INDECT light geteilt durch Vorratsdatenspeicherung mal minus 1 = Botfrei.de

INDECT ist der Begriff für Intelligent information system supporting observation, searching and detection for security of citizens in urban environment. Man versteht darunter grob gefasst die Bündelung aller möglichen, zur Verfügung stehenden Überwachungssysteme, um eine umfassende, universelle Kontrolle für die proaktive Polizeiarbeit zu ermöglichen. Wenngleich dieses, von der EU finanzierte Projekt, vorbeugend gegen Kriminalität eingesetzt werden soll, sehen Bürgerrechtler durchaus berechtigte Gefahren in der Anwendung. Minority Report läßt grüßen.

Die Vorratsdatenspeicherung, welche ja vorerst vom Bundesverfassungsgericht wegen Verfassungswidrigkeit ausgebremst wurde, sollte den Strafverfolgungsbehörden eine verdachtsunabhängige Datenerfassung der Verkehrsdaten aller Bürger auf Zeit (6 Monate) ermöglichen, um vordergründig besser gegen den internationalen Terrorismus vorgehen zu können. Die Kriminalstatistiken der letzten Jahre belegen jedoch zweifelsfrei, dass dadurch keine spürbar bessere Aufklärungsquote erzielt werden konnte, sondern in der Gesamtheit der als Internetkriminalität bezeichneten Straftaten und Delikte sogar etwas rückläufig war. Dass die Vorratsdatenspeicherung eigentlich niemals für die komplette Palette der Kriminalität bis hin zu Kleinstdelikten geplant war, scheint die Befürworter bei ihrer Argumentation wenig zu stören.

Beide Instrumente hingegen würden dem Staat gegenüber seinen Bürgern eine weitreichende Kontrollmöglichkeit bieten, man könnte durchaus von der Realisierung eines Überwachungsstaates sprechen.

Was hat dieses Schreckensszenario nun mit der neu ins Leben gerufenen Initiative des Internetbranchenverbandes ECO und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu tun, welche lapidar Anti- Botnet Beratungszentrum genannt wird?

Es ist sicher ein mutiger wie lobenswerter Ansatz, Botnetze zerschlagen zu wollen, über die angewandten Techniken läßt sich durchaus streiten. Brisant jedoch im Kontext zu den zuvor geschilderten Kontrollpraktiken erscheint das Lesen zwischen den Zeilen folgenden Auszuges aus der Homepage http://www.botfrei.de :

Die Unterstützung erfolgt in gestufter Form: Zunächst wird der betroffene Kunde von seinem Internetzugangsanbieter über eine mögliche Infektion mit einem Schadprogramm informiert, z.B. über eine vorgeschaltete Website, die beim Öffnen des Browsers beim Anwender erscheint; eine weitere Nutzung des Internets ist jedoch möglich. Er wird dann eingeladen, diese Webseite zu besuchen, auf der er Informationen und Hilfsmittel zur Selbsthilfe zur Verfügung gestellt bekommt.

 

Die Internetdiensteanbieter müssen folglich alle ihre Kundenanschlüsse tiefgreifend analysieren, um tatsächlich feststellen zu können, dass eine Infektion durch Schadsoftware vorliegt. Ein oberflächliches Monitoring könnte bestenfalls „auffällige Datenströme“ wahrnehmen. Es stellt sich nun die Frage, was wird diesbezüglich von den ISP’s unternommen und inwieweit könnte dadurch eine Verletzung der Persönlichkeitsrechte stattfinden. Als weitere Erklärung dazu findet sich lediglich die Aussage auf der Internetpräsenz:

 Bei einem Befall erkennt Ihr Internetzugangsanbieter bestimmte Verhaltensmuster Ihres Computers.

 

Um bestimmte Verhaltensmuster von Malware erkennen zu können, genügt nicht das Analysieren der Menge des jeweiligen Datenaufkommens. Große Downloades oder dauerhafte VPN- Verbindungen können ebenso einen permanten und relativ hohen Datenstrom erzeugen wie die Nutzung von Filesharingbörsen oder Live- Streams. Es muss also mindestens noch ein sog. „Schwarmverhalten“ festgestellt werden, wenn beispielsweise unproportional viele Internet- PC’s das gleiche Ziel ansteuern. Man könnte daraus unter Umständen ableiten, dass es sich um einen DDoS– Angriff (Distributed Denial of Service) handeln könnte, ebenso gut könnte aber auch ein interessantes YouTube- Video einen plötzlichen Anstieg von Zugriffen auf das gleiche Ziel bewirken.

Um also annähernd in der Lage zu sein, den jeweiligen Internetbenutzern per Email oder vorgeschalteter Website über eine mögliche Malware- Infektion zu informieren, bedarf es deutlich exakteren Analysemethoden. Wird an dieser Stelle nicht doch eine unsichtbare Grenze überschritten?

Die umstrittene Deep Packet Inspection wäre hierfür das beste Mittel der Wahl und könnte ziemlich genau aufklären, ob ein Malwarebefall vorliegen würde. Die etwas abgeschwächte Alternative Stateful Packet Inspection arbeitet zwar etwas oberflächlicher, stellt aber womöglich auch schon einen gewissen Eingriff in die Privatspäre dar. Nun müßte eine entsprechende Email von einem Provider vorliegen und daraufhin den beanstandeten Computer lokal analysieren, um genauere Erkenntnisse zu erhalten…

 

Von meinem Provider habe ich zwischenzeitlich auf meine Anfrage hin eine Antwort erhalten:

Sehr geehrter Herr *****,

 vielen Dank für Ihre Anfrage.

