Botnets, Internetanbieter und Politik – auf sanften Sohlen zu neuen nationalen Strukturen der Internet-Regulierung?

Dieser Gastbeitrag stammt von Andreas Schmidt, der an der Technischen Universität Delft zu institutionellen und organisatorischen Aspekten von Internet-Sicherheit forscht. Er bloggt seit kurzem auch dazu auf netdefences.com. (RB)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Verband der Internetbetreiber (eco) haben vereinbart, im Rahmen einer Kooperation eine Art nationales Botnet-Zentrum zu errichten. Ist es nach der politischen Instrumentalisierung missbrauchter Kinder ein neuer Versuch, eine Organisation aufzubauen, die einen direkten staatlichen (oder privatwirtschaftlichen) Eingriff in die Kommunikation aller ermöglicht? Wo beim Sperrgesetz Schwarz und Weiß noch sehr einfach zu trennen waren, sind die Dinge hier verschlungener, nuancierter, vielschichtiger.

Es gibt eine Reihe von Gründen, die BSI und eco zu diesem Schritt bewegt haben dürften. Gestützt wird ihr Vorgehen von pragmatischen Erwägungen und einer Reihe plausibler wissenschaftlicher Argumente. Doch es könnte auch der Kern eines neuen nationalen Internet-Governance-Regimes werden, dessen gesamtes Gebilde und auch dessen Risiken und Nebenwirkungen sich erst im Laufe der Zeit offenbaren werden.

Das Botnet-Problem

Botnets sind die technische Unsicherheitsinfrastruktur, von der zahlreiche technische, wirtschaftliche und politischen Risiken für das Internet ausgehen. Botnets bestehen, vereinfacht gesagt, aus einer Vielzahl von Zombie-Rechnern, sowie einer oder mehrerer Command&Control-Hierarchien von Rechnern, die darunter liegende Rechner steuern. Das Versenden von Spam basiert häufig auf Botnets, Phishing wiederum nutzt Spam-Emails, mit Phishing lassen sich Bankkonten leer räumen. In Cyberwarfare-Szenarien – wie wahrscheinlich oder unwahrscheinlich sie auch immer sein mögen (vgl. Schneier) – sind gegnerische Angriffswerkzeuge Rechner, die mit Malware oder Botnet-Clients infiziert und mit Command&Control-Rechnern zu Botnets verbunden sind. Die selben Technologien sind somit die Ursache für Sicherheitsprobleme auf unterschiedlichen Ebenen: Gefährdung der grundlegenden Funktionsfähigkeit des Internets, Funktionsfähigkeit der darauf aufbauenden Infrastrukturen, der auf das Internet aufbauenden Geschäftsaktivitäten, finanzielle Gefährdungen von Einzelpersonen und Unternehmen durch Online-Diebstahl, Beschneidung nationaler Handlungsfähigkeit durch Ausschaltung kritischer Informationsinfrastrukturen, Gefährdung der technischen IT-Sicherheit, oder Angriffe durch „superempowered
small-groups“
(John Robb).

Lassen wir die Cyberwarfare-Szenarien mit ihren geringen Wahrscheinlichkeiten, aber hohen potentiellen Schäden beiseite, und beschränken uns auf das bodenständigere, reale Problem, von dem auch in den eco-BSI-Meldungen die Rede war: Cybercrime, also das, was in der dinglichen Welt Überfall, Einbruch und Diebstahl entspräche. Tyler Moore und Richard Clayton, deren Studien zu Anti-Phishing und Take-down von der Leyens Argumentation zur Unmöglichkeit von zeitnahem Löschen diskreditierte hatten, haben mit ihren Chef Ross Anderson eine kleine Studie zu den „Economics of Online Crime“ erstellt. Aus verschiedenen
Quellen haben sie Zahlen zusammengetragen, die die ökonomische Bedeutung von Cybercrime belegen sollen (Moore, Clayton & Anderson, 2009, S. 5):

Kosten-von-Cybercrime

Nun kann man bei diesen Zahlen natürlich eine gewisse Skepsis walten lassen, Symantec etwa ist kein unabhängiges Forschungsinstitut. Entscheidend sind die jährlichen Schäden. Ein Blick auf das untere Drittel der Tabelle lässt ahnen, dass niemand so recht weiß, von welchen Schadensummen man eigentlich auszugehen hat. Nur dass sie offenbar nicht niedrig sind, scheint klar zu sein.

Van Eeten, Bauer und Chattopadhyay haben den Stand des Wissen über finanzielle Aspekte von Malware und Spam zusammengetragen. Sie fassen ihre Erkenntnisse so zusammen:

„Although the financial aspects of malware and spam are increasingly documented, serious gaps and inconsistencies exist in the available information. This sketchy information base also complicates finding meaningful and effective responses. For this reason, more systematic efforts to gather more reliable information would be highly desirable.“ (van Eeten & Bauer, 2008)

Zu einer Zahl wagen sie sich dennoch vor:

„Global direct costs probably in 0.2-0.4% range of global GDP ($66 tr)“ (Bauer, van Eeten & Chattopadhyay, 2008)

Welche Schlussfolgerungen man daraus für die Schäden durch Botnets ziehen kann, ist unklar. Genaue Zahlen über die von Botnetze angerichteten Schäden liegen meines Wissens nicht vor. Aber gehen wir der Einfachheit halber pragmatisch davon aus, dass die Kosten von Cybercrime immens hoch sind und sie zu einem großen Anteil durch Botnets ermöglicht werden. Zumal neben den finanziellen Schäden Botnets auch die technische Sicherheit und Leistungsfähigkeit des Netzes beeinträchtigen könnten.

