Wie jüngst beim Grum-Botnets dämmt die Abschaltung eines grossen Zombierechner-Netzes die Spam-Flut meist nicht wirklich ein. Das zeigt die veröffentlichte interaktive Botnet-Timeline des E-Mail-Sicherheitsanbieters Eleven.
Nach einem solchen Schlag gegen die Spammer sinkt die Masse an Müll-Mails demnach oft unmerklich oder nur sehr kurzfristig - längerfristig spürbare Auswirkungen wie nach der Abschaltung des Rustock-Botnets 2011 gibt es selten. Sinn der Botnet-Timeline ist es, die Zusammenhänge zwischen Massnahmen gegen Botnets und der Entwicklung des Spam-Aufkommens insgesamt klarer aufzuzeigen. Dabei wirft sie die Frage auf, wie effektiv diese Form des Kampfes gegen Spam wirklich ist. "Eine Botnet-Abschaltung ist wahnsinnig aufwendig und erfordert oft Monate bis Jahre der Vorbereitung", erklärt etwa Eleven-Sprecher Sascha Krieger.
Schwache Schläge
Wenn ein Botnet für einen nennenswerten Anteil des aktuellen Spamaufkommens verantwortlich ist, sollte seine Abschaltung vermeintlich sichtbare Erleichterung in Sachen Müll-Mails bringen. Doch nach dem Grum-Aus Mitte Juli hat Eleven nach wenigen Tagen sogar eher einen Anstieg im Spam-Aufkommen beobachtet. Die Botnet-Timeline zeigt, dass es ähnliche Effekte schon in der Vergangenheit gab, beispielsweise nach der Abschaltung des Mariposa-Netzes im Dezember 2009. Wenn es doch Einbrüche beim Spamvolumen gab, dann in der Regel nur für wenige Tage.
Die meisten Botnet-Abschaltungen waren zumindest in Sachen sichtbarer Auswirkungen somit eher Fehlschläge im Kampf gegen unerwünschte Müll-Mails. Nach Ansicht des eleven-Research-Teams ist das ein Zeichen dafür, dass die Betreiber der Spam-Netze meist in der Lage sind, ihre Infrastrukturen sehr schnell wiederherzustellen. Zudem gehen die Experten davon aus, dass die aktuelle Botnet-Generation so robust aufgebaut ist, dass Abschaltungen oftmals nicht die gesamte Kontroll-Ebene des betroffenen Netzes zerschlagen.
Volltreffer
Einen seltenen sichtbaren Erfolg im Kampf gegen Spam gab es im März 2011 mit der Zerschlagung des Rustock-Botnets. Damals sank das Aufkommen laut eleven zunächst um etwa 60 Prozent und blieb noch nach einem Monat gering. Sogar noch ein Jahr später waren die Auswirkungen dieser Abschaltung spürbar, heisst es jetzt. Warum genau der von Microsoft und US-Behörden vollzogene Schlag gegen Rustock so erfolgreich war, lässt sich zwar nicht mit Sicherheit sagen. "Es war eine sehr gut koordinierte, zeitlich konzertierte Aktion", betont aber Krieger. In anderen Fällen habe es teils Verzögerungen bei der Abschaltung von Kontrollservern an verschiedenen Standorten gegeben. "Das gibt Botnet-Betreibern Zeit, andere Server zu aktivieren", so der Eleven-Sprecher. Zudem soll Rustock zu seiner Hochzeit für mehr als die Hälfte des globalen Spam-Aufkommens verantwortlich gewesen sein, Grum dagegen nur für etwa ein Sechstel - selbst ein voller Erfolg bei der jüngsten Botnet-Abschaltung hätte also keinesfalls Rustock-Dimensionen erreichen können.