Mir wurde Ihr Anliegen zur weiteren Bearbeitung übertragen. Es freut uns zu hören, dass Sie sich intensiv mit diesem wichtigen Thema auseinandersetzen. Gerne geben wir Ihnen weitere Informationen hierzu. Prinzipiell erfolgt die Auswertung der Daten passiv, d.h. das wir nicht aktiv Ihre Daten überprüfen. Hierbei gibt es mehrere mögliche Szenarien. Dazu gehören auch folgende: 

– unsere Server registrieren eine große Anzahl von Spam-Mails die von Ihrem Rechner ausgeschickt werden.

– Ihr Rechner ist an einem Angriff auf unsere Server beteiligt

– der Zugriff auf Ihren Kunden- Account erfolgt innerhalb sehr kurzer Zeit von unterschiedlichen Ländern aus.

 Wie Sie sehen, geht es uns nicht darum Ihre privaten Daten oder sonstige Daten zu überprüfen. Vielmehr ist Sicherheit aller Beteiligten der eigentliche Grund…

Offensichtlich macht also dieser Provider keinen Gebrauch von SPI oder DPI, schenkt man dieser Aussage Glauben, doch die Erläuterungen sind wenig zufriedenstellend.

„- unsere Server registrieren eine große Anzahl von Spam-Mails die von Ihrem Rechner ausgeschickt werden.“

Ob es sich dabei um Spammails handeln würde, könnte der Provider auf diese Weise ohne weiteres gar nicht feststellen. Er müsste dazu mindestens das Versenden von Mails meiner Emailaccounts bzw. meines benutzten SMTP- Ports zu definierten SPAM- Traps erkennen. Um ansonsten die Emails als SPAM identifizieren zu können, wäre zumindest eine Header- Analyse erforderlich. Theoretisch könnte es sich ja auch um Newsletter- Mails oder automatisch, von Webcams mit Bewegungssensor generierte Mails o.ä. handeln, wenn er lediglich aufgrund einer bestimmten grenzwertig hohen Anzahl von Emails auf einen SPAM- Verdacht schließen wollte.

„- Ihr Rechner ist an einem Angriff auf unsere Server beteiligt“

Ich gehe davon aus, der Provider redet hierbei von DDoS- Attacken. Es wäre aus Sicht der Kriminellen, die solche Botnetze steuern, unsinnig, die Serverfarmen ihrer Provider angreifen zu wollen, die Ihnen doch erst die Kommunikation ins Internet ermöglichen. Abgesehen davon sind Zombie- Rechner providerübergreifend in Botnetze eingebunden, sodass damit die jeweiligen Provider nur einen Selbstzweck verfolgen würden.

„- der Zugriff auf Ihren Provider- Account  erfolgt innerhalb sehr kurzer Zeit von unterschiedlichen Ländern aus.“

Das klingt verantwortungsvoll und ich möchte es gar nicht anzweifeln, hat aber rein gar nichts mit Botnetzen zu tun. Ein Zugriff auf meinen Provider- Account setzt voraus, dass jemand Kenntnis von meinem Internetzugang hat und ein begründetes Interesse daran besitzt. Dies setzt voraus, dass eines meiner Systeme malware- infiziert wäre und einen möglichen Zugriff verspricht. All diese Begründungen mögen zwar sicherheitsrelevante Aspekte vertreten, tangieren aber die Absichten der Initiative des Antibotnetz- Beratungszentrums nur bedingt. Malware, abgesehen von Spambots, kann man auf diese Weise nicht zweifelsfrei feststellen. Denial of Service- Angriffe kann nur der jeweilige Provider feststellen und eindämmen, wenn seine eigenen Server betroffen wären, was aber eher unwahrscheinlich ist. Und unauthorisierte Zugriffe auf den Kunden- Account fallen eher unter die Rubrik „Datendiebstahl bzw. Datenmissbrauch“.

Die Erklärungen, sofern sie einen Zusammenhang mit der Initiative „botnetfree“ zu tun haben sollen, sind nicht schlüssig bzw. zielführend. Wenn allein auf dieser Basis der Kampf gegen Botnets betrieben werden soll, sehe ich keine weitreichende Erfolgschancen. Sollten tatsächlich alle Beteiligten dieser Initiative auf entsprechend erfolgversprechendes Monitoring in Form von SPI oder gar DPI verzichten, erkenne ich darin lediglich populistisches Auftreten, um eigene Interessen zu verfolgen.

Malware- infizierte Systeme gehören schlicht von Netz genommen und neu installiert. Nachträgliche Säuberungsaktionen durch Tools wie den angebotenen DE- Cleaner sind unsicher und selten erfolgreich. Ich vermute, es werden Lobbyinteressen verfolgt, wenn tatsächlich nur derartig oberflächliche Bekämpfungsmaßnahmen gegen Botnetze angewendet werden.

Schlagwörter: ,

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s


%d Bloggern gefällt das: