Sie treten als ganz normale Internet-Service-Provider (ISPs) auf und bieten ihren Kunden die üblichen Dienste an wie Bandbreite, Verfügbarkeit, Sicherheitsfunktionen und Spam-Filter. Quasi unter dem Ladentisch verkaufen Bulletproof-Hoster aber die einschlägigen Angebote: Anonymisierungsservices, versteckte Server und qualitätsgeprüfte Schadsoftware werden zusammen mit einer gesicherten Kommunikation bereitgestellt. Kriminelle sichern sich so verschlüsselten E-Mail-Verkehr, geschlossene Nutzergruppen und Mobiltelefone für den einmaligen Gebrauch. Damit sind sie in der Lage, illegale Services aller Art im Web auszubringen. Die Server dieser Anbieter stehen oft in Osteuropa, speziell Estland, aber auch Asien oder das sonnige Kalifornien sind potenzielle Standorte.

Das Ende von McColo

Oberstleutnant Volker Kozok, Referent beim Bundesministerium der Verteidigung und IT-Forensiker, hat die Machenschaften der Bulletproof-Hoster analysiert. Beispielhaft schildert er die kriminellen Aktivitäten von McColo.

Der US-Anbieter, der seine Dienste am 11. November 2008 einstellen musste, gehört zu den bekannteren Fällen. Um ihm das Handwerk zu legen, war eine dreijährige konzertierte Aktion verschiedener amerikanischer Behörden notwendig. Federal Trade Commission (FTC), FBI, Nasa, State Department und andere waren mit dem Fall beschäftigt. Das zeigt, wie schwierig es ist, dieser Art der Kriminalität beizukommen. Die Internet-Straftaten allein hätten für die Schließung nicht einmal ausgereicht. In den USA muss ein Service-Provider laut einer FBI-Definition mindestens 90 Prozent seiner Aktivitäten mit Bulletproof-Hosting bestreiten, damit man deshalb gegen ihn vorgehen kann. Bei McColo gab letztlich ein Verstoß gegen das Wirtschaftsrecht den Ausschlag.

Kurze Euphorie

Das Ende von McColo war zunächst ein Warnschuss für die Cyber-Mafia. Das weltweite Spam-Aufkommen ging um ein Drittel zurück. Manche Quellen sprechen sogar von bis zu zwei Dritteln. Bei den Behörden keimte Hoffnung auf. Wenn es gelänge, weitere Hoster dichtzumachen, könnte man vielleicht den gesamten Spam aus der Welt verbannen. Doch die Euphorie währte nur kurz. 3FN trat in die Fussstapfen von McColo, und laut Symantecs Spam-Report war im April 2009 das Spam-Aufkommen wieder so hoch wie vor der Schließung McColos.

McColo stellte mehrere Botnets zur Verfügung und duldete Schadsoftware auf seinen Systemen, um den digitalen Müll in Umlauf zu bringen. Dabei werden infizierte Rechner zu einem automatisierten Netz aus Zombie-Rechnern zusammengeschaltet. McColo hat schließlich sechs von dreizehn der erfolgreichsten Botnets gehostet: Conficker, Asprox, Srizibi, Torpig, Avalanche und Ghostnet.

Bulletproof-Hoster haben eine offizielle Anschrift, doch in der Regel findet man dort nur eine Briefkastenfirma. Bei McColo stießen die Ermittler beispielsweise auf nette Geschäfte und einen Friseurladen. Nichts deutete auf einen ISP hin. Der Server-Raum konnte dann aber doch ausfindig gemacht werden. Die Ausstattung war sehr professionell und keinesfalls schäbig. Klimatisierung und Einbruchmeldeanlagen erweckten den Eindruck eines ISP am Puls der Zeit. Allerdings fanden die Ermittler Blade-Server vor, die mit Inhalten der übelsten Sorte bestückt waren: Malware, Botnetze, Kinderpornografie, manipulierte Sicherheitssoftware und Spam-Server für gefälschte Medikamente.