Anti-Botnet-Maßnahmen

Was wird derzeit gegen Botnets getan? Man kann es in mehrere Aufgabenbereiche unterteilen: Problemanalyse, Entwicklung von Gegenmaßnahmen, Monitoring der Botnetaktivitäten, Milderung der Wirkung des Botnets, Zerstören des Botnets.

Die Analyse von Botnets erfolgt über die Auswertung des Verhaltens infizierter Clients, deren Kommunikation mit benachbarter Peer-Dronen und Kommando-Servern. (Banday, Qadri & Shah, 2009) Kommando-Server sind etwa im Falle des Storm-Worm-Botnets nachgebaut worden, wodurch Dronen kontrolliert und gesteuert werden könnten (ähnlich im Falle von Conficker, vgl. Leder & Werner, 2009, und die „Containing Conficker“-Arbeitsgruppe an der Uni Bonn von Tillmann Werner und Felix Leder).

Die Identifikation von Botnets, die Analyse ihrer Funktionsweise, die Entwicklung neuer Kommando-Software erfolgt bislang eher durch Eigeninitiative und globale Kooperation von Forschern und technischen Experten. Viele Honeypot-Systeme werden von global kooperierenden Wissenschaftlern betrieben, zum Teil in Zusammenarbeit mit der Privatwirtschaft. Die Identifikation von Bots innerhalb dedizierter Netzwerksegmente – etwa das Netz eines ISP – erfolgt mit Werkzeugen wie BotHunter, einem „network-based malware infection diagnosis system (BotHunter wird auch in einer Präsentation des eco-Justiziars Frank Ackermann erwähnt). Weil Fefe es erwähnte: Es scheint wohl – wenn ich den Artikel auf die Schnelle richtig deute – möglich, über HTTP kommunizierende Botnets anhand von Anomalien im Netzwerktraffic zu entdecken (Gu 2008).

Während Problemanalyse und Entwicklung noch die Neugier der Forscher wecken, ist das Monitoren und Überwachen der laufenden Aktivitäten eines Botnets eine Arbeit, der kaum jemand aus Forscherdrang oder Neugierde freiwillig längere Zeit nachgehen möchte. Wenn Botnets aber nicht ausgeschaltet werden können, ob aus technischen oder legalen Gründen, fallen über längere Zeiträume Arbeiten an, die vermutlich nur innerhalb fester Organisationen mit dediziert dafür zuständigem Personal übernommen werden können. Hier stoßen die bisherigen ad-hoc Arbeitsgruppen an ihre Grenzen. Die Botnet-Forscher wären in der Lage, einige Botnets unter ihre Kontrolle zu bringen und auszuschalten, indem sie über gekaperte Command&Control-Strukturen den Bot-Clients gutartigen Code zur Selbstlöschung zuspielen (vgl. den Proof-of-concept von Tillmann Werner und Felix Leder).

Aus rechtlichen Gründen und wegen der hohen persönlichen Haftungsrisiken nehmen Botnet-Forscher jedoch keine Maßnahmen zur Säuberung infizierter Clients vor. Einige europäische Polizeien haben sich Gerüchten zufolge schon versuchsweise vorgewagt und ein paar Remote-Säuberungstests unternommen. Allerdings verbietet die Rechtslage auch eine gut gemeinte Manipulation fremder Rechner. Der einzige legale Weg zum Säubern von Zombies ist die manuelle Entfernung durch die Benutzer der Rechner oder durch Removal-Software, die etwa vom Betriebssystemhersteller im Rahmen von Softwareupdates bereitgestellt werden. Wenn eco und BSI eine über die bloße Hotline hinausgehende Kooperation planen sollten, die auch Zwangsmaßnahmen enthält, wollten sie es wohl kaum verlautbaren, geschweige denn praktizieren, sondern eine Anpassung der Rechtslage abwarten.

Ursachen und Erklärungen für unzureichende Anti-Botnet-Maßnahmen

In den Griff hat das Problem der Botnets bislang niemand bekommen. Die Hersteller von Software wollen oder können von der Tradition der Bugs und Vulnerabilities nicht abrücken, private Anwender und Kleinunternehmen fehlen Lust, Zeit, Kenntnis und Anreize, ihre Rechner sicher und sauber zu halten, und ISPs sind Botnets bislang in Grenzen egal, solange sich damit nicht nennenswert Geld verdienen oder verlieren lässt.

