Analyse und Bekämpfung existierender Cyberrisiken

Systematische Analyse von Botnetzen

Mit der Zerschlagung der Botnetz-Infrastruktur »Avalanche« ist nach vierjähriger Ermittlungsarbeit einem internationalen Team, dem auch das Fraunhofer FKIE angehört, ein wichtiger Schlag gegen die organisierte Cyberkriminalität gelungen. »Avalanche« gilt als die weltweit größte Infrastruktur zum Betrieb sogenannter Botnetze und hat hunderttausendfach private und geschäftliche Computersysteme und Mobilgeräte mit unterschiedlicher Schadsoftware infiziert.

Durch technische Unterstützung des vom Bundesamt für Sicherheit in der Informationstechnik (BSI) beauftragten Projekts »Systematische Analyse von Botnetzen« hat das Fraunhofer FKIE entscheidend zu der Zerschlagung von »Avalanche« am 30. November 2016 sowie zu der Entwicklung von erfolgreichen Resilienzmaßnahmen beigetragen.   

© Fraunhofer FKIE

Bei der Zerstörung der komplexen Infrastruktur von »Avalanche« kamen verschiedene Bausteine parallel zum Einsatz, die erstmals eine solch konzertierte Aktion gegen eine weltweit agierende Botnetz-Infrastruktur ermöglicht haben. Der Beitrag des Fraunhofer FKIE an dieser konkreten Aktion lag vor allem in der technischen und systematischen Analyse und Störung der Strukturen von »Avalanche«. Gleichzeitig stand die Identifizierung der einzelnen Server auf Führungsebene im Vordergrund, um damit die Ermittlungsbehörden darin zu unterstützen die Täter sicherzustellen und strafrechtlich zu verfolgen.

Dank der Analyse der Schadsoftware wurden seit der Zerschlagung von »Avalanche« verschiedene vom Fraunhofer FKIE entwickelte Systeme, sogenannte Sinkhole-Server, vom BSI eingesetzt. Sie ersetzen die ehemaligen Steuerserver der Täter und verhindern, dass Rechner, die weiterhin mit Schadsoftware infiziert sind, erneut für kriminelle Zwecke missbraucht werden. Betroffene Nutzer werden auf diesem Weg identifiziert und mithilfe ihrer Provider über die Schadsoftware informiert. 

Mit dem Takedown von »Avalanche« konnte der organisierten Internetkriminalität ein wirksamer Schlag versetzt werden. Bundesinnenminister Thomas de Maizière sprach von einer »Kampfansage an die internationale Kriminalität im Cyberraum«. Mehrere Verdächtige wurden festgenommen, die für kriminelle Zwecke genutzten Server beschlagnahmt und abgeschaltet.

Über die Sinkhole-Server konnte im Vergleich zum Takedown die Zahl der verseuchten Systeme weltweit bereits um 45 Prozent verringert werden. Auf Deutschland bezogen ist die Bereinigungsrate noch deutlich besser. Hier wurde die Zahl der infizierten Systeme sogar um 61 Prozent reduziert.     

 

Zum Download

Informationsbroschüre Avalanche