Wenn der eigene PC von einer Bot-Software gekapert wird, verwandelt er sich zum Verräter. Er spioniert alle vertraulichen Daten aus und schickt diese an die Absender der Schadsoftware. Was dabei so alles zusammengetragen wird, haben jetzt Experten der britischen Sicherheitsfirma Prevx entdeckt.

Einblicke in ein Botnet

Auf einem Server in der Ukraine fanden die Experten die Daten von 160.000 infizierten Computern, zusammengeschlossen zu einem Botnet. Der Zugang zu den Daten auf dem Botnet-Server war mit einem Passwort gesichert, dass die Prevx-Fahnder aufgrund einer relativ schwachen Verschlüsselung knacken konnten. Was sie fanden, wirft ein seltenes Schlaglicht auf ein Botnet aus der Perspektive der Cyber-Kriminellen. Außerdem zeigt der Fall, wie lange es dauert, bis grenzüberschreitende Zusammenarbeit in Gang kommt, um etwas gegen die Betreiber eines Botnets zu unternehmen.

Ein Monat bis zur Serverabschaltung

Nachdem Prevx den von dem Botnet genutzten Provider und die ukrainischen Behörden alarmiert hatten, dauerte es noch fast einen Monat, bis der Server abgeschaltet wurde. In dieser Zeit kamen jeden Tag rund 5.000 neu infizierte Computer hinzu, deren Daten abgesaugt wurden. Betroffen waren in diesem Fall zumeist ganz gewöhnliche Internet-Nutzer. Ohne dass sie es wussten, fanden sich in der Botnet-Beute jede Menge Passwörter für vertrauliche Web-Sites, vom Facebook-Account bis zu den Zugangsdaten fürs Online-Banking, zusammen mit Liebesgeflüster und anderen E-Mails. Neben den Daten von privaten Computern fanden sich aber auch Informationen aus dem infizierten Computer einer Bank.

Datenverstecke im Internet

Solche Datenverstecke gibt es mehrere im Internet. Das von Prevx entdeckte Botnet sammelte alle möglichen Informationen. Es hätte aber auch weiterentwickelt werden können, etwa zu einer Spam-Schleuder. Die Rechner sind mit einer Schadsoftware infiziert, die immer wieder Kontakt mit ihrem Absender aufnimmt und dessen Anweisungen ausführt. Das ukrainische Botnet sammelte die Logs (Protokolle) von Internet-Verbindungen. Darunter war etwa die eines 22-jährigen Mannes aus Kalifornien, der eine Internet-Domain registrierte, sein Yahoo-Passwort änderte und online eine Pizza bestellt hat. Seine Kreditkartendaten, seine Passwörter, sein Geburtsdatum, seine Telefonnummern und Adresse, sind jetzt alle in der Hand von Kriminellen. Quälend ist die Unsicherheit, dass niemand sagen kann, ob die Botnet-Betreiber die Daten schon verwendet haben und auf welche Weise.

Bankdaten, Mails und Vieles mehr

In der Botnet-Beute waren auch die Kundendaten einer Bank im US-Staat Georgia, zusammen mit den E-Mails der Bankangestellten, die über denselben infizierten Rechner abgeschickt wurden. Betroffen waren auch zwei Computer von Regierungsbehörden in Texas und North Carolina. "Das gibt den Kriminellen die Schlüssel zum Schloss", sagte der Leiter der Prevx-Forschungsabteilung, Jacques Erasmus. "Sobald sie in diesem System sind, sieht das noch nicht wie der größte Datenraub des Jahrhunderts aus. Aber das ist ihr Einfallstor in ein internes Netz. Das ist ihr Spiel - und sie betreiben das jeden Tag."

Aller Anfang ist klein

Die Kriminellen fangen klein an, setzen sich auf einem ersten Computer fest. Diesen nutzen sie dann als Ausgangspunkt für weitere Angriffe in sensiblere Systeme. Die Sicherheitsexperten haben nicht die Kapazitäten, um alle Betroffenen zu informieren, dass sie einem Botnet zum Opfer gefallen sind. Stattdessen unterrichten sie die Behörden. Im Fall des ukrainischen Botnets informierten sie auch die Metro City Bank in Georgia, die daraufhin den infizierten Rechner nach Angaben von Prevx entfernte.

KundInnen nicht informiert

Ein Bankkunde, der 22-jährige Student Yoon-Kee Hong, hatte sein Konto gerade erst einen Monat bei der Metro City, als er von der Nachrichtenagentur AP erfuhr, dass seine Daten in die Hände von Cyber-Kriminellen gelangt sind, darunter die in den USA für viele Vorgänge sehr wichtige Sozialversicherungsnummer. Yoon-Kee Hong beschwerte sich bei seiner Bank, dass sie ihn nicht davon unterrichtet habe und erhielt von ihr ein neues Konto und die Zusicherung, künftig so schnell wie möglich von Sicherheitspannen unterrichtet zu werden. Metro City gab eine öffentliche Erklärung heraus, wonach alle Kunden unterrichtet worden seien und der Einbruch untersucht werde.(APA/Jordan Robertson/AP)