231937

Provider sollen Botnets austrocknen

18.09.2009 | 16:40 Uhr |

Die Organisation IETF entwickelt ein Standardverfahren, wie Internet-Provider mit Kunden umgehen sollen, deren Rechner Teil eines Botnet sind. Ein Entwurf sieht vor, infizierte Rechner in eine Art umzäunten Garten zu stecken.

Etliche Millionen PC weltweit sind ohne Wissen ihrer Eigentümer Teil eines Botnet. Sie versenden Spam-Mails, dienen als Web-Server für Phishing- und Malware-Angriffe oder als Relais-Stationen zu weiteren, so genannten Zombies. Internet-Provider sind an sich in einer geeigneten Position, um Zombie-Rechner in ihrem Netz zu erkennen. Die IETF (Internet Engineering Task Force) hat einen ersten Entwurf ihrer Empfehlungen an Provider veröffentlicht.

Internet-Provider sollten ein reges Interesse haben ihr Netz möglichst frei von Botnets zu halten. Sie verursachen viel Datenverkehr, der Geld kostet und bringen den Provider in Gefahr, dass andere Provider Datenverkehr, zum Beispiel Mails, aus seinem Netz blockieren. Die IETF schlägt daher vor, dass Provider geeignete Maßnahmen ergreifen, um Zombie-PC zu entdecken und zu deren Bereinigung beizutragen.

Problematisch ist bereits das Erkennen von Botnet-Rechnern im eigenen Netz. Dies sollte vorzugsweise passiv erfolgen, also durch Analyse des Datenverkehrs. Port-Scans und andere aktive Maßnahmen könnten von Firewall-Routern als Vorbereitung eines Angriffs interpretiert werden. Außerdem sind allzu restriktive Sperrmaßnahmen zu vermeiden, da manche Kunden etwa Telefon und Fernsehen nur noch über IP-Netze nutzen könnten.

Einer der Vorschläge zum Umgang mit entdeckten Botnet-Rechner sieht vor diese in einen "umzäunten Garten" zu sperren. Das bedeutet, die Rechner erhalten keinen freien Zugang zum Internet mehr. Vielmehr wird der Zugriff auf wenige Dienste und Websites beschränkt, die zur Beseitigung der Verseuchung wichtig sind. Hinzu kämen Dienste wie VoIP, die für den Benutzer wichtig sind und nicht von Botnets missbraucht werden.

Schließlich müssen die betroffenen Kunden in geeigneter Weise informiert werden und Hilfe angeboten bekommen. Telefonanrufe und Briefpost kosten Zeit und Geld. Warnungen per Mail könnten im Spam-Ordner landen oder von Online-Kriminellen für Phishing- und Malware-Angriffe imitiert werden. Provider sollten abgestuft Kombinationen von Benachrichtigungswegen festlegen.

Der Entwurf der IETF ist unter dem Titel " Recommendations for the Remediation of Bots in ISP Networks " auf der Website der Organisation erhältlich. Der australische Internet-Verband IIA arbeitet an einer ähnlichen Richtlinie.

0 Kommentare zu diesem Artikel
231937