Aufruf zum Computer-Check auf „DNS-Changer“

Solltet Ihr am 9. Juli plötzlich nicht mehr von Eurem PC oder Mac aufs Internet zugreifen können, war das nicht unbedingt der Bagger von der Baustelle nebenan, der das Kabel erwischt hat. Das FBI wird am 9. Juli eine Reihe von Servern abschalten, die sie im Rahmen der Operation „Ghost Click“ sichergestellt hatten und auf die laut Bundesamt für Sicherheit in der Informationstechnik (BSI) pro Tag immer noch rund 20.000 IP-Adressen in Deutschland zugreifen. Vielleicht auch Eure...

Was hat es mit Ghost Click auf sich? Das FBI war im November 2011 Internetkriminellen auf die Schliche gekommen, die sich über eine Schadsoftware, genannt „DNS-Changer“, in fremde Rechner eingeschleust haben. Bei Rechnern, die mit dieser Schadsoftware befallen sind, leitet der Internetbrowser den Nutzer, während er im Internet surft, auf manipulierte Websites um, ohne dass er es merkt. Dadurch können die Anwender dieser Schadsoftware dem ahnungslosen Nutzer gezielt Werbung auf seinen Rechner einblenden, Suchergebnisse verfälschen oder noch mehr Schadsoftware einschleusen. Das kann verheerende Folgen haben und in Unternehmen, aber auch in Privathaushalten, irreparable Schäden anrichten. Das FBI hat also hunderte Server sichergestellt, die im Zusammenhang mit diesem kriminellen Netzwerk standen. Abschalten konnte man diese Server aber nicht so einfach. Das hätte von jetzt auf gleich weltweit Menschen vom Netz getrennt. Also wurden einige dieser Server weiterhin betrieben. Diese werden aber am 9. Juli endgültig abgeschaltet.

Zusammen mit dem BSI wollen wir verhindern, dass am 9. Juli plötzlich unsere Kunden aus diesem Grund ohne Zugang zum Internet dasitzen. Daher haben wir schon mehr als 18.000 unserer Kunden angeschrieben, deren Rechner infiziert sein könnten. Wir machen in unserem Schreiben auf die Sachlage aufmerksam und fordern die Kunden auf, ihre Rechner auf den Virenbefall zu überprüfen. Das geht schnell und einfach auf der Website www.dns-ok.de, die wir schon im Januar zusammen mit dem BSI eingerichtet haben. Mehr als 21 Millionen Nutzer haben seitdem von dieser Seite schon Gebrauch gemacht. Im Fall der Fälle kann man sich auf der Website www.botfrei.de/telekom dann kostenlos eine Antivirensoftware runterladen.

Um die entsprechenden Kunden identifizieren zu können, haben wir übrigens, wie auch andere Telekommunikationsanbieter, vom Verband der deutschen Internetwirtschaft (eco) entsprechende Daten bekommen. Diese stammen aus den Listen des FBI, die die IP-Adressen beinhalten, die auf die betroffenen DNS-Server zugegriffen haben. Da wir aktuell die IP-Adressen für 7 Tage speichern, können wir so über unser Abuse-Team die betroffenen Kunden identifizieren. Durch diese kurzfristige Datenspeicherung können wir also aktiv bei der Bekämpfung von Schadsoftware unterstützen, um mal ein Beispiel zu bringen, wofür das gut sein kann.

Und noch ein wenig Fachwissen: Die Abkürzung DNS steht für Domain Name System. Dieses ist dafür verantwortlich, dass Website-Adressen (URLs) wie www.telekom.com in IP-Adressen umgewandelt werden. Jede Website benötigt solch eine IP-Adresse, das legt das als Netzstandard zugrunde liegende Internet-Protocol (IP) fest. Diese können aus bis zu 12 Zahlen bestehen, die sich im Zweifel keiner merken kann. Daher hat man das DNS-System erfunden, das die Übersetzung in Namen ermöglicht. Diese Schadsoftware „DNS-Changer“ hat nun genau in dieses System eingegriffen. Bei einer DNS-Abfrage, die beim Aufrufen einer normalen Website angestoßen wird, leitet das Ding den Nutzer auf manipulierte DNS-Server um, statt auf die eigentlich gewünschten. Daher auch der Name DNS-Changer (Change = Wechsel).

Das BSI ruft noch mal alle Internetnutzer dazu auf, ihre Rechner rechtzeitig vor dem 9. Juli zu überprüfen. Wir schließen uns an und raten zur Inspektion auf „Wurmbefall“! Sollten Eure Rechner sauber sein – was wir hoffen -, kann eine profilaktische „Wurmkur“ aber auch nie schaden...