Im gewerblichen Umfeld sind mehr infizierte Systeme als den Administratoren bewusst ist. Das Risiko dieser real existierenden Gefahr wird sehr häufig als zu gering eingeschätzt. Es wird zu sorglos mit den Datenströmen der Clients am Perimeter umgegangen, obwohl es geeignete Systeme zur Identifikation unerwünschter Kommunikation gibt.
In jedem noch so gut geschützten Netzwerk kann es einen oder mehr infizierte Systeme geben und die Wahrscheinlichkeit steigt mit der Größe des Netzwerks. Daher muss man davon ausgehen, dass es jederzeit ein System gibt, was von Schadcode befallen ist. Es ist nicht die Frage ob es ein infiziertes System gibt, sondern nur wann und wann dann dieses Auffällig wird.
Ist in diesem Fall keine weitere Kontrollinstanz vorhanden und darf das System zudem mehr oder weniger uneingeschränkt auf das Internet zugreifen, ist der Schadensfall für das Unternehmen schon eingetreten. Im günstigsten Fall wird dann die Infrastruktur zum Versand von Spam-Mails benutzt. Deutlich schlimmer ist dann schon der Verlust sensibler Daten und Passwörter. Der Super-GAU ist, wenn es einen Einbruch in die Infrastruktur durch diesen Verlust gibt.
Aber warum werden die Gefahren von solchen Bots so häufig unterschätzt? Eine mögliche Ursache könnte sein, dass gemeinhin angenommen wird, dass die vorhandene Firewall ja das Netzwerk schützt. Natürlich schützt eine Firewall auch das Netzwerk, die Antwort ist: Ja, aber! Aber auch nur bei ganz bestimmten Rahmenbedingungen. Die traditionelle Aufgabe einer Firewall ist der Schutz des Netzwerks vor dem unerwünschten Eindringen aus dem Internet. Und genau hier liegt auch das Problem.
Daher werden nur selten direkte Angriffe auf die Firewall-Systeme selbst durchgeführt. Wer versucht schon mit Gewalt durch eine Mauer hindurch zu kommen, wenn jemand von innen die Tür öffnen könnte? Genau das macht ein Bot, er öffnet dem Angreifer die Tür indem er einfach die Kommunikation von innen initiiert. Danach ist er dann bereit Befehle von außen entgegen zunehmen und entsprechend auszuführen.
Wird die Kommunikation nicht mit geeigneten Systemen überwacht, hat ein Bot bzw. derjenige der ihn kontrolliert leichtes Spiel. Auch hier gilt, nur mit auf einander abgestimmten Maßnahmen sind die Systeme zu schützen und die Kommunikation von unerwünschten Applikationen zu erkennen und zu verhindern. Dazu kommen formelle Aufgaben wie die Kontrolle der Audits und Log-Files zum Aufspüren von Anomalien in der Kommunikation. Selbst so triviale Auswertungen des Traffics in Form von Diagrammen sind sehr hilfreich um Abweichungen im Kommunikationsverhalten zu erkennen.
Erst wenn alle Schutzmechanismen ideal und auf die jeweilige Kommunikation abgestimmt zusammenarbeiten und die formalen Aufgaben auch ernst genommen werden, ist eine frühzeitige Entdeckung infizierter Systeme möglich. Nur so bleibt man handlungsfähig und kann noch reagieren. Wird dies vernachlässigt, führt dies nicht nur zu einem deutlich höheren Risiko, sondern zwangsläufig zu einem Ausbruch von Schadcode im eigenen Netz.
Daher ist es sehr wichtig, das Risiko für die eigene Infrastruktur zu analysieren und vor allem auch richtig einzuschätzen. Auf dieser Basis lassen sich dann die richtigen Entscheidungen zum Schutz treffen.