Der Wissenschaft ist sind solche Problemlagen vertraut. Es gibt Konstellationen von Interessen, Ressourcen und Fähigkeiten, wo alle am Ende verlieren, selbst wenn alle das Beste wollten und Gutes können. Als Freerider-Problem oder Tragödie des Allgemeinguts (Tragedy of the commons) wird es bezeichnet (Hardin, 1968). In solchen Situationen zuckt die Hand des am Rande stehenden, beobachtenden verantwortungsvollen Staates, vielleicht doch einzugreifen (auch wenn die jüngste Nobelpreisträgerin der Wirtschaftswissenschaften, Elinor Ostrom, eher die These von der Tragödie für eine Tragödie hält und das Eingreifen externer, machtvoller Akteure wie dem Staat häufig kontraproduktiv findet, ohne dass sie dabei des neoliberalen Staathasses verdächtig wäre.) So gesehen geht es bei dieser Internetsicherheits-Private-Public-Partnership allein um sachorientierte Regulierung, was zum Tagesgeschäft des Staates gehören sollte. Der Staat schiebt die beteiligten Akteure ein wenig an, verteilt Anreize, justiert Verantwortlichkeiten neu, wenn die Akteure anderweitig nicht in der Lage sind, aus der gesamtgesellschaftlich nachteiligen Lage herauszukommen. In den letzen Jahren haben sich einige Wissenschaftler mit den ökonomischen Hintergründen und den Anreizen für die einzelnen Akteure beschäftigt, etwas für die Sicherheit ihrer Internetgeräte zu tun oder nicht.

Handlungsempfehlungen der Internetsicherheitsökonomie

Moore, Clayton und Anderson jedenfalls empfehlen der Politik regulativ einzugreifen:

„Policymakers should also give Internet service providers, especially the big ones, a stronger incentive to stop infected computers attacking other users“ (Moore et al., 2009).

Allerdings: Anreize geben ist etwas anderes als Kooperation, als eine Private-Public Partnership. Die Politik könnte sich darauf beschränken, ISPs Strafen aufzuerlegen, so sie bestimmte Sicherheitsleistungen nicht in gefordertem Maße erbringen, etwa infizierte Maschinen in ihrem Subnetz zu isolieren (vgl. Moore 2009). Regulierern und zuständigen Referenten in den Ministerien dürften diese Argumentationen vertraut sein. 2007 erhielten vier Wissenschaftler von der Europäischen Agentur für Netzwerk- und Informationssicherheit (ENISA) den Auftrag, einen Bericht über „Security Economics and The Internal Market“ zu verfassen. Sie kamen, wie bei Vertretern von „information security economics“, zum Ergebnis, dass Probleme der Internetsicherheit nicht nur auf technische Fehler zurückzuführen sind, sondern vor allem auch auf falsche oder fehlende Anreize, die Internetakteure zu einem Sicherheit fördernden Handeln bewegen würden. Diese ökonomischen Regulationstheorien gehen davon aus, dass angesichts der zahlreichen und komplexen Problemlagen der Staat sich aus der Regulierung gesellschaftlich relevanter Dinge heraus halten möge, wenn dieBeteiligten denn in der Lage sind, ihre Angelegenheiten selbst untereinander zu regeln. Wenn nicht, dann möge der Staat sich darauf beschränken, hier und dort eine Stellschraube zu drehen, und erst, wenn alles andere nicht klappt, selbst die Zügel in die Hand nehmen. Das läuft bisweilen arg schief, wie die seit zwei Jahren anhaltende Finanzmarktkrise zeigt.

Die ENISA-Studie kommt zu einer ganzen Reihe von Handlungsempfehlungen für die EU zum Umgang mit Internetsicherheitsproblemen (Anderson, Böhme, Clayton & Moore, 2008):

  • gesetzlicher Zwang zur Offenlegung von Sicherheitsvorfällen
  • gesetzlicher Zwang zur Offenlegung monetärer Verlust bei Banken
  • Sammlung quantitativer Daten zu Spam und „bad traffic“ durch ENISA
  • Bußgelder für ISPs, die nicht rasch genug Ersuchen nachkommen, kompromittierte Maschinen vom Netz zu entfernen (Anwender könnten Konnektivität zurückbekommen, wenn sie fortan volle Haftung für von
    ihrem Rechner ausgehenden Traffic übernehmen)
  • Entwicklung und Durchsetzen von Sicherheitsstandards für Geräte mit Netzwerkverbindung
  • Verpflichtung zur Offenlegung von Schwachstellen durch Hersteller, Einführung einer Hersteller-Haftung für nicht zeitnah gepatchte Softwarefehler
  • Empfehlung zur Trennung von Patch- und Feature-Releases, wobei erstere kostenlos zur Verfügung gestellt werden sollten
  • Schaffung einheitlicher Prozeduren bei Streitigkeiten zwischen Kunden und Zahlungsabwicklern
  • Maßnahmen gegen Spam-Versender
  • Finanzierung von Forschungen durch ENISA über die Effekte von Ausfällen von Internet-Knoten.
  • Errichtung eine Einrichtung zur Kooperation gegen Cybercrime
  • ENISA möge die Interessen von Sicherheitsforschern und IT-Sicherheitsindustrie schützen (um weitere Fehler in der Art des Hackerparagraphen zu verhindern)

