Googles Kampf gegen Cyberkriminelle - Googliath gegen viele Davids?
Google warnt seit neuesten die Benutzer von mit bestimmter Schadsoftware infizierten Rechnern. Das ist nicht Googles erste Aktion gegen Cyberkriminelle, und es wird sehr wahrscheinlich auch nicht die letzte sein. Aber hat der Goliath Google gegen die vielen cyberkriminellen Davids überhaupt eine Chance? Oder hat Google sich da eine Sisyphusarbeit aufgehalst? Oder ähnelt das Ganze dem Wettlauf zwischen Hase und Igel? Kann Google gewinnen? Will oder muss Google überhaupt gewinnen?
"Ihr Computer wurde anscheinend infiziert!"
Laut Knigge ignoriert man es, wenn jemand hustet oder niest. Googles Suchmaschine hält sich nicht an diese Regel und weist die Benutzer seit kurzem darauf hin, wenn deren Rechner wahrscheinlich mit bestimmter Schadsoftware infiziert ist. Erkannt wird die mögliche Infektion am Verhalten der Schadsoftware: Suchanfragen werden über einige wenige Proxies geleitet. Die manipulieren dann die Suchergebnisse. Google blendet einen Hinweise ein, wenn die Anfrage über einen dieser Proxies kommt, und verweist auf einen Help Center Artikel. Der rät u.A. zu einer Google-Suche nach einem Virenscanner, was aber u.U. ein Bärendienst sein kann. Es werden aber auch einige wenige echte Virenscanner aufgelistet.
Diese Aktion ist nur ein Tropfen auf einen heißen Stein, der auf einem ebenso heißen Berg liegt. Die Cyberkriminellen können die Warnung z.B. umgehen, indem sie sie durch den Proxie entfernen lassen (der die Suchergebnisse ja sowieso manipuliert) oder die Anfragen (ggf. zusätzlich) über andere, bisher nicht negativ aufgefallene Proxies leiten. Wahrscheinlicher ist es meines Erachtens, dass die Cyberkriminellen die Gelegenheit nutzen und bei Bedarf gefälschte Warnmeldungen einblenden, um die Benutzer auf Seiten mit schädlichen Inhalten zu locken. Wie wäre es z.B. mit einem Phishing-Angriff auf Google-Nutzer? Würden die misstrauisch und den Phish riechen, wenn "Google" vor einem infizierten Rechner warnt, sie auf eine Hinweisseite verweist und die dann die Google-Zugangsdaten abfragt?
Außerdem sollte man nicht vergessen, dass auch andere Webseiten die Benutzer vor gefundener Schadsoftware warnen - die zum Verbreiten von Scareware. Diese Warnungen sind natürlich ebenso falsch wie der danach zum Download angebotene Virenscanner. Wenn sich die Benutzer an die Google-Warnung gewöhnen, besteht die Gefahr, dass sie leichter das Opfer solcher gefälschter Warnungen werden. Wobei das bei Benutzern, die die Google-Warnung öfter sehen, auch egal wäre, denn deren Rechner ist dann ja schon seit längerem mit mindestens einer Schadsoftware infiziert. Und die kann bereits wer weiß wie viele andere nachgeladen haben.
Im Gegensatz zu üblichen falschen Scareware-Warnungen, die als Alertbox oder eingeblendeter angeblicher Systemdialog daher kommen, fügt Google die echte Warnung am Anfang der Seite mit den Sucherergebnisse ein. Aber würde eine Warnung an anderer Stelle wirklich das Misstrauen der Benutzer erregen? Google experimentiert ja öfter mal rum, wieso also nicht mit der Anzeige der Warnung?
Google verbannt bestimmte Subdomains
Im Juni kündigte Google an, bestimmte Subdomains von Bulk-Anbietern aus den Suchergebnissen zu löschen, wenn die übermäßig viel Schadsoftware verbreiten. Als erstes traf es die über 11 Millionen Subdomains unter .co.cc. Schon in den Kommentaren unter Googles Ankündigung traf die Entscheidung nicht auf allgemeine Zustimmung, und auch anderweitig gab es reichlich Kritik.
Mal abgesehen davon, dass das Bannen dieser Websites auch eine Art Zensur ist, da ja auch alle harmlosen Nutzer der betroffenen Subdomain-Anbieter betroffen sind, ist es nicht nur ein Tropfen auf einen anderen heißen Stein, sondern auch ein Papiertiger, wie Martin Roesler im TrendLabs Malware Blog ausgeführt hat: Die Cyberkriminellen nutzen insbesondere die bösartigen Seiten unter .co.cc erst im zweiten, dritten oder vierten Sprung der Weiterleitung zur eigentlichen bösartigen Seite, so dass sie auf die .co.cc-Seiten problemlos verzichten können. Und je mehr Toplevel-Domains, die jetzt ja leichter zu erhalten sind, es gibt, desto mehr Ausweichmöglichkeiten haben die Cyberkriminellen. Der Versuch, den Cyberkriminellen so Steine in den Weg zu legen, dürfte ausgehen wie das Rennen zwischen Hase und Igel.
Das Bannen dieser Subdomains kann man also mit dem Montieren von Überwachungskameras an Verbrechensschwerpunkten im "Real Life" vergleichen. Das Verbrechen verschwindet (vielleicht) am überwachten Ort - aber nur, um an anderen, nicht überwachten Orten wieder aufzutauchen.
Google gegen Drive-by-Infektionen
Ein weiterer Tropfen auf einen weiteren heißen Stein ist Googles durch die Safe Browsing API implementierte Warnung vor Seiten, die Drive-by-Infektionen verbreiten. Als zusätzlicher Tropfen ist inzwischen in Google Chrome eine Warnung vor schädlichen Downloads hinzu gekommen. Beides schützt nicht vor allen gefährlichen Seiten und Dateien, aber es zwingt die Cyberkriminellen zu ständigen Anpassungen und stört sie zumindest etwas bei ihren Verbrechen.
Google sperrt Würmer aus
Schon seit einigen Jahren hat Google auf den Missbrauch der Google-Suche durch Würmer und andere Schadsoftware reagiert. Sucht Schadsoftware über eine bestimmten Suchanfrage nach neuen potentiellen Opfern, blockierte Google diese Suchanfragen immer recht zügig und konnte dadurch mehrmals die Ausbreitung des entsprechenden Schädlings tatsächlich stoppen oder zumindest einschränken.
Viele Tropfen höhlen den heißen Stein?
Alle diese Aktionen sind, mit Ausnahme der Blockade von Würmern und Co., nur Tropfen auf verschiedenen heißen Steinen. Sie können die Cyberkriminellen nicht stoppen, und die Verbannung ganzer Subdomains aus den Suchergebnissen richtet u.U. sogar mehr Schaden als Nutzen an. Darum klammern wir diesen Punkte jetzt einfach mal aus.
Wie nützlich ist es, die Benutzer infizierter Rechner zu informieren, vor gefährlichen Webseiten und Downloads zu warnen und Schadsoftware an der Nutzung der Suchmaschine zu hindern? Jede dieser Aktionen stört die Cyberkriminellen bei ihren Missetaten, und das ist gut. Google kann den Kampf gegen die Cyberkriminellen nicht gewinnen, und das ist hoffentlich auch gar nicht deren Absicht. Die Bekämpfung der Cyberkriminalität ist nicht Googles Aufgabe sondern die der Strafverfolgungsbehörden. Aber wenn Google den Cyberkriminellen Steine in den Weg legt und den Missbrauch des eigenen Angebots zumindest erschwert, ist das völlig in Ordnung und durchaus zu begrüßen. Jeder Rechner, der nach einer Google-Warnung von Schadsoftware bereinigt oder gar nicht erst damit infiziert wird, ist ein Bot weniger in einem Botnet oder ein Opfer weniger, das für einen Fake-Virenscanner zahlt oder ... - und das ist schon ein Erfolg.
Und wenn Google Würmer und Co. stoppt, indem deren Suchanfragen nicht beantwortet werden, ist das meist sogar ein erfolgreicher Schlag gegen die Cyberkriminellen. Die können dann zwar ihren Wurm mit neuen Verbreitungsroutinen versehen, aber in der Zwischenzeit reduziert sich hoffentlich durch die Installation entsprechender Patches die Anzahl möglicher Opfer. Der angepasste Wurm wird sicher noch Opfer finden, aber meist deutlich weniger als sein Vorgänger es ohne Googles Einschreiten getan hätte. Und zumindest anfangs war Googles Verweigerung einer Antwort oft das Ende für den betroffenen Wurm, der mangels Alternativen keine neuen Opfer mehr fand.
Goliath Google kann die vielen cyberkriminellen Davids nicht besiegen, aber dafür haben die auch keine Chance, Google in die Knie zu zwingen.
Google ist übereifrig
Manchmal ist Google natürlich etwas übereifrig. Aktuell dann, wenn es um das Sperren von angeblich gegen die in den Nutzungsbedingungen vorgeschriebene Klarnamenspflicht verstoßender Profile auf Google+ geht. Das Google inzwischen Klarnamen Pseudonymen vorzieht, ist verständlich, immerhin wurden ja auch private Profile verboten. Man bedenke, dass Google auf Facebooks Spuren wandelt (oder eher hinterher hetzt), und da Facebooks Mark Zuckerberg nichts von Privatsphäre hält, muss man sich natürlich auch in der Hinsicht anpassen. Wenn ich mich auch frage, wie sich das mit § 13 (6) des Telemediengesetz verträgt:
"Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren."
Aber die Diskussion überlasse ich gerne Rechtsanwälten und Verbraucherschützern. Mir geht es hier um etwas anderes: Wenn eine durch Google+ ausgelöste Komplett-Sperre wirklich ernsthafte Konsequenzen für den Nutzer hat, kann ich nur sagen: Selber schuld. Wer die Cloud ohne Backup nutzt, darf sich nicht beschweren, wenn er ohne Cloud ziemlich belämmert dar steht.
Trackbacks