Das Computerstrafrecht und die Forschung
Das Computerstrafrecht soll die Sicherheit der Informationstechnologie schützen. Das gelingt jedoch nicht immer. Vor allem die unklare Rechtslage kann die Forschung im Bereich IT-Sicherheit enorm behindern.
Das Institut für Informatik an der Uni Bonn hat in Zusammenarbeit mit der RWTH Aachen eine Möglichkeit gefunden, eines der bekanntesten „Botnetze“ der Welt zu bekämpfen. Doch ausgerechnet das Computerstrafrecht behindert die Forschung. Nicht nur die Veröffentlichung der Forschungsergebnisse ist schwierig – auch das Abschalten des Botnetzes ist den Forschern nicht ohne weiteres möglich. Felix Leder und Tillmann Werner von der Uni Bonn erklären uns die Hintergründe.
Was ist eigentlich ein „Botnet“?
Felix: Ein Botnet ist ein Verbund von Rechnern, die mit einer Schadsoftware infiziert sind, sog. „Bots“. Diese Rechner können dann – meist von einer zentralen Instanz – ferngesteuert werden. Ein Botnet wird zu verschiedenen Zwecken verwendet. Die meisten Botnets werden zum Versand von Spam-Mails benutzt, weil man damit ziemlich viel Geld machen kann. Viele Botnets sammeln auch Passwörter und Seriennummern. Beliebt sind auch Bankinformationen und ebay-, Paypal-Accounts und Ähnliches. Sie werden aber auch verwendet, um bestimmte Rechner im Internet über sog. „Distributed Denail of Service“-Angriffe auszuschalten. Da versuchen alle Bots gleichzeitig einen einzigen Rechner zu erreichen und erzeugen so eine Überlast auf diesem Rechner. Damit kann man Konkurrenten ausschalten oder sogar erpresserisch vorgehen.
Ihr habt euch nun insbesondere mit dem „Storm Botnet“ beschäftigt. Was ist daran das Besondere?
Tillmann: Das Storm Botnet ist ein kleines Mysterium. Es besteht seit Mitte 2006 , ist also schon relativ alt. Lange Zeit konnte niemand so wirklich Informationen darüber sammeln. Es gab vor allem zwei Eigenarten, die das Storm Botnet so besonders gemacht haben:
Zum einen war es das erste ernstzunehmende „Peer-to-Peer“-Botnet. Klassische Botnetze kommunizieren mit einer zentralen Instanz. Beim Storm Botnet ist es so, dass das Netz verteilt organisiert ist. Die Anzahl der einzelnen Rechner in diesem Netzwerk ist deshalb auch sehr schwer zu ermitteln. Zu Hochzeiten waren das aber auf jeden Fall mehrere hunderttausend infizierte Rechner.
Zum anderen verbreitet sich der „Storm Worm“, also die Schadsoftware, mit denen die Rechner infiziert werden, nicht auf herkömmlichem Weg. Meist wurden bisher Schwachstellen auf Computern ausgenutzt und die Software ohne Zutun des Benutzers installiert. Die Masche von Storm war sog. „Social Engineering“. Es wurden also Mails verschickt, zum Beispiel zum Sturm „Kyrill“, von dem „Storm“ auch seinen Namen hat, wo Links zu Webseiten angegeben waren. Wenn der Nutzer nun einen dieser Links geklickt hat, sollte er sich eine Software runterladen mit der sein Rechner dann infiziert wurde. Diese Methode ist bei Botnets sehr selten.
Wer betreibt diese Botnets?
Tillmann: Darüber kann man keine genauen Angaben machen. Es gab Gerüchte, dass einige russische Organisationen da eine Rolle spielen. Es gibt aber auch Hinweise auf Amerikaner und Kanadier, die da beteiligt sein könnten. Die Domains, die verwendet werden, liegen oft in China. Das sind aber alles vage Vermutungen. Die Betreiber bieten übrigens regelrechte Dienstleistungen an, dass man für einige hundert Dollar Spam-Mails über das Botnet verschicken kann. Genaues kann man zwar nicht sagen, aber die Verstrickungen sind weltweit.
