Editorial: Die Dialer-Suchmaschine
Vor einigen Monaten begann Microsoft mit dem interessanten Projekt Strider HoneyMonkey Exploit Detection. Der "Honigaffe" ist dabei ein automatisches System, das Webseiten absurft. Installiert eine davon unbemerkt und unberechtigterweise Schädlinge (Viren, Würmer, Trojaner, Dialer etc.) auf dem Testrechner, wird dieses von spezieller Software automatisch erkannt. Die detektierten Websites werden anschließend noch genauer untersucht, beispielsweise um zu ermitteln, welche Windows-Versionen genau betroffen sind. Um Angriffe genau erkennen und zuordnen zu können, läuft das Testsystem von Honeymonkey in einer virtuellen Umgebung. Nach jedem Website-Besuch wird es auf die Ausgangssituation zurückgesetzt.
Der Unterschied zwischen den inzwischen relativ gängigen Honeypots ("Honigtöpfe") und dem HoneyMonkey ist, das letzterer aktiv nach gefährlichen Websites sucht, während sich Honeypots im Normalfall passiv verhalten und auf Angriffe von außen warten. Ein Honeypot übernimmt dazu in der Regel die Funktion eines Internet-Servers, während der Honeymonkey als Client arbeitet.
Es bleibt zu hoffen, dass in naher Zukunft nicht nur Microsoft, sondern viele für Sicherheit zuständige Stellen eine solche Suchtechnologie nach verseuchten Websites einsetzen werden. Webspace-Anbieter könnten beispielsweise die von ihnen gehosteten Sites auf Schadcode überprüfen und problematische Inhalte automatisch sperren. Staatliche Stellen wiederum sollten ein Interesse daran haben, betrügerische Websites mit automatisch und unbemerkt installierenden Dialern zu finden, und Verfahren gegen deren handelnden Personen einzuleiten, oder zumindest die betroffenen Websites und/oder Einwahlnummern stillzulegen, und ein Inkasso für bereits getätigte Einwahlen zu verhindern. Immerhin beträgt der geschätzte Schaden bei den abgezockten Internetnutzern über 100 Millionen Euro.
Eine Verhinderung des Dialer-Schadens wäre vermutlich für einen Bruchteil dieses Betrages möglich. Man bräuchte dazu keine neuen Hundertschaften an Polizisten, keine neuen und umstrittenen Gesetze. Einige wenige IT-Spezialisten und diverse PCs wären vermutlich genug. Diese müssten ein System analog zu Microsofts HoneyMonkey aufbauen, und dann auf Ergebnisse warten. Deren Analyse ist dann die Aufgabe klassischer Polizeiarbeit: Erste Hinweise auf mögliche Täter liefern die Registrierungsdaten der Domains, oder die Abrechnungsdaten der Provider. Weitere Hinweise gibt es dadurch, dass Websites oft zu Netzwerken verlinkt sind, oder Schadcode von Drittsites nachladen. Auch die Schädlinge selber enthalten Spuren: Etwa die Einwahlnummer bei Dialern oder geöffnete Ports und Registrierungs-Webserver bei Trojanern.
Neue Gesetze sind nicht nötig. Das Absuchen des Internets nach Inhalten ist auch für die Polizei legal, das Anlegen einer Datenbank mit verdächtigen Websites ebenfalls. Ein sich versteckt installierender und agierender Dialer oder Trojaner dürfte - je nach genauem Ablauf - gleich gegen mehrere Strafgesetze verstoßen. Einschlägig erscheinen dem Autor insbesondere §263a StGB (Computerbetrug), §271 StGB (Mittelbare Falschbeurkunung), §303a StGB (Datenveränderung) und §303b StGB (Computersabotage). Selbst dann, wenn man bei gemeinschaftlich verwalteten Websites den genauen Täter nicht ausfündig machen kann, sollte die Beweislage zumindest ausreichen, um den Weiterbetrieb der Dialer bzw. Dialernummern zu verhindern, und die Geldströme zu kappen.
Polizeiarbeit ist in Deutschland Ländersache. Stellt sich die Frage, welche Landesregierung Interesse hat, sich in den nächsten Jahren mit der Bekämpfung der Internet-Kriminalität zu profilieren. Der von ihr zu investierende Geldbetrag ist sicherlich viel geringer, als der bei diversen anderen Prestigeprojekten.