Michel van Eeten u.a. hatten zwei Jahre zuvor in eine ähliche Richtungen gehende Maßnahmen vorgeschlagen, um ISPs zu Maßnahmen zu bewegen, die die Internetsicherheit stärken helfen (van Eeten, de Bruijn, Kars & van der Voort, 2006). Desweiteren forderten sie Maßnahmen zur Verbesserung der Datenlagen über Internetsicherheitsprobleme. Daten über Botnetze wie Logfiiles liegen verstreut bei Providern und Unternehmen, weshalb nur ein Zusammenspiel der Akteure Klarheit über das Ausmaß der Probleme schaffen kann. Genau dazu fehlten den Akteuren aber offensichtlich das Interesse (van Eeten et al., 2006,
S. 374). Aus diesem Grund ist die Datenlage über das Ausmaß von Sicherheitsproblemen auch heute noch, nach Jahren politischer Diskussion und Instrumentalisierung von Internetsicherheitsproblemen so dürr und gibt es kaum neutrale wissenschaftliche Studien darüber.

Aspekte staatlicher Politik gegenüber ISPs

Staaten verfügen über eine Vielzahl von Möglichkeiten auf ISPs Einfluss zu nehmen. Die britische Regierung hatte ihre ISPs Ende der 1990er mit der Androhung, andernfalls selbst tätig zu werden und den ISPs ihr Handeln durch Gesetzestexte vorzuschreiben, „gebeten“, sich zu einem Verbund zusammenzuschließen, um das ewigen Böse des Internet zu verbannen, Kindesmißbrauchsabbildungen (KMA). Von der demokratietheoretisch zweifelhaften Konstruktion der Internet Watch Foundation abgesehen – eine privater Verein gestattet sich, die Kommunikation der britischen Bevölkerung zu zensieren –, war sie immerhin sehr effektiv im Bemühen, das Hosting von KMA in GB fast vollständig zu unterbinden. Im letzen Jahr haben die USA ihre ISPs gesetzlich verpflichtet, dem National Center for Missing and Exploited Children (NCMEC) beizutreten, dass die U.S CyberTipline betreibt (Moore et al. 2009, S. 16). In Deutschland wurde vor wenigen Tagen mit domainfactory auch der letzte Webhoster gerichtlich dazu verpflichtet, der gesetzlichen Verpflichtung zur Vorratsdatenspeicherung nachzukommen. Die Verhandlungen über das Anti-Counterfeiting Trade Agreement (ACTA) laufen offenbar auf nationale Gesetze hinaus, die der Content-Industrie noch leichteren Zugriff auf Trafficdaten der ISPs liefern würde.

Wenn er also will, kann der Gesetzgeber sehr tief in die Tätigkeiten der ISP rein regieren.

Darüber hinaus orientiert sich das Handeln des Staates zu Internetsicherheit auch an anderen politischen Erwägungen als dasjenige, technische Internetprobleme wie Botnets oder Phishing loswerden zu wollen. Die Bemühungen der Content-Industrie, über staatliche Gesetzgebung Zugriff auf Anwenderdaten der ISPs zu erhalten, sind bekannt. Aufgrund der engen Verflechtungen von Content-Industrie und öffentlicher Meinungsbildung ist die Politik leicht geneigt, diesem Drängen zu Lasten von ISP und Anwendern nachzugeben und die Rollen der Internetakteure zu modifizieren, ihnen andere Aufgaben und Pflichten zuzuweisen und technische Anpassungen zu verlangen.

In dieselbe Richtungen gehen Entwicklungen auf internationaler Ebene. Die Cybersecurity-Diskurse in den USA treiben immer mehr in die Richtung eines verstärkten staatlichen Engagements, die Selbstregulierung durch Industrie wird kritischer gesehen als noch vor Jahren. Die US-Senatoren John Rockefeller und Olympia Snowe fordern gar die Abschaltbarkeit des Internets in Krisenfällen durch das Weiße Haus.  Großbritannien treibt das Thema ebenso voran. Das Mandat der ENISA wurde im letzten Jahr verlängert und an der Spitze sitzt jetzt der ehemalige Leiter des BSI. Diese Entwicklungen auf internationaler Ebene dürften auch in Bonn und Berlin nicht unbeachtet bleiben.

Die sozialwissenschaftliche Theorie des institutionellen Isomorphismus besagt, dass Organisationen, die sich in einem ähnlichen Feld bewegen, mit der Zeit sich in ihrer Kultur, ihren Abläufen, ihrem Personal immer ähnlicher werden. Denkbar, dass dies auch für die Organisation von Internetsicherheit zutrifft.

Ein Aspekt, den man in Debatten über das institutionelle Design von Internetgovernance selten vernimmt, sind die Wirkmächte des sozialen Konservatismus. Die egalitäre Verfügbarkeit des führenden Kommunikationsmediums, das Fehlen von leicht ausfahrbaren Sperren und Hemmnissen, ist eine Anomalie, der sich Staaten und die sie tragenden Stützen der Gesellschaft in der Neuzeit nur selten ausgesetzt sahen. Vorausschauende konservative Politikstrategie denkt das „Si vis pacem para bellum“ nicht nur für äußere Konflikte, zumal Peak Oil, plötzlicher Klimawandel oder die Lage der Finanzwirtschaft für unliebsame gesellschaftliche Überraschungmomente sorgen könnten. Politischen Ziele wie Beherrschbarkeit, Steuerbarkeit und Kontrollierbarkeit der Lage erforderten ein starreres Reglement der Kommunikationssphäre, als dies bislang der Fall ist.

Kalküle der ISPs

Die ISPs scheuen Regulierungsversuche des Staates. Sie sind mit Kosten verbunden, zumeist jedenfalls, mit Rechtsunsicherheiten, mit neuen Kundenproblemen. Zudem erfordern sie meist die Aufmerksamkeit der Leitungsebene. Alles Dinge, die ein ISP vermeiden möchte. Jedoch auch Nichtstun verursacht Kosten – etwa für den Support von Kunden, die sich aufgrund von Sicherheitsproblemen ihrer Rechner an die Hotlines der ISP wenden. Vagen Schätzungen zufolge werden etwa 1-2% der Umsätze mittelgroßer ISPs für
sicherheitsbezogene Supportanrufe aufgewendet (Moore et al., 2009, S. 9). Desweiteren können die von Botnets erzeugten Traffic-Mengen die Durchleitungsvereinbarungen mit dritten ISPs belasten und zu höheren Kosten führen. Schließlich kann ein Übermaß an Computerviren, Malwarebefall oder laxer Umgang mit Spamversendern das Image eines ISP beschädigen. Auf der anderen Seite müssen ISP mit negativen Kommentaren der Öffentlichkeit rechnen, wenn sie diese Probleme mit Lösungen angehen, die die Privatsphären ihrer Kunden verletzen.

Den ISPs ist bewusst, dass sie je für sich das Botnet-Problem nicht in den Griff bekommen können. Dass in ihre Kundennetzen zahllose Bot-Clients sind, ist ihnen bekannt, sie gehen aber nicht, mit welchen Mitteln auch immer, systematisch dagegen vor. Maschinen werden allenfalls dann abgeklemmt, wenn sie massenhaft Spam verschicken oder andere Dinge tun, die Dritte dazu bringen könnten, beim ISP sich zu beschweren. Der überwiegende Prozentsatz der Bot-Clients bleibt unberührt und wartet weiter mehr oder minder stumm auf die Befehle von Peer-Bots oder einem Command&Control-Rechner. Wollte ein ISP dagegen vorgehen, würde er sich Kosten aufhalsen, die seine sorglosen Konkurrenten nicht
haben. First-mover disadvantage.

Zugleich aber drängen Gesellschaft, Wirtschaft und Politik, dass diese Internetsicherheitsprobleme wie Botnets und Viren doch bitte gelöst werden sollten. Dadurch gerät die ISP-Branche unter Zugzwang, wenn man sie als diejenige identifiziert, die den Schlüssel zur Lösung des Botnet-Problems in der Hand hält. Damit würde sich der Charakter des ISPs wandeln, weg vom bloßen Durchleiter von Internettraffic, der nur dann eingreifen muss, wenn er von Dritten aufgefordert wird, hin zu einer proaktiven und inhaltlichen Prüfer aller Internetkommunikation. Der derzeitige Internet-Governance-Kompromiss würde damit aufgekündigt (Mueller, 2004).

ISPs stehen politisch noch aus zwei anderen Richtung massiv unter Druck: Zum einen drängt die Content-Industrie seit Jahren und in immer stärkerem Maße darauf, dass ISPs die Durchleitung von anscheinend nicht lizensiertem Material unterbinden oder zumindest den Content-Lieferanten Auskunft über die Identitäten derjenigen zukommen lassen möge, die anscheinend Lizenzverstöße begehen. Die ISPs halten bislang noch kräftig dagegen.

Zum anderen drängen Regierungen – teils von der Content-Industrie beeinflußt, teils von eigenen Motiven angetrieben – weltweit darauf, das bei den ISPs Technologien installiert werden, die staatlichen Stellen die Filterung des Zugriffs auf bestimmte Inhalte ermöglichen.

ISPs sehen sich daher Akteuren gegenüber, die reichlich Mittel an der Hand haben, ISPs den Wunsch zu durchqueren, entspannt und angenehm Umsätze bei guten Margen zu machen. Die netzpolitisch spannende Frage ist, unter welchen Bedingungen sich ISPs gegen die Interessen ihrer Kunden zu wenden und stattdessen mit anderen Kräften gegen sie zu agieren beginnen. Oder: Wann und wie handelt ein ISP wie Vodafone im letzten Jahr bei der Sperrinfrastruktur-Auseinandersetzung, schert aus dem Branchenkonsens aus und versucht, Kunden eine nicht gewünschte technische und organisatorische Änderung der Internetarchitektur unterzuschieben?

Die eco-BSI Kooperation

Welcher Art ist die Kooperation eigentlich? Die Meldung bei heise am 8.12.2009 lässt sich in Stichpunkten wie folgt zusammenfassen: Provider weisen Kunden auf Bot-Infektionen hin, nicht kooperative Kunden werden evtl. mit Sanktionen belegt, eventuell besteht Virenscannerzwang für Kunden, ggf. können Anwender die Dienste des Call-Centers mit 40 Mitarbeitern kostenfrei in Anspruch nehmen, und schließlich wird über eine Netzsperre für infizierte Rechner, deren Umleitung zu einer Site mit Removal-Software sowie telefonische Unterstützung für betroffene Anwender nachgedacht.

