Das Botnetz „Zeus“ ist eines der größten Botnetze die es zurzeit gibt. Die Security-Unternehmen RSA und NetWitness haben zum Zeus-Trojaner vor einiger Zeit ihre Analysen und Erkenntnisse bekannt gegeben. Da dieser Trojaner vertrauliche Daten sammelt ist er umso bedenklicher, wenn Netzwerke von Unternehmen von ihm befallen sind.
Nach den Informationen von RSA sind 88 Prozent der Fortune 500 Unternehmen von diesem Trojaner befallen. Besonders häufig ist er bei Unternehmen mit weniger als 75.000 Mitarbeitern anzutreffen. NetWitness zufolge sind 74.000 Systeme bei 2.500 Unternehmen in 200 Ländern betroffen. Da diese Zahlen aus den Analysen aber schon gut drei Monate alt sind, dürfte sich die Anzahl der infizierten Systeme noch erhöht haben.
Der Trojaner Zeus sammelt nicht nur vertrauliche Daten, wie Zugangsdaten zu Unternehmensnetzwerken, Online-Banking oder eMail-Accounts, sondern kann auch noch ferngesteuert werden. So kann der Trojaner dazu benutzt werden nach bestimmten Dateien auf dem infizierten Host zu suchen oder andere Programme zu installieren. Bei gut der Hälfte bei den mit dem Trojaner Zeus befallenen Systeme findet sich auch der Peer-to-Peer Bot Waldec wieder. Dieser ist offenbar über den Trojaner Zeus nachinstalliert werden.
Die Menge an infizierten Systemen und die hohe Anzahl an betroffenen Unternehmen macht die Gefahren solcher Botnetze nur zu deutlich. Es zeigt aber auch, dass eine Infektion eines Hosts nicht immer zu verhindern ist. Daher sind nicht nur präventive Maßnahmen erforderlich, sondern auch Mechanismen die die Kommunikation von infizierten Hosts erkennen und Gegenmaßnahmen einleiten können.
Der Einsatz von IDP-Systemen und Application Control am Perimeter sind auf der technischen Seite zwingend erforderlich. Bei großen Netzwerken ist dies zusätzlich noch zwischen den einzelnen Segmenten nötig, um den Schadcode zu hindern sich auf das ganze Netzwerk auszubreiten. Auf der formalen Seite muss eine Auswertung der Audit und Log-Daten am Perimeter und der anderen Sensoren stattfinden, damit signifikante Abweichungen in der Kommunikation auch auffallen.
Sicherheitssysteme ohne Kontrolle der Audits und Protokolle sind de facto keine, da Anomalien nicht auffallen. Kontrolle und das Monitoring von Sicherheitssystemen ist ebenso wichtig, wie die Systeme selbst. Dazu kommen die Auswertung und Analysen über die Nutzung der Ressourcen. Nur so fallen Änderungen um Nutzungsverhalten auf und lassen Rückschlüsse auf eventuell kompromittierte Systeme zu.