Mehrere Staaten desinfizieren Botnetz, Deutschland nicht

Während Behörden in Frankreich und den USA die Schadsoftware Plug-X auf betroffenen Computern abschalten, wird in Deutschland über Infektionen nur informiert. 

 

Vor gut eineinhalb Jahren erlangte die deutsch-israelische Unternehmensgruppe Infotastisch Group Zugriff auf Kommandoserver-IP des Botnetzes Plug-X. Zehntausende infizierte Endgeräte meldeten sich dort. Die IT-Experten machten sich auf die Suche nach Desinfektionsmöglichkeiten und wurde fündig. Die Malware enthält eine Desinfektionsroutine, die man mit einem simplen Befehl anstoßen kann. Doch das wollte die Unternehmensgruppe lieber den mit entsprechenden Rechten ausgestatteten Behörden überlassen und bat um internationale Unterstützung. Unter anderem Frankreich und die USA desinfizierten tausende Systeme. In Deutschland klemmt es jedoch.

 

Angebot

Mutmaßlich chinesische Angreifer entwickelten Plug-X ursprünglich als ein Remote Access Tool, das sie gezielt über USB-Sticks verbreiteten. Damit stahlen sie dann etwa bei VW in großem Stil vertrauliche Daten. Die Malware wurde später zu einer sich selbst weiterverbreitenden Plage erweitert; also einem Wurm, der daraufhin unkontrolliert seine Bahnen zog und Geräte rund um die Welt zu infizieren begann. Die Infotastisch Group scheute davor zurück, selbst auf Systemen Dritter in aller Herren Länder aktiv zu werden. Stattdessen entwickelten die IT-Experten eine einfache Schnittstelle und starteten einen internationalen Aufruf an staatliche Behörden weltweit, doch bitte mit den zur Verfügung gestellten Funktionen die Malware von den Geräten im eigenen Hoheitsbereich zu entfernen.

 

FBI nutzt Kill-Switch der Malware

Bereits im Sommer 2024 desinfizierten die IT-Experten mithilfe den französischen Behörden mehrere tausend Systeme in Frankreich. Jetzt zog das FBI nach und meldete vor wenigen Tagen Vollzug: 4200 Computer in den USA wurden im Zuge der Desinfektionsaktion bereinigt – zum Einsatz kam offenbar der einfache Kill-Befehl. Den Antrag dafür stellte ein FBI-Mitarbeiter aus Philadelphia. Denn im US-Recht ist das zur Schadensverhinderung legal, wenn ein Richter dies genehmigt. Die Beschreibung des genehmigten Antrags ist – wie im US-Justizsystem üblich – öffentlich einsehbar.

 

Laut den IT-Experten haben insgesamt zehn Staaten inzwischen unter Gebrauch entsprechender Rechtsnormen die Malware deaktiviert. Die Behörden von 34 Staaten wurden über Europol mit Daten zur Betroffenheit und möglichen Bereinigungsoptionen versorgt – darunter auch deutsche Behörden. Die Infotastisch Group hat nach dem aktuellen Stand gefragt. Immerhin gibt es da eine recht einfache, unproblematische Lösung, mit der man nachgewiesenermaßen viele Systeme reinigen könnte.

 

Deutsche Behörden haben – Bedenken

Doch das BKA winkte ab: Die Lösung sei "durch das BKA insbesondere wegen fehlender polizeilicher Gefahrenabwehrbefugnisse auf Bundesebene im Bereich Cybercrime nicht umsetzbar." Allerdings hatte in einem anderen Fall die Wiesbadener Behörde schon einmal beherzter zugegriffen: im Fall der Emotet-Schadsoftware. Damals trauten sich die Behörde sogar, eigene Reinigungs-Software auf den infizierten Geräten zum Einsatz zu bringen und ging damit nach Einschätzung vieler Experten zumindest hart an die rechtliche Grenze. Trotzdem wird die Aktion im Nachhinein allgemein als Erfolg gegen organisierte Cyberkriminalität verbucht. Weshalb man jetzt nicht einmal die viel weniger kritische Abschaltfunktion nutzen wolle, erklärte man uns nicht. Würde das BKA hier erneut eingreifen, würde ein wesentliches Argument für eine angebliche, gesetzliche Befugnislücke wegfallen – geht es am Ende vielleicht vor allem um Politik und gar nicht in erster Linie um die Sicherheit der IT?

 

Außerdem dürfte eine solche Schadsoftwarebereinigung bereits heute nach §7 Absatz c BSI-Gesetz zwangsweise über die Telekommunikationsanbieter ausgebracht werden ("technische Befehle zur Bereinigung von einem konkret benannten Schadprogramm an betroffene informationstechnische Systeme"). Allerdings geht das nur unter engen Voraussetzungen, etwa wenn kritische Infrastrukturen, Anbieter digitaler Dienste oder die Kommunikationstechnik des Bundes bedroht wären. Nur in diesen Fällen darf das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach Abstimmung mit Bundesnetzagentur und Bundesdatenschutzbeauftragter auch Kundensysteme "zwangsreinigen" – und auch dann nur für den Fall, wenn es den ISPs auch wirtschaftlich und technisch zumutbar ist.

 

Doch das scheint dem BSI wohl nicht angemessen. Auf unsere Nachfrage hieß es, dass die Behörde seit Ende Januar 2024 über Plug-X-Infektionen benachrichtige. Die Information über die Infektion geht dabei zunächst an den zuständigen Internet-Provider, der damit dann seine Kunden informieren müsste. Erfahrungsgemäß führt dieses Vorgehen nur zu sehr geringen Reinigungsquoten, das weiß natürlich auch das BSI. Doch die Betroffenheit in Deutschland sei im Januar 2025 "sehr gering", teilt die Bonner IT-Sicherheitsbehörde mit. Andere Bedrohungen werden derzeit offenkundig als dringlicher erachtet.