt für Operateure zum Beispiel im Hosting-Business gedacht ist.

Das Check Point Anti-Bot Software Blade unterstützt beim Aufspüren von Bots.
Das Check Point Anti-Bot Software Blade unterstützt beim Aufspüren von Bots.
Foto: Check Point

Das Anti-Bot Software Blade von Check Point wurde speziell entwickelt, um Bots aufzuspüren und zu beseitigen. Die entsprechend konfigurierte Appliance analysiert den Netzwerkverkehr und bewertet für das Aufspüren von Bots verschiedene Risikofaktoren, blockiert die Kommunikation zwischen einer infizierten Maschine und den Botnet-Servern und kann mit bestehenden Sicherheitslösungen wie Intrusion Prevention, Anti-Malware/Anti-Spam oder URL-Filtering integriert werden.

Marktforscher wie IDC berichten, dass sich eine neue Produktgruppe unter den IT-Sicherheitslösungen bildet, die speziell gegen Gefahren wie Advanced Persistent Threats (APT) und Botnets helfen sollen. IDC nennt diese Lösungen Specialized Threat Analysis and Protection (STAP).

Unterweisungshilfen zur Nutzeraufklärung

Online-Angebote wie der Norton Cybercrime Index zeigen die aktuelle Einschätzung bestimmter Internetattacken und Bedrohungen.
Online-Angebote wie der Norton Cybercrime Index zeigen die aktuelle Einschätzung bestimmter Internetattacken und Bedrohungen.
Foto: Screenshot symantec.com

Die zuvor genannten Initiativen ACDC und ABBZ, das BSI sowie viele der IT-Sicherheitsanbieter unterstützen Unternehmen auch dabei, die Nutzer über Botnets und die notwendigen Präventivmaßnahmen aufzuklären. Passende Hilfen für die Sicherheitsunterweisung bieten zum Beispiel das Anti-Botnet-Beratungszentrum und die auch für Unternehmensanwender interessante Website BSI für Bürger.

Damit den Nutzern die Bedrohung durch Botnets und andere Internetattacken möglichst eindringlich vor Augen geführt werden kann, sollten Unternehmen auch Angebote wie die Global Botnet Threat Activity Map von Trend Micro, den Sicherheitstacho der Deutschen Telekom oder den Norton Cybercrime Index nutzen. Die angebotenen Visualisierungen der aktuellen Bedrohungen helfen dabei, das Ausmaß und die Realität der Botnet-Risiken zu verdeutlichen.

Die Global Botnet Threat Activity Map von Trend Micro zeigt anschaulich, von wo aus Botnet-Attacken starten und bietet Echtzeitbilder für die Mitarbeiterunterweisung zu Botnet-Gefahren.
Die Global Botnet Threat Activity Map von Trend Micro zeigt anschaulich, von wo aus Botnet-Attacken starten und bietet Echtzeitbilder für die Mitarbeiterunterweisung zu Botnet-Gefahren.
Foto: Screenshot trendmicro.com

Entsprechende Hinweise für die Nutzer sollten nicht fehlen: auf den notwendigen Anti-Malware-Schutz für Desktop, Smartphone und Mailing-Dienst, auf die aktive Firewall, auf Verseuchungsgefahr mit Bots auch in sozialen Netzwerken, auf die Verwendung einer Applikationskontrolle und die regelmäßige Aktualisierung von Betriebssystemen, Anwendungen, Browsern und Plug-ins.

Trotz umfangreicher Initiativen wie dem Advanced Cyber Defense Center und die zahlreichen Anti-Botnet-Tools bleibt die Gefahr durch ferngesteuerte Computer auf längere Sicht bestehen. Die Nutzer sollten deshalb wachsam bleiben und an eine mögliche Bot-Infektion denken, wenn sie zum Beispiel selbst ungewollt zum Spammer geworden sind. (sh)