Wir wissen derzeit nicht viel über die Organisation des geplanten Botnet-Zentrums, über die juristische Person, in deren Händen es liegen wird, über die Gesellschafter, deren Rechte, deren Zugriffsmöglichkeiten auf operative Daten und Entscheidungen, über Geldströme. Ein Schleier der Intransparenz ist solchen öffentlich-privaten Kooperation immer eigen. Der jüngsten Stellungnahme von eco zufolge wird es nun zwar keine eigenständige Neugründung zwischen BSI und eco geben, sondern eine wie auch immer gestaltete „rein privatwirtschafliche Initiative“. Weitere Details stehen jedoch noch aus.

Eine solche Konstruktion als „privatwirtschaftliche Initiative“ schließt nicht aus, dass das BSI das Vorhaben finanziell oder anderweitig unterstützt, etwa indem es wissenschaftliche Mitarbeiter und Ingenieure zur Problemanalyse und zum Aufbau weiterer Anti-Botnet-Dienste bereitstellt, dass Services wie Honeypot-Betrieb und Analyse, Einkauf und Auswertungen externer Informationsquellen durch das BSI erfolgen und an eco weitergeleitet werden. Der Betrieb der Hotline ist der politisch am wenigsten bedeutsame Aspekt an dieser BSI-eco-Kooperation. Interessanter und wichtiger sind Art und Umfang der gesammelten Daten und Kompetenzen für Maßnahmen, die Privatsphären oder Freiheitsrechte von Anwendern betreffen.

Dass die Benachrichtigung der Anwender über Fehler auf mehreren Kanälen erfolgen soll und sogar auf dem rechtsgültigen Postwege, liest sich angesichts der marktüblichen Anwendersupport-Praktiken wie das Gegenstück zu einem kommenden AGB-Passus, in dem irgendeine Maßnahme angedroht wird, falls der Anwender nicht dieses oder jenes binnen einer Frist erledigt. Zugegeben, es ist ein pragmatischer und vermutlich auch effektiver Ansatz, in Einklang mit den Empfehlungen des ökonomischen Internetregulierungsansatzes den Endpunkten die Verantwortung für ihr Tun auch monetär aufzubürden, um Malware-Schleudern aus dem Netz zu bekommen.

Fazit: Folgen für die Kommunikationsfreiheit?

Botnetze sind aufgrund der Kosten, die sie offenbar verursachen, durchaus ein ein Problem, dessen Behebung die Politik beobachten und gegebenenfalls fördern sollte. Die bisherigen Wege stoßen anscheinend an ihre Grenzen, andere Wege sind bei der Botnet-Bekämpfung erforderlich. Der Handlungskatalog von Anderson u.a. listet eine Reihe denkbarer Maßnahmen auf. Aber hinter dem unscheinbaren Begriff der Anreize stehen massive Eingriffsrechte durch ISPs in die Systeme der Anwender, die legitimiert werden sollen durch den großen Nutzen für die Allgemeinheit. So bestechend einfach es ist, das Problem der Botnets durch Ermächtigungen der ISPs zu bekämpfen – es bleibt die Frage, ob der Nutzen die Beschneidung individueller Freiheiten oder deren Bedrohung durch den Aufbau weitreichender Institutionen rechtfertigt.

Die allgemeine Interessenslage läßt allerdings vermuten, dass es auf mehr Rechte und Pflichten für ISPs hinausläuft. Die Softwarehersteller dürften dankbar sein, wenn nicht sie für Unsicherheiten der Systeme haften müssen. Strafverfolgungsbehörden dürften den Zugriff auf die Daten der ISPs schätzen. Gewichtige politische Fraktionen wollen den Staat offenbar eine größere Rolle bei Regulierung und Betrieb des Kommunikationsraums Internet einräumen. Die Content-Industrie würde gerne DPI-Boxen in die Rechenzentren der ISPs stellen, um dort umsatzfördernde Daten zu gewinnen. Der soziale Konservatismus wird die (aus seiner Sicht) Anomalie beseitigen wollen, keinen direkten Zugriff auf den Kommunikationsraum zu haben. Debatten um innere und äußere Sicherheit sehen im Schutz des Internets ein gemeinsames Ziel. Eine gewichtige Allianz wächst da heran, die ISPs zu einem Gehilfen ihrer Interessen machen möchte.

Informatiker haben effektive Werkzeuge zur Botnet-Bekämpfung bereitgestellt, ökonomisch argumentierende Sozialwissenschaftler empfehlen eine ganze Reihe von bedenkenswerten Maßnahmen zur Erhöhung der Internetsicherheit. Was aber fehlt – zumal in Deutschland, wo es meines Wissens nicht einen Lehrstuhl für Internetpolitik oder Internet Governance gibt –, ist kreatives Nachdenken darüber, welches institutionelle Arrangement technische Internetsicherheit mit individueller Sicherheit vor Freiheitsbeschränkungen im Internet verbinden könnte. Es bleibt Aufgabe der netzpolitisch interessierten Öffentlichkeit, von Politik und Wirtschaft demokratische Prinzipien wie Transparenz, Überwachung der Überwacher und Sicherung von Freiheitsrechten in der Netzpolitik einzufordern.

