Fragen und Antworten zu Hackerangriff Wie die Schadsoftware DNS-Changer arbeitet

Mehr als sechs Millionen Deutsche haben ihre Computer bisher auf die Schadsoftware "DNS-Changer" getestet. Dazu hatte das BKA aufgerufen. Die Software sorgt dafür, dass Computernutzer nur vermeintlich auf der von ihnen angewählten Seite landen. tagesschau.de beantwortet dringende Fragen.

Wie funktioniert der DNS-Changer?

Der DNS-Changer ändert die Netzwerkeinstellungen des Computers und sorgt dafür, dass beim Aufruf bestimmter Internetseiten nicht die gewünschte Seite, sondern eine von den Hackern betriebene Seite angesteuert wird. Der DNS-Changer greift in das Domain Name System DNS ein. Hier werden userfreundliche Internetadressen wie z.B. tagesschau.de, in IP-Adressen umgewandelt. Die Betrüger betrieben eigene DNS-Server über die die betroffenen Rechner umgeleitet wurden. Hinter der aufgerufenen Internetadresse steckt dann also eine andere IP-Adresse. Die Anklage gegen die Täter zwischen 26 und 33 Jahren geht davon aus, dass es unter anderem gelungen ist, die Banner-Werbung beim Aufruf von Webseiten auszutauschen. Insgesamt sollen sie über vier Millionen Computer in 100 Ländern infiziert haben. Dabei soll ein Schaden von 14 Millionen Dollar entstanden sein. Den Tätern drohen hohe Haftstrafen.

Wer hat den Betrug aufgedeckt?

Unter dem Decknamen "Operation Ghost Click" stellte die amerikanische Bundespolizei FBI im November 2011 mehr als 100 Server sicher und nahm sechs Männer und eine Frau fest. Sechs Beschuldigte kommen aus Estland, einer aus Russland. Über die Server hatten die Online-Kriminellen seit 2007 ein Netzwerk von Rechnern manipuliert, die mit dem DNS-Changer infiziert waren. Seitdem betreibt das FBI die beschlagnahmten DNS-Server selber, leitet die Anfragen aber an die korrekten IP-Adressen weiter.

Am 8. März wird der Hilfsserver abgeschaltet. Was sollten Computer-Nutzer bis dahin tun?

Das FBI betreibt die ‚falschen‘ DNS-Server bis zum 8. März weiter, um den Nutzern Zeit für die Reparatur ihres Rechners zu geben. Sollte die nicht bis zum 8. März durchgeführt werden, können Webseiten nicht mehr aufgerufen werden. Der Versuch des Rechners, eine Verbindung zum Internet herzustellen, läuft ins Leere. Wegen der manipulierten Einstellungen ist kein Server mehr zu erreichen.

Auf www.dns-ok.de kann getestet werden, ob der eigene Rechner betroffen ist. Sollte eine Warnung auftauchen, führt das System durch die anschließende Reparatur.

Welche Teile meines Rechners werden beim Klicken auf den Link überprüft?

Das Bundesamt für Sicherheit in der Informationstechnik weist darauf hin, dass beim Selbsttest keine Software gestartet oder geladen wird. Auch handele es sich nicht um einen generellen Schadsoftware-Scan, wie ihn Antivirus-Software bieten. Beim Aufrufen der Testseite wird nur erkannt, ob die Schadsoftware DNS-Changer die Netzeinstellungen des Rechners verändert hat. Auf der Seite des Anti-Botnet-Beratungszentrum kann die Software DE-Cleaner herunter geladen werden. Dort ist auch nachzulesen, wie die Einstellungen zurück gesetzt werden können. Im Zweifel muss das System neu aufgesetzt werden.

Wie ist die Schadsoftware auf die Rechner gekommen?

Über welche Wege die deutschen Rechner infiziert wurden, steht bisher noch nicht fest. Da der Schwerpunkt der Hacker-Angriffe in den USA liegt, ermittelt das FBI. Das Bundeskriminalamt wurde von der amerikanischen Behörde über den DNS-Changer informiert.

Wie viele Menschen sind in die Falle getappt?

Das Bundeskriminalamt geht davon aus, dass in Deutschland bis zu 33.000 Computer betroffen sind. Dabei beruft sich das BKA auf das FBI. Der Telekom liegen Informationen darüber vor, wie viele Überprüfungen von Rechnern über die von der Telekom betriebene Testseite www.dns-ok.de es inzwischen gegeben hat. In den ersten 24 Stunden nach Bekanntwerden konnte bei 6,2 Millionen Tests "grünes Licht" gegeben werden - es lag keine Schadsoftware vor. Bei 38.000 Überprüfungen wurde vor der Schadsoftware gewarnt. Allerdings haben manche Medien zu Demonstrationszwecken den Warnhinweis direkt verlinkt, so dass mehr Fälle von Schadsoftware verzeichnet werden als es tatsächlich sind.

Es wird geraten, für eine Überprüfung des Rechners die Proxy-Server auszuschalten. Warum?

Proxy-Server sind Schnittstellen im Internet. Werden diese verwendet, kann nicht überprüft werden, ob der Rechner selbst befallen ist, weil die sogenannte Namensauflösung durch den Proxy übernommen und nicht durch den Rechner selbst durchgeführt wird. Sie können die Proxy-Server-Konfiguration in den Einstellungen ihres Browsers verändern. Bei den meisten Rechnern sind die Proxy-Server inaktiv.