Wenn der PC zum Zombie wird: So funktionieren Botnets

Eine andere, sehr effektive Methode der Botnet-Bekämpfung, die zur Zeit recht viele Erfolge bringt, ist das Kapern eines Botnetzes durch Anti-Malware-Spezialisten, sogenannter White-Hat-Hacker. Da ein Botnet immer auf Befehle von einem Command-and-Control-Server wartet, ist es grundsätzlich möglich, diesen Server vorzutäuschen. Eine Möglichkeit ist dabei, eine oder mehrere Domains zu nutzen, an die sich der Botnet-Client verbindet. So kann man selbst vorgeben, der Command-and-Control-Server zu sein. Da auch Botnet-Programmierer immer mehr Sicherheitsfeatures einbauen, ist ein sorgfältiges Reverse Engineering des Botnet-Clients erforderlich, um mit dieser Methode Erfolg zu haben.

White-Hat-Hacker zeigten auf dem 25. Chaos Communication Congress (25C3), wie sie 100.000 Zombie-PCs übernehmen konnten. Auch andere ähnliche Angriffe auf Botnets zeigten Erfolge. Technisch wäre es einfach, die so übernommenen Zombies von ihrer Malware zu befreien. Juristisch sieht es anders aus. In Deutschland verbieten die §§ 202a und 303a StGB das Ausspionieren und Verändern von fremden Daten.

Das ist grundsätzlich eine sinnvolle Vorschrift. Sie greift allerdings auch, wenn jemand in guter Absicht handelt und ungefragt Malware auf einem fremden PC entfernt. In den meisten westlichen Ländern gibt es ähnliche gesetzliche Regelungen. In Großbritannien muss die BBC mit juristischen Konsequenzen rechnen, weil sie ein Botnet für eine Demonstration in einer Fernsehsendung unter Kontrolle gebracht hat. Allerdings wird vermutet, dass die BBC für die Nutzung an die Betreiber des Botnetzes gezahlt hat.

Hier sind die Gesetzgeber aller Länder gefordert neue Regelungen zu schaffen, die allerdings berücksichtigen sollten, dass eine White-Hat-Aktion gegen Botnets nur unter behördlicher Aufsicht erfolgen darf. Auf diese Weise lassen sich Botnets sehr effektiv bekämpfen.