Auch wenn der angedachten eco-BSI-Kooperation ein pragmatischer Ansatz zur Lösung des Botnet-Problems zugrunde liegt, würden eco und die Internetwirtschaft mit der im Raume stehenden Möglichkeit, Rechner vom Netz abzutrennen, zu Exekutivorganen nationaler Internetsicherheitspolitik werden. Ihnen würde die Macht zuteil, Rechner den Zugang zum Internet zu sperren und Kunden so die Teilhabe am öffentlichen Netzleben zu verwehren. Sie müssten, um dieser Aufgabe nachzukommen, intern Prozeduren und Werkzeuge schaffen, mit denen die Netzabtrennungen effizient und effektiv durchgeführt werden können. Der technischen Sicherheit des Internets und geschäftlichen Transaktionen mag es dienlich sein, auf die Sicherheit der Kommunikationsfreiheit könnte es dagegen ein paar unerfreuliche Wirkungen haben.

Literatur

  • Anderson, R., Böhme, R., Clayton, R., & Moore, T. (2008). Security Economics and The Internal Market. European Network and Information Security Agency (ENISA).
  • Banday, M. T., Qadri, J. A., & Shah, N. A. (2009). Study of Botnets and Their Threats to Internet Security.
  • Bauer, J., van Eeten, M., & Chattopadhyay, T. (2008). Financial Aspects of Network Security: Malware and Spam. (Presentation, ITU-T Study Group 3 Geneva, Switzerland, 2 April 2008).
  • Gu, G., Zhang, J., & Lee, W. (2008). Botsniffer: Detecting botnet command and control channels in network traffic. In Proceedings of the 15th annual network and distributed system security symposium (NDSS’08).
  • Hardin (1968). Tragedy of the Commons. Science, (162), 1243-1248.
  • Leder, F., & Werner, T. (2009). Know Your Enemy: Containing Conficker (The Honeynet Project)
  • Moore, T., Clayton, R., & Anderson, R. (2009). The Economics of Online Crime. Journal of Economic Perspectives, 23(3), 3-20.
  • Mueller, M. L. (2004). Ruling the Root: Internet Governance and the Taming of Cyberspace. The MIT Press.
  • van Eeten, M. J. G., de Bruijn, H., Kars, M., & van der Voort, H. (2006). The governance of cybersecurity: a framework for policy. International Journal of Critical Infrastructures, 2(4), 357-378.
  • van Eeten, M., & Bauer, J. (2008, July). ITU Study on the Financial Aspects of Network Security: Malware and Spam (ICT Applications and Cybersecurity Division, Policies and Strategies Department, ITU Telecommunication Development Sector)

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

13 Ergänzungen

  1. Alle die ihren gesunden Menschenverstand beim Einschalten ihres Computers ausschalten vom Internet trennen? Gerne.

    Elitäre Arschloch-Attitüde beiseite, Förderung der „Medienkompetenz“ löst viele Probleme. Sobald der Großteil der Internetnutzer den Vergleich zwischen dubiosen sites und ungewollten Vertretern vor der realen Haustür zieht, sind diese Probleme passé.
    Wenn man unbedarften Leuten den Vergleich zwischen DPI und dem Briefgeheimnis vorstellt, kucken sie auch erstmal sehr verwundert.

    1. „Alle die ihren gesunden Menschenverstand beim Einschalten ihres Computers ausschalten vom Internet trennen? Gerne.“

      Wenn es nur so wäre, natürlich bin ich auch für mehr Medienkompetenz. Aber wie eindeutig, ohne tiefe Paketanalyse nachgewiesen werden soll, dass jemand infiziert ist erschließt sich mir noch nicht ganz. Ich sehe da durch aus die Gefahr das unschuldige auch vom Netz genommen werden und halte das ganze für rechtlich sehr fragwürdig. Auch weil anzunehmen ist dass sich die Methoden der Botnetz-Betreiber weiterentwickeln und man dann evtl. am äußeren Paketstrom nichts mehr erkennt.

      Wenn man die ISPs immer mehr zur Exekutive macht, ist für mich wiedereinmal die „Integrität und Vertraulichkeit unserer informationstechnischer Systeme“ (BVG) in Gefahr. Mit der Förderung der IT-Sicherheitsforschung sehe ich den besseren Aufbau einer neutralen Instanz, die nicht von monetären Trieben geleitet ist.

  2. Medienkompetenz hätte aber den Vorteil das man nicht mehr mit angeblichen KiPo-Sperren oder Botnetz-Verteidigungen argumentieren kann um Zensur durchzudrücken!

  3. Langsam kommt mir auch der Gedanke nach den ganzen Demonstrationen, Aufrufen usw.

    Auch wenn es schon abgedroschen klingt:

    „Die machen doch eh was sie wollen“.

  4. Die Selbstregulierung kann mMn sehr wohl funktionieren, wenn man Dinge wie diese durchsetzt:

    „- gesetzlicher Zwang zur Offenlegung von Sicherheitsvorfällen
    – gesetzlicher Zwang zur Offenlegung monetärer Verlust bei Banken…“

    Wenn die Unternehmen zu eigenen Analysen, Stichproben, Checks und zur Veröffentlichung deren Ergebnisse verpflichtet sind, werden sich definitiv sehr rasch Ergebnisse einstellen. Der Staat kann sich dann auf stichprobenartige Überprüfungen dieser veröffentlichten Berichte beschränken (Damit entfällt dann auch das Kosten- und Personalargument auf staatlicher Seite). Allerdings müssen fehlerhafte Berichte auch schmerzhaft strafbewehrt sein.

  5. ich frag mich nur, wie die denn ein p2p-Netz von nem Bot-Netz unterschieden wollen. Diese Bot-Net Regulierung klingt für mich so, dass man auf jeden Fall die Bildung von Dark-Nets verhindern möchte, die sich einstellen wird, wenn Web-Sites zensiert werden.

    Also ich denke es sollte voll reichen, wenn der ISP die infizierten Nutzer informiert, dass sie infiziert sind.
    Bei den meisten sollte das schon reichen, dass die dann mal nen Systemupdate raufspielen, was das Problem löst, denn wer möchte denn schon freiwillig infiziert sein.
    Da braucht man also garnicht mit Maßnahmen drohen.

  6. Gunnar: You might very well think that… ;-)

    Sven: Dass Selbstregulierung durchaus ein gehbarer Ansatz ist, zeigt schon die Tatsache, dass das Internet auch nach mehr als zehn Jahren, in denen über Digital Pearl Harbours und Critical Information Infrastructure diskutiert wurde, das Internet immer noch nicht zusammengebrochen ist. Kurz nachdem ich diesen Artikel fertiggestellt hatte, hat Shadowserver die Statistiken zu Conficker freigegeben, ich hab es kurz in meinem Blog erwähnt. Die Zahlen und Auswertungen habe ich nur kurz relativ kurz angesehen, aber sie erwecken den Eindruck, als könnte man den Providern sagen: Schau, Telekom, bei Euch ist alles voll mit Bot-Clients, bei 1&1 nicht. Transparenz ermöglicht Name&Shame-Kampagnen und die wiederum könnten einige Akteure dazu bewegen, sich zu Botnets u.ä. anders zu verhalten. Die Bespiele, die du erwähnst (gesetzlicher Zwang zur Offenlegung) sind nur noch eingeschränkt Selbstverwaltung, da hier ja bereits der Staat tätig wird, wenn auch relativ milde und ohne operativ tätig zu werden.

    Vera: Danke für den Link. Einige Kommentatoren haben bereits die Dinge angesprochen, die an Wolfgang Michals Artikel unrund erscheinen. Es ist schwierig, eine neue Technologie mit Metapher, Bildern, Artefakten aus alten Technologien zu beschreiben. Das mag das Verständnis bisweilen erleichtern (wie bei Lessigs Beispiel vom nicht in die Briefe sehenden Postsortierer und Ralf Bendraths davon abgeleiteter Version des Briefsortierers, der mittels DPI in die Briefe schaut), in diesem Fall habe ich ich nicht den Eindruck.

    Wobble: Das sind technischen Feinheiten, die besser die Informatiker beantworten. Ich hatte Gu 2008 und die Seiten der Bonner Jungs zitiert, damit Interessierte nachschauen können, was derzeit in der technischen Botnetforschung der Stand ist und passiert.

  7. sehr interessanter Artikel, allerdings sehe ich nicht das Problem ….

    da werden mal wieder nicht existente Probleme mit gesetzlichen Mitteln angegriffen.
    1. ist Malware != Botnet.
    2. ist das nur rumdoktoren an den Symptomen
    3. gehts nur darum wieder nen grund für deep packet inspection zu finden

    so long!
    Netzneutralität ist hier definitiv nicht gegeben.

    wie schon jemand sagte ist das unterscheiden zwischen botnet und normalem p2p nicht möglich.
    jetzt mag das noch klappen, da die botnet betreiber keinen großen wert drauf legen ihren traffic zu tarnen. aber das wäre nur eine fragen von tagen, sobald es was gesetzliches gibt.

    Man sieht in den letzten Jahren eine deutliche entwicklung bei software hin zu mehr sicherheit und zeitigen updates.
    Malware setzt zu 90% auf uralte lücken in Software, die der Anwender meistens nicht aktualisiert hat.
    Als schlechtes Beispiel will ich hier mal Adobe nennen.
    der Adobe reader und Flash sind sehr beliebte einfallstore, die updatefunktion der programme scheint aber gefühlt nur einmal im Monat aktiv zu werden. Da wundert es nicht das viele noch auf alten versionen arbeiten.

    also kein falschen aktionismus an der falschen stelle, dann lieber mal die softwareprovider mehr unter druck setzen.
    klar sind bugs nicht unvermeidbar, aber eine gescheite notfallstrategie sollte schon vorhanden sein und die sehe ich bei kaum einem Softwareanbieter.(Microsoft ist hier sogar mittlerweile eine positive ausnahme, da sieht man mal was öffentlicher druck alles bewirken kann)

    so long

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.