Droht am Montag Tausenden die Netzblockade?

Am Montag könnten viele Deutsche nicht mehr ins Internet kommen. Der Grund: Tausende von DNS-Changer-Viren befallene PCs werden derzeit automatisch über gesicherte Server des FBI umgeleitet. Diese werden am Montag abgeschaltet.

Seit November 2011 betreibt das FBI DNS-Server, die den Netzverkehr der Opfer von DNS-Changer-Viren in korrekte Bahnen leiten. Heißt: Diese Rechner ersetzen die Web-Server, welche Kriminelle dazu benutzt haben, Internetsurfer auf gefälschte oder bösartige Webseiten umzuleiten. Am Montag (9. Juli) schaltet der US-Geheimdienst diese Server ab - wessen Computer dann noch infiziert ist, der kann Surfen erst einmal vergessen.
Umleitung auf Phishing- und Malware-Seiten
DNS-Server

Jeder mit dem Internet verbundene Computer hat eine Adress-Nummer, die sogenannte IP-Adresse (zum Beispiel 194.187.162.131). DNS-Server (DNS = Domain Name System) sind Computer, welche den vom Internetnutzer in den Browser eingegebenen Namen der Internetseite (zum Beispiel www.br.de) in die IP-Adresse des Computers (Server) übersetzen, auf dem die angeforderte Internetseