DNS-OK! Weltbild auch?

Es geht durch alle Medien: Eine Hackergruppe, die mindestens 33000 deutsche PCs mit einem Trojaner infiziert hat, wurde festgenommen. Der Trojaner hat die DNS-Anfragen auf einen eigenen DNS-Server umgeleitete, so dass manipuliert werden konnte, welche Seiten aufgerufen werden und dies wiederum möglichst gewinnbringend genutzt. Jetzt wird dazu aufgerufen die Webseite dns-ok.de zu besuchen, um zu überprüfen, ob der eigene Rechner infiziert ist. Die ganze Aktion geht von BSI, BKA und Telekom aus.

Wie funktioniert der Test? Für die Webseite liefert der fragliche DNS-Server eine manipulierte IP-Adresse zurück. Während nicht betroffene Nutzer auf die IP-Adresse 85.214.11.195 weitergeleitet werden und dort eine Entwarnung erhalten, bekommen Nutzer die von dem Virus betroffen sind (oder sich 85.255.113.90 als DNS-Server eingetragen haben) die IP-Adresse 85.214.11.194. Dort gibt es dann die Warnmeldung. Auch wenn viele Spekulationen dieser Art kursieren, so wird doch kein Testscript ausgeführt oder sonst irgendwie auf den Rechner zugegriffen.

Vermutlich ist für die Webseite einfach ein manipuliertet Eintrag in dem fraglichen DNS-Server platziert worden, so dass Betroffene auf eine Seite mit Warnung geleitet werden, alle anderen auf eine Seite mit Entwarnung gelangen. Es wird zumindest nicht irgendwie auf den Rechner zugegriffen.

Warum erzähle ich das alles? Wenn ich die Kommentare zu der diesbezüglichen Meldung der Piratenpartei auf Facebook oder an vielen anderen Orten (einfach mal nach “dns ok” suchen) lese drängt sich mir die Frage auf, ob ich zu naiv oder einige der Kommentatoren (in welchem Verhältnis diese zur Piratenpartei stehen kann ich nicht sagen) ein wenig paranoid sind? So wird unterstellt, dass dadurch womöglich neue Geheimdiensttrojaner installiert werden, eine Datenbank mit Browserkennungen angelegt werden soll oder das ganze ein billiger Werbegag von BSI, BKA und Telekom ist. Außerdem wird den besagten auf vielfältigste weise Inkompetenz in diesem konkreten Fall vorgeworfen: Man hätte erstens viel früher was machen sollen, zweitens wäre die Methode des Tests bei dieser Angriffsart Schwachsinn und solle drittens nicht mit einem Aktivwerden der Nutzer rechnen.

Ich mit meinem möglicherweise äußerst naiven Weltbild denke es geht bei der Aktion lediglich darum 33000 Nutzer davor zu bewahren plötzlich nichts mehr im Browser angezeigt zu bekommen. Die ganze Aktion mutet etwas dramatisch an, da die Mithilfe der Medien benötigt wird und diese sich natürlich gerne auf so eine Geschichte stürzen um damit ein bisschen Angst vor bösen Hackern zu schüren, so dass die Sache dramatischer klingt als sie ist. Aber wie sonst sollte der Durchschnittsverbraucher von der Testseite erfahren? Man hätte natürlich die Nutzer auf eine Informationsseite zwingen können, die technischen Voraussetzungen dafür hat die Hackergruppe ja freundlicherweise zur Verfügung gestellt. Oder den Server abschalten und viele Nutzer kurzzeitig vom Internet abtrenne. Doch den Aufschrei nach so einer Aktion hätte ich hören wollen: “BKA manipuliert Seitenzugriffe” bzw. “BKA kappt Internetverbindung von 33000 Nutzern” oder so ähnlich. Insofern ist diese Methode, unter gesellschaftlichen Aspekten betrachtet, gut gewählt. Aber auch technisch gibt es nichts auszusetzen. Spontan dachte ich ebenfalls, dass es keinen Sinn macht eine Testseite gegen einen Trojaner mit DNS-Umleitung zu schalten, da einfach auf eine gefälschte Testseite umgelenkt werden kann. Allerdings ist der DNS-Server inzwischen unter behördliche Kontrolle, so dass diese Gefahr nicht mehr besteht. Andererseits liegt darin auch der Grund, weshalb erst jetzt -nach der Festnahme der Hackergruppe- diese Aktion gestartet wird. Und mal ganz ehrlich: Für die Virenfreiheit des eigenen Rechners ist man selber verantwortlich. Es wäre lächerlich, wenn wegen jedem zweiten Trojaner, der gerade im Umlauf ist, solch ein riesiger Aufstand gemacht werden würde.

Also: Immer mit der Ruhe. Weder durch diesen Trojaner noch durch die Gegenmaßnahmen wird die Welt untergehen.