Die Herren der Cyber-Zombies

Am späten Nachmittag des 2. Mai merkten die Techniker der israelischen Internet-Firma Blue Security zum ersten Mal, dass etwas Ungewöhnliches im Gange war. Mit einem Schlag konnten nur noch Internet-Benutzer aus Israel ihre Web-Seite www.bluesecurity.com erreichen. Der Rest der Welt starrte auf einen leeren Bildschirm. Eine Internet-Attacke hatte begonnen, doch damals wussten die Techniker noch nicht, dass sie der Anfang eines regelrechten Cyber-Kriegs war, der in den kommenden Wochen an den Fundamenten des Internet rütteln und die kleine Firma in den Ruin treiben würde. Erst recht konnten Zehntausende Blue-Security-Kunden in aller Welt nicht ahnen, dass sie zu Teilnehmern einer Geschichte voller Geheimagenten, Mafiosi, Meister-Hacker und geheimnisvoller Verschwörer geworden waren, die genauso gut einem Roman von John le Carré hätten entspringen können.

Blue Security war keine alltägliche Internet-Firma. Der Unternehmer Eran Reshef, ein ehemaliger Geheimagent der israelischen Armee, hatte sich schon in den neunziger Jahren als Experte für Computersicherheit selbstständig gemacht. Als er im Jahr 2004 in Herzliya seine jüngste Firma ins Leben rief, glaubte er, ein wirksames System gegen ein eskalierendes Problem des Internet gefunden zu haben: So genannte Spam-Mails, unerwünschte Werbesendungen, die mit Angeboten für Rolex-Uhren, Penisverlängerungen oder Beruhigungsmittel die elektronischen Eingangskörbe der Computer in aller Welt überfluten.

Die Spammer sollten mit ihren eigenen Waffen geschlagen werden

Blue Security, so lautete Reshefs Plan, würde zurückschießen. Die Kunden der Firma luden ein kleines, kostenloses Programm auf ihre Computer, und wenn sie fortan eine Spam-E-Mail erhielten, wurden die Spammer ihrerseits mit Bitten um Unterlass belästigt. Erst sanft, dann am Ende mit einer ganzen Flut. Manche Internet-Experten geißelten dieses Verfahren als »Lynchjustiz« und fanden die Sache genauso unethisch wie die Werbesendungen selbst. Doch Blue Security fand namhafte Investoren aus dem Silicon Valley, und spätestens im Frühjahr 2006 konnte Blue Security Erfolge verbuchen. Sechs der etwa zehn weltweit größten Spam-Organisationen erklärten sich genervt bereit, Blue-Security-Kunden künftig nicht mehr zu belästigen. Blue Security half ihnen dabei und stellte eine – verschlüsselte – Liste all ihrer Kunden bereit. Doch nicht alle Spammer mochten sich dem Waffenstillstand anschließen. Im April kündigte eine Gruppe Vergeltung an, deren Drohungen man gewöhnlich ernst nimmt: die russische Mafia.

Die meisten Computernutzer merken seit Jahren, dass die Zahl unerwünschter Werbesendungen in ihren elektronischen Briefkästen zunimmt. Meist haben sie keine Ahnung, wer ihnen diese Post schickt. »Der Spam-Versand ist heute definitiv in weiten Teilen organisierte Kriminalität«, sagt Markus Hippeli, Sicherheitsexperte bei der Berliner IT-Beratungsfirma Pingbar. Acht von zehn versandten EMails, schätzen Sicherheitsfirmen, seien inzwischen Spam. Obwohl nur ein winziger Bruchteil der Empfänger solcher E-Mails »anbeißt«, gilt die Sache als Milliardengeschäft. Schließlich kostet es in Zeiten der elektronischen Post sehr wenig, Millionen von Werbesendungen zu verschicken. Dieses dunkle Geschäft ist – wie es sich in Zeiten der Globalisierung gehört – stark arbeitsteilig organisiert.

Am Anfang der Kette stehen die eigentlichen E-Mail-Versender, die etwa Beruhigungs- oder Potenzmittel feilzubieten haben, Pornografie oder Glücksspiel, dubiose Aktientipps oder raubkopierte Software. Weil die meisten Internet-Firmen den Massenversand anrüchiger Werbepost blockieren, wenden sie sich heute oft an Kriminelle in Amerika, Russland oder China, die so genannte Botnetze und Computer-Zombies in der Hand haben. Das sind Netzwerke Hunderter, Tausender oder Zehntausender Computer in aller Welt, die zwar Privatleuten gehören, aber von Hackern mit Computerviren oder trojanischen Pferden infiziert wurden. So gehorchen die »Zombies« nun ihren kriminellen Herren, die etwa nach Herzenslust E-Mails verschicken können. Zu stoppen ist das kaum, und die wahre Quelle ist ebenfalls nicht auszumachen. Manche E-Mails versuchen, ihren Empfängern Kreditkarteninformationen oder persönliche Daten für einen Identitätsdiebstahl zu entlocken. Andere enthalten selber wiederum Computerviren, sodass der Kreislauf von vorn beginnt.

So ist es kein Wunder, dass heute kriminelle Banden hinter den meisten Spam-Werbesendungen stecken. Sie haben die Amateure der Frühzeit längst verdrängt. »Wenn Sie ein Spammer oder Programmierer schädlicher Software sind – früher oder später klopft die Mafia an Ihre Tür«, hat Eugene Kaspersky einmal gesagt, der Chef der Antivirus-Firma Kaspersky Lab in Moskau.

Anfang Mai klopfte die Mafia auch an die Türen von Blue Security in Herzliya – virtuell. Ein russischer Spammer namens PharmaMaster, der in Computer-Sicherheitskreisen als Mitglied einer russischen Mafiaorganisation bezeichnet wird, kündigte sich den Angestellten in einer knappen Textmitteilung an. Er werde die Firma lahm legen. »Gott, ich liebe diesen Krieg«, schrieb er. Das war am 2. Mai um 13.42 Uhr Londoner Zeit. Von nun an ging alles Schlag auf Schlag.

Die Blue-Security-Server, die in guten Zeiten elektronische Protestschreiben an Spammer verschickten, standen nun selber unter Beschuss. Tausende oder gar Zehntausende infizierter »Computer-Zombies« in aller Welt, die von den Spammern gewöhnlich für ihren E-Mail-Versand benutzt wurden, waren offenbar für eine tagelange Attacke umgerüstet worden. Auch die Internet-Seite von Blue Security blieb unerreichbar, wobei Firmengründer Reshef vermutete, es handele sich um eine besonders sinistre Art des Angriffs. Der Mafia-Hacker habe offenbar seine Kontakte zu Technikern bei einer großen Internet-Firma genutzt, um die Web-Seite ganz und gar aus dem Netz verschwinden zu lassen.

So oder so: Als Blue Security schließlich etwas ungeschickt die Besucher ihrer blockierten Web-Seite auf das schwarze Brett einer anderen Firma umlenkte und dort eine »Mitteilung an unsere Kunden« veröffentlichte, ließ PharmaMaster auch deren Web-Seiten untergehen. Die Blue-Security-Kundschaft erhielt derweil eindeutige Drohbriefe aus Russland. Sie würden »20- bis 40-mal so viel Spams bekommen« wie normal. Der Spammer hatte einen Weg gefunden, die Hunderttausende von E-Mail-Adressen zu ermitteln, die angeblich »bombensicher« verschlüsselt bei Blue Security lagen. »Diese Leute waren auf Rache aus«, sagt Bruce Schneier, ein prominenter amerikanischer Sicherheitsberater.

Am Ende wurde der Angriff so massiv, dass der Chef des großen Server-Betreibers Tucows mitten in der Nacht in Israel anrief und berichtete, dass »dieser russische Spammer« inzwischen »das halbe Netz in Kanada außer Betrieb gesetzt« habe. Tucows setzte seinen Kunden Blue Security auf die Straße. Einige der größten Internet-Firmen der Welt winkten ebenfalls dankend ab. Zwei Wochen lang ging das Katz-und-Maus-Spiel zwischen PharmaMaster und Blue Security weiter. Mal war die Web-Seite erreichbar, mal nicht, und die Funktionen zum Abwehren von Spam schaltete die Firma nie wieder ein. »Tut mir leid, dass 9000 Computer-Server wegen Ihrer Firma außer Betrieb sind«, kam eine neue Textnachricht aus Russland. »Und weiter viel Glück.«

»Die Situation drohte einen Bürgerkrieg im Cyberspace auszulösen«, sagt Peter Swire, ein Jurist an der Ohio State University, der zahlreiche Fachaufsätze über Sicherheit im Internet veröffentlicht hat und auch als Berater von Blue Security fungierte. Aber wirklich ein Bürgerkrieg? Und nicht nur ein Scharmützel zwischen einer kriminellen Organisation in Russland und einer kleinen Sicherheitsfirma in Israel? »Das Modell von Blue Security erwies sich offenbar als wirksam in der Bekämpfung von Spam«, sagt Swire. »Und die Antwort der Spammer zeigt, dass wir über Computersicherheit und Cyberterrorismus von Grund auf neu nachdenken sollten.«

Schon nach zehn Minuten im Internet kann ein Windows-PC infiziert sein

Tatsächlich gilt die Flut unerwünschter Werbesendungen heute unter Internet-Strategen als eine der wesentlichen Bedrohungen für eine »Next Economy«, den erneuten Aufstieg der Internet-Wirtschaft. »Spam ist die Geißel der E-Mail«, hatte schon Vint Cerf bemerkt, einer der Urväter des Internet. Manche Sicherheitsfirmen haben Berechnungen veröffentlicht, nach denen Spam-E-Mails in aller Welt zehn Milliarden Dollar monatlich kosten – in Form von Zeitverschwendung in Büros, Mehrkosten für die EDV-Abteilung, Ausfälle durch infizierte Computer. Doch seriös lassen sich solche Zahlen kaum ermitteln. Auch Microsoft-Chef Bill Gates, der sich selber die »am häufigsten gespammte Person der Welt« nennt, geißelte vor zwei Jahren beim Weltwirtschaftsforum in Davos die Spammer, weil sie Produktivitätsgewinne bei der Arbeit mit E-Mail zunichte machten und mit ihren Betrügereien das Vertrauen der Verbraucher unterwanderten. »Binnen zweier Jahre«, sagte er damals, wolle er Spam »zu einem Ding der Vergangenheit machen.«

