Millionen Computer weltweit sind mit Computerviren infiziert und oftmals Teil von riesigen Botnetzen. Nichtsahnende Benutzer sind damit mitverantwortlich für Spamwellen und andere kriminelle Aktivitäten und stellen ihren Rechner unbewußt unter die Kontrolle der Botnetzbetreiber. Oftmals erreichen solche Botnetze enorme Ausmaße mit hundertausenden von befallenen Computern. Interessant ist dabei der Fakt das sie in vielen Fällen monatelang unentdeckt bleiben und in dieser Zeit ihr Werk unbeeindruckt vollführen können. Durch die stärker werdende Netzanbindung sind immer neue Opfer zu finden und die Zahl an unsicheren Anwendungen, die unter anderem als Einfallstor für Botnetze dienen, nimmt dabei nicht wirklich ab, als Beispiel seien hier die unzähligen Tools zum Verwalten und Bedienen Sozialer Netzwerke angesprochen. Gleichzeitig rüsten die Botnetzbetreiber weiter auf und bedienen sich dabei immer cleverer Methoden um unentdeckt und widerstandsfähiger gegen Antivirensoftware zu bleiben.

Hier nun 4 Gründe warum es schwerer wird gegen Botnetze vorzugehen:

1. Stilles Operieren ohne Aufmerksamkeit zu wecken

Anders als im aktuellen Fall von Conficker (Conficker-Arbeitsgruppe: ca. 4.6 Millionen Zombies) und der damit einhergehenden medialen Berichterstattung operieren viele der größten Botnetze außerhalb des Medienzirkuses. Genau dies ist der Idealfall für die Botnetzbetreiber.

Je weniger über ein Botnetz berichtet wird, umso höher ist die Wahrscheinlichkeit das es unentdeckt für die meisten Computernutzer bleibt. Durch die Conficker-Berichterstattung in den Mainstreammedien hat wahrscheinlich auch der Letzte davon erfahren und zumindestens einmal in seinem Leben das Wort Botnetz beziehungsweise Conficker gehört und kann damit etwas anfangen. Aber fragt man diese zum Beispiel nach Cimbot, wird man mit Sicherheit nur ein Achselzucken zurückbekommen. Cimbot ist eine Malware die benutzt wird um ein weltweites Botnetz zu kreieren das laut aktuellen Studien für 15% des weltweiten Spamvolumens verantwortlich ist.

Sicherheitsexperten haben noch viele andere solcher unscheinbaren Botnetzen auf dem Radar und sehen die Problematik oftmals in den Verschleierungstechniken dieser Software. Viele Botnetze und die damit einhergehenden Trojaner verwenden Techniken wie serverseitigen Polymorphismus durch das sich die Malware ständig selbst leicht ändert um Antivirensoftware zu täuschen und im Kampf um die Erkennungsroutinen die Nase immer ein kleines Stück vorne zu haben. Bekanntes Beispiel dafür ist das Waledac Botnetz.

Gleichzeitig haben die Botnetzbetreiber angefangen ihre Command-and-Control-Server von einer zentralisierten Verwaltung auf eine Peer-To-Peer Architektur umzubauen. Damit ist es noch schwerer geworden den Steuerungskopf solcher Botnetze einfach abzuschalten. Conficker, Storm oder Waledac profitieren genau von solchen Methoden.

2. Malware schützt sich selbst

Die Schreiber von Trojanern und Botznetz verwandter Malware setzen verstärkt auf Kryptographie um es den Sicherheitsfirmen schwerer zu machen. Dabei bedient man sich stärker Verschlüsselungstechniken um zum Beispiel die Command-and-Control-Server zu schützen und zu verschleiern. Früher konnte man diesen Servern noch falsche Anweisungen schicken und sie damit effektiv stören und abstellen. Heute beruhen die Kommandos die hin- und hergeschickt werden auf kryptographischen Befehlen die solch ein Vorgehen deutlich erschweren.

Durch den bereits im ersten Punkt angesprochen Polymorphismus verändern sich Botnetzwürmer von Kopie zu Kopie und machen es Antivirenherstellern ungleich schwerer geeignete Signaturen für die Erkennung zu generieren.

3. Viele Anwendungen liegen außerhalb der IT-Kontrolle

Egal wie stark zum Beispiel Firmennetzwerke abgesichert sind, gibt es immer wieder neue Einfallstore durch die Viren, Trojaner oder Würmer auf Computer eindringen und die entsprechenden Computer in ein Botnetz einreihen. Oftmals sind es Computeranwendungen von Drittanbietern die Sicherheitslücken aufweisen und die außerhalb der Kontrolle der zuständigen Administratoren liegen.

In einer aktuellen Studie von 60 großen Unternehmen mit insgesamt fast 900.000 untersuchten Mitarbeitern sich gezeigt das dort eingesetze Software viele Sicherheitsmaßnahmen umgehen und die Abwehrstruktur der Unternehmensnetze hinfällig werden lassen. Viele Software springt von Port zu Port oder nutzt viele oft standardmäßig freigegeben Ports wie 80 oder 443. Darunter sind so prominente Anwendungen wie Microsoft Sharepoint oder Update-Dienste wie Apple- und Adobe Updateprogramme. Ebenfalls nutzen viele Mitarbeiter Fernwartungssoftware um auf entfernente Rechner zugreifen zu können. Und immer wieder finden sich P2P-Software auf Firmenrechner und machen es bei bekanntwerdenen Sicherheitslücken einfach über diese Viren und ähnliches einzuschleusen.

Die meisten Firmen setzen daher Firewalllösungen ein, aber die Komplexität läßt Lücken entstehen die sofort ausgenutzt werden.

4. Soziale Netzwerke haben die Angriffsoberfläche vergrößert

Durch die wachsende Zahl an Menschen die Soziale Netzwerke wie Facebook, Twitter oder Myspace nutzen entstehen neue Angriffsvektoren die von Botnetzbetreibern ausgenutzt werden. Da auf solchen Plattformen ein reger Austausch von hochgeladenen Dateien (Fotos, Texte, Musikdateien ect.) stattfindet, landen Viren leicht in Firmennetzwerken und überwinden durch aktives Zutun der Mitarbeiter viele interne Sicherheitsmaßnahmen.

Um dies anzugehen müssen die Mitarbeiter und allgemein Computernutzer für die Problematik sensibilisiert werden. Das geschieht bereits in kleinerem Umfang erreicht aber die große Masse eher selten. Erst durch extreme Fälle wie im Fall von Conficker wird ein breites Publikum durch die Mainstreammedien angesprochen. Um zukünftige Epidemien zu verhindern bedarf es zu einem guten Teil den Nutzer selbst, da Antivirenhersteller und IT-Sicherheitsexperten nur bedingt Einfluß nehmen können.