Mit der Aktion wollte der britische Sender BBC im Rahmen seiner Technikshow "Click" demonstrieren, was für ein mächtiges Werkzeug ein Botnetz in den Händen von Cyber-Kriminellen ist. An die Kontrollsoftware für das zum Zeitpunkt der Übernahme rund 22 000 gekaperte PCs umfassende Botnetz war das Click-Team laut BBC über einschlägige Chatrooms gekommen.
Fingierte Spam-Attacke
Um zu zeigen, was Kriminelle mit einem Botnetz anstellen können, ließen die BBC-Mitarbeiter die gekaperten Rechner zwei zu Testzwecken eingerichtete E-Mail-Adressen binnen Stunden mit Tausenden Spam-Nachrichten überfluten. Darüber hinaus wurde – in Absprache mit dem Security-Anbieter Prevx - eine DDoS-Attacke (Distributed Denial of Service) gegen eine Backup-Seite des Unternehmens gestartet. Schon 60 PCs sollen gereicht haben, um die Prevx-Site in die Knie zu zwingen. Cyber-Kriminelle nutzen diese Möglichkeit, um Website-Betreiber allein mit der Androhung von DDoS-Attacken zu erpressen. "Der Schaden fürs Geschäft wäre erheblich, so dass viele die Schutzzahlung leisten", so Jacques Erasmus, Forschungsleiter bei Prevx, gegenüber der BBC.
Das Click-Experiment ist mittlerweile beendet - und das BBC-Botnetz stillgelegt. Außerdem seien die Besitzer der gekaperten PCs informiert worden, dass ihre Computer infiziert wurden und wie sie ihre Systeme künftig besser schützen können, so der Sender. Auf persönliche Daten der Betroffenen sei im Rahmen des Experiments nicht zugegriffen worden.
Strafbare Aktion?
Nach britischem Recht könnte sich die BBC mit ihrer als Aufklärungsstück über Internet-Sicherheit angelegten Reportage allerdings strafbar gemacht haben. So sieht Struan Robertson, Anwalt und Herausgeber der Website Out-Law.com, in der Aktion des Senders einen wahrscheinlichen Verstoß gegen den britischen Computer Misuse Act (CMA). Entscheidend sei dabei weder, dass sich die Spam-Attacke der BBC nur gegen eigene Mail-Konten gerichtet habe, noch dass das Experiment nicht mit krimineller Absicht vorgenommen worden sei.
Die Gesetzeslage
Dem Gesetz nach sei jeglicher unautorisierte Zugriff auf fremde Computer und darauf befindliche Daten untersagt. Mit der Nutzung eines Botnets zum Versenden von Spam dürfte dieser Tatbestand bereits gegeben sein, so Robertson. Dass der Sender tatsächlich rechtlich belangt wird, hält er indes nicht für wahrscheinlich. (kf)