Report München erklärt Botnetze

IT-Sicherheit scheint bei den Reportern aus München offensichtlich ein beliebtes Thema zu sein. Am gestrigen Montag war nun das Thema Botnetze an der Reihe. Das Script zum Beitrag findet sich auf der Website des BR, noch heute soll der Stream folgen.

Wie üblich enthält auch dieser Beitrag kaum verschleierte Schleichwerbung für einen Sicherheitsberater und dessen Firma. Und darüber hinaus jede Menge fachlichen Unsinns, aber auch das kennen wir ja schon.

(Hinweis: Zitate aus der Sendung und dem dazugehörigen Script werden kursiv dargestellt.)

„Fahnder der Polizei Wunstorf observieren ein verdächtiges Privathaus. Sie haben Hinweise: Hier soll sich die Schaltzentrale einer kriminellen Bande befinden. Es geht um über 100.000 Euro.
Hausdurchsuchung am 9. März dieses Jahres. Als die Fahnder den PC beschlagnahmen ist die vermeintlich Beschuldigte gerade unterwegs.“

Eine Hausdurchsuchung, ohne das der Beschuldigte anwesend ist? Das geht nur in bestimmten Fällen, siehe StPO § 106. Aber das nur nebenbei.

Report München erklärt in der Folge, wie es dazu kam. Der PC der Beschuldigten war Teil eines Botnetzes, über ihn wurden kriminelle Handlungen verübt. Wie konnte es dazu kommen?

Lothar Baier, Polizei Wunstorf: ‚Die neuesten Videos von Brad Pitt und Angelina Jolie, alles ist verseucht mit Trojanern.'“

Ach! Wenn man sich auf legalem Weg das neuste Video von Pitt & Co. verschafft, dann ist dieses verseucht mit Trojanern? Was sagen eigentlich die ehrlichen Händler solcher Videos zu solchen Behauptungen?

Später im Beitrag kommt dann unser schleichwerbender Sicherheitsexperte zu Wort. Er meint folgendes zu Botnetzen:

„Sie merken davon gar nichts. Das heißt im Hintergrund laufen so genannte Prozesse. Für Sie sieht es so aus, als ob der Rechner ganz normal läuft.“

Im Hintergrund laufen eigentlich immer so genannte Prozesse, oder?

Jetzt greift sich Report den schleichwerbenden Spezialisten und fährt damit zu einer Bürgerin, die sich für einen Test zur Verfügung gestellt hat.

„report MÜNCHEN: ‚Wir haben jetzt heute einen Experten mitgebracht.‘ (Anmerkung: Der Experte zückt seine Super-Sicherheits-Analyse-CD, eine entsprechender Satz fehlt jedoch im Script.) Die wird er jetzt in Ihren Laptop stecken und gucken, ob Sie irgendetwas drauf haben, von dem Sie gar keine Ahnung haben, dass es drauf ist.“

Es folgt ein Offlinescan des von CD gestarteten Laptops und Report meint weiter:

Allein beim Surfen im Netz können sich Computer mittlerweile infizieren.

Ja, stimmt. Mit anfälligen, ungepatchen Betriebsystemen und Browsern, nervösem Klickfinger, fehlender Rechtetrennung etc. All das aber ist vermeidbar.

Hat auch dieser hier ein Schadprogramm geladen? Silvia Niedermeyer fällt aus allen Wolken, als schleichwerbender Sicherheitsexperte (Anmerkung: Name und Firma entfernt) tatsächlich einen so genannten Schadcode auf ihrem PC feststellt.

Also, ich möchte garnicht wissen, wieviel Schadcode sich z.B. auf meinen Rechnern befindet. Etwa als E-Mail-Anhang. Was völlig ungefährlich ist, so lange man solche Anhänge nicht ausführt.

Weiter meint der Experte:

„Also definitiv haben wir jetzt hier etwas installiert auf diesem Rechner, das mit einem Rechner im Interhost kommuniziert, das heißt Informationen hinschickt, aber auch wieder abruft.“

Was bitte ist ein Interhost? Nicht so wichtig, interessant ist eher, wie man bei einem Scan von CD herausbekommt, ob der Rechner im Normalbetrieb ferngesteuert werden kann oder nicht.

Später im Beitrag kommen noch verschiedene Mitarbeiter des BSI zu Wort, und dann fällt der wohl unvermeidliche Satz:

„Wie schnell wird ein handelsüblicher Computer ohne Virenschutz entführt?“

Meine Antwort dazu: Bei ordentlicher Konfiguration überhaupt nicht.

Report ist offensichtlich anderer Meinung, deshalb stellen sie zum Beweis einen Honigtopf in ein lokales Netzwerk mit privatem Adressraum. Offensichtlich läuft auf dem Windows XP, gesurft oder gemailt wird nicht. Report erklärt:

„Mit diesem Lockvogel PC, einem so genannten Honeypot, ohne Virenschutz wollen wir das testen. Der kleine Laptop macht sichtbar, was auf unserem Computer wirklich passiert. Der Computerexperte (hier folgt der Name eines zweiten Mitarbeiters unserer schleichwerbenden Sicherheitsfirma) zeigt uns: Die Online-Mafia hat unseren Rechner schon nach wenigen Minuten angegriffen. Der schwarze Bildschirm unseres PCs täuscht.“

Der schwarze Bildschirm täuscht? Wie hätte er denn aussehen sollen? Wo ist der Beleg für die erfolgreiche Übernahme? Wie übernimmt Hacker einen PC in einem privaten Rechner hinter einem firewallenden Router (das ist heute Standard) auf einem standardmäßig firewallendem Betriebsystem?

Meine Antwort dazu: Ja, das ist möglich, aber nicht, ohne das ein Benutzer an dieser Maschine sitzt und bei der Arbeit Fehler macht. Falls die schleichwerbende Sicherheitsfirma das Gegenteil beweisen möchte, stelle ich gern eine VM vorrübergehend zum Hacken zur Verfügung. 😉

Der Experte meint weiter:

Unser PC wurde erfolgreich übernommen und kurze Zeit darauf zum Angreifer umfunktioniert. Unser PC dient jetzt dem entsprechenden Botnetz dazu andere PCs zu sammeln und diese genau so um zu funktionieren, wie unseren Honeypot.“

Und Report ergänzt:

„Der Beweis: Unsere IP-Adresse rechts im Bild mit der Endnummer 33 notiert der Kontrollrechner als denjenigen PC, der angegriffen wird. Doch wenig später greift unser Rechner, jetzt links auf der Angreiferseite bereits andere Computer in Deutschland an. Die Sache wird zu heiß, wir ziehen den Stecker. Die einzige Chance unseren Rechner aus dem Botnetz der Onlinemafia zu befreien.“

Die einzige Chance, den Verblödungsversuchen der Medienwelt zu entfliehen ist, den Ausschalter am Fernseher zu betätigen.

Die schleichwerbende Sicherheitsfirma hat offensichtlich eine Demo innerhalb eines lokalen Labornetzes vorgeführt (alles andere wäre aus Haftungsgründen auch ziemlich riskant) und sich noch nicht einmal die Mühe gemacht, diese Tatsache durch Verwendung öffentlicher IP-Adressen zu verschleiern. Das wäre auch gar nicht nötig gewesen, wenn man auf die Tatsache, dass hier eine Demo vorgeführt wird, hingewiesen hätte. Aber das hätte natürlich den Effekt geschmälert. 😉

Zum Schluss die praktischen Hinweise vom BKA:

„Nicht jede Email, die ins Outlook eintrudelt wahllos öffnen,
…ein aktuelles Virenschutzprogramm zu haben und dieses auch aktuell zu halten,
Regelmäßiges Aktualisieren des Betriebssystems.“

Dann die Schlussbemerkung von Report:

„Aber das ist kein hundertprozentiger Schutz, denn die online-Mafia ist ihren Verfolgern meist einen Schritt voraus.“

Im Prinzip sind wir also alle verloren, was, Report? Oder wäre es nicht besser gewesen, die fehlenden Hinweise auch noch zu bringen, wie man einen Rechner wenigstens nahezu 100%-ig sicher macht? Z.B. durch

  • Rechtetrennung
  • aktuelle gehaltene Anwendungen
  • Richtlinien
  • Verzicht auf unsichere Anwendungen
  • saubere Konfiguration des Computers
  • Downloads nur aus sauberen, legalen Quellen

Damit hätte der Beitrag natürlich seinen Angst machenden Charakter verloren. Und das ist schlecht für die Quote.

Ralph Lehmann * IT-Service

Schreibe einen Kommentar