Gewappnet gegen Zombies

Die Gefahr wächst stündlich: Botnetze und weltweit unzählige, von Hackern in Zombie-Rechner verwandelte Privat- und Firmen-PCs bedrohen die Funktionstüchtigkeit der weltweiten IT-Infrastruktur. Jetzt will das US-Start-up-Unternehmen Nemean Networks ein Gerät entwickelt haben, mit welchem die Zombie-Horden in Schach gehalten werden sollen. Die Appliance, die unter der Bezeichnung A1000 entwickelt wurde, steht kurz vor der Se-rien-reife. In Kürze soll das Gerät vier- bis sechsmonatige Versuchsreihen bei möglichen Firmenkunden durchlaufen. Läuft dabei alles glatt, soll die Appliance kommerziell vermarktet werden.

Wie Paul Barford, Mitbegründer von Nemean Networks und Computerwissenschaftler an der Universität von Wisconsin, erläutert, automatisiert das Gerät die Erstellung der Signaturen von Malware. Bislang würden diese Merkmale, sozusagen die Fingerabdrücke oder die Handschrift der für die Errichtung der Botnetze zuständigen Schadprogramme, noch von Hand generiert. Doch die Signaturen würden mit dem neuen Gerät nicht nur automatisch bereitgestellt. Sie enthielten zusätzlich auch mehr Detail-Informationen, erklärt Barford. Dadurch würde die mit Linux betriebene Appliance nicht nur Attacken erkennen, sondern weniger falsche Alarme, also False Positives generieren.

Erste Vergleichstests mit kommerziellen Intrusion-Protection-Systemen hätten laut Barford ähnlich gute Werte bei der Erkennung bösartiger Aktivität ergeben. Dabei habe das Nemean-Produkt keinen einzigen falschen Alarm verursacht, während das Vergleichsgerät deren 88000 generierte. Darüber hinaus würden die vom A1000 erzeugten Signaturen nicht nur einzelne Attacken erkennen, sondern ganze Angriffsarten. Allerdings sei die Appliance, die sich vor allem an Netzwerkadministratoren wendet, ein reines Informationssammlungsgerät und könne Angriffe nur erkennen. Um diese schlussendlich zu verhindern, müssten nach wie vor Firewalls eingesetzt werden.

Wie vielversprechend die Erfindung ankommt, lässt sich an der Unterstützung erkennen, die Nemean bereits erhält: Zu den Geldgebern gehören die National Science Foundation, die US-Armee und das nach den Anschlägen des 11. September 2001 gegründete US-amerikanische Amt für Heimatschutz. Darüber hinaus sind auch andere IT-Security-Experten davon überzeugt, dass die Zeiten, als Malware-Botnetze mit statischen Signaturverfahren bekämpft wurden, vorbei sind. So ist Art Coviello, Präsident der EMC-Tochter RSA, überzeugt, dass «die schiere Zahl und die zunehmende Dynamik der Attacken der Cyberkriminellen alle heutigen Verfahren an den Rand des Kollapses bringen».

Systeme, die das Verhalten der Botnetze analysierten und rechtzeitig blockierten, sowie solche, die eine kollektive Intelligenz anzapften, seien dagegen besser gewappnet, ist Coviello sicher.