Ihr habt nun einen Weg gefunden, gegen dieses Botnet vorzugehen. Wie funktioniert das?
Felix: Man kann sich dieses Netzwerk wie ein normales Filesharing-Netzwerk vorstellen, etwa wie „emule“. Storm sucht nur nicht nach Dateien, sondern nach Rechnern, von denen der Bot seine Kommandos entgegen nehmen soll. Wenn man nun weiß, wie diese Kommunikation funktioniert, kann man so eine Antwort fälschen und den Bot auf einen eigenen Kommando-Server umleiten.
Dann ist es relativ einfach, wenn man weiß, welche „Sprache“ die Bots sprechen. Wir haben diese Sprache analysiert und ein Kommando gefunden, mit dem wir auf den Bot zugreifen, einen eigenen Mini-Virenscanner installieren und die Schadsoftware deinstallieren können. Wir suchen also den Rechner nach infizierten Dateien ab und bereinigen sie. Und damit können wir den Bot unschädlich machen.
Und genau da habt ihr ein rechtliches Problem?
Felix: Genau. Das Problem haben wir, sobald wir das Kommando abschicken und auf den infizierten Rechner zugreifen. Denn dann führen wir eine Datei von uns auf dem fremden Rechner aus. Und aus unserer Sicht ist dieses Eindringen in ein fremdes System strafbar.
Habt ihr schon Kontakt zu Juristen aufgenommen, die das Ganze genauer prüfen? Es könnte ja zum Beispiel Nothilfe vorliegen…
Tillmann: Es gab schon Gespräche mit der Staatsanwaltschaft. Dabei wurde auch darüber gesprochen, dass es technisch kaum möglich ist, eine Gegenmaßnahme nur auf deutsche Rechner zu beschränken, was die Sache natürlich noch brisanter macht. Für uns steht fest, dass wir nicht in einer Form agieren können, mit der wir uns strafbar machen können oder die nach Selbstjustiz aussieht. Und selbst wenn Nothilfe oder Ähnliches vorläge, wäre uns wichtig, eine offizielle Stelle für die Durchführung zu finden, die die möglichen politischen Konsequenzen einschätzen kann.
Felix: Ein weiteres Problem ist, dass wir unsere Methode auch nur sehr schwer veröffentlichen können. Denn was wir hier hergestellt haben, könnte ja auch ein Hacker-Werkzeug sein. Würden wir den Code ohne Änderungen veröffentlichen, könnte das möglicherweise unter den „Hackerparagraphen“ fallen. Allein die Forschung an dem Thema ist schon sehr schwierig. Es mag sein, dass hier die Rechtslage nicht eindeutig ist, aber insgesamt fühlen wir uns schon in unserer Arbeit behindert. Und wenn man sinnvolle Ergebnisse veröffentlichen will, ohne gleich Forscher an einer Uni zu sein und als „Hacker“ gilt, was vor Gericht ja schon eine soziale Abstufung sein kann, wird die Sache erst richtig schwierig.
Seid ihr denn überhaupt noch daran interessiert, hier eine Klärung herbeizuführen?
Tillmann: Für uns selbst ist die Situation natürlich schwierig. Wir wollen uns nicht strafbar machen. An einem wissenschaftlichen Austausch – vor allem auch mit Juristen – sind wir aber natürlich sehr interessiert.
Dipl. Inf. Felix Leder und Dipl. Inf. Tillmann Werner arbeiten als wissenschaftliche Mitarbeiter am Institut für Informatik der Friedrich-Wilhelms-Universität in Bonn. Daneben waren an der Forschung die wissenschaftlichen Hilfskräfte an der RWTH Aachen Mark Schlösser und Georg Wicherski beteiligt. Telemedicus stellt gerne einen Kontakt zum wissenschaftlichen Austausch her.