Das hat nicht geklappt. Stattdessen wächst die Zahl der Werbesendungen, und neuerdings stehen sogar Mobiltelefone unter Attacke. Antiviren-Hersteller machen heute ein lukratives Zusatzgeschäft mit Filtern gegen Spam, die mal besser, mal schlechter funktionieren. Manche schlagen einen grundsätzlichen Umbau des Internet und der E-Mail vor: eine neue Welt, in der sich jeder Absender einwandfrei ausweisen muss oder in der jeder Versand einer E-Mail Geld kostet. Dann würde sich das Spam-Geschäft auch für die Mafia nicht mehr rechnen.

Eine Fülle versprengter Initiativen ist entstanden. Besonders originell geht die nichtkommerzielle Londoner Organisation Spamhaus gegen die Werbesender vor: Sie sammelt Internet-Adressen, persönliche Daten und gar die Fotos bekannter Massen-E-Mail-Versender (www.spamhaus.org). Der exzentrische Gründer der Gruppe, Steve Linford, lebt auf einem Hausboot auf der Themse und erhält nach eigenem Bekunden regelmäßig Todesdrohungen von organisierten Spammer-Banden. Was mit einem pikanten Aspekt seiner Arbeit zu tun haben mag: »Wir machen einen Teil unserer Informationen Gesetzeshütern in aller Welt zugänglich«, sagt der Spamhaus-Sprecher John Reid.

Doch obwohl immer wieder einzelne Spammer gefasst und verurteilt werden, hat auch dieser Weg bislang kaum Erfolge gebracht. In Spam-Problemländern wie Russland und China kümmern sich Gesetzeshüter kaum um das Problem. Nicht mal in den USA ist der Spam-Versand wesentlich zurückgegangen, obwohl Präsident George W. Bush im Jahr 2003 ein Anti-Spam-Gesetz unterschrieb. Beweise lösen sich im Internet schnell in Datenstaub auf, die Fahnder tun sich schwer, professionelle Geldwäscherbanden verwischen die Spuren der Zahlungsströme. Die New Yorker Sicherheitsfirma MessageLabs berichtet, dass sie jeden Tag zehn neue Computerprogramme entdecke, die darauf abgerichtet seien, in Rechner einzudringen und sie zu Computer-Zombies im Dienste der Spammer-Banden zu machen.

Im Durchschnitt betrage die Lebensdauer eines ungeschützten Windows-Computers im freien Internet weniger als zehn Minuten, berichtete im vergangenen Jahr die deutsche Forschungsgruppe Honeynet Project & Research Alliance: »In dieser kurzen Zeit ist er erfolgreich von einem schädlichen Programm infiziert.« – »Es bleibt ein Hase-und-Igel-Rennen«, sagt Christoph Hardy, Sicherheitsexperte bei der IT-Sicherheitsfirma Sophos.

Blue Security jedenfalls hat den Kampf aufgegeben. Das Unternehmen teilte am Dienstag mit, dass es seinen Krieg gegen Spams einstellen werde. »Es ist das einzig Verantwortliche, das wir tun können«, sagte der zerknirschte Firmengründer Eran Reshef. »Dieser Gegner hatte zu viel Geld im Rücken und keine moralischen oder rechtlichen Grenzen. Hätten wir weitergekämpft, hätte er womöglich jeden einzelnen unserer Kunden attackiert und das Internet zum Zusammenbruch gebracht.«

So hat der Computer-Krimi um Blue Security, ganz anders als ein John-le-Carré-Roman, vorerst ein stilles Ende gefunden. Für Eric Benhamou bleibt bei der Sache eine bittere Ironie. Der Chairman der Informationstechnik-Riesen 3com und Palm, der einen Großteil des Startgeldes für Blue Security organisiert hatte, war schließlich »überzeugt, dass Blue Security einen erfolgversprechenden Weg gefunden hatte, der Spam-Flut im Internet etwas entgegenzusetzen«. Doch die Kräfteverhältnisse hatte die Firma kräftig unterschätzt. »Diese Techniken müssten im Rahmen einer Regierung oder eines großen multinationalen Konzerns zum Einsatz kommen«, sagt Benhamou. »Darauf sollten wir jetzt hoffen.«

Diskutieren Sie mit: Was tun gegen Spam?
„Das war ein Warnschuss für das ganze Internet“ - Rechtsexperte Peter Swire über den Fall Blue Security und die Cyber-Kriege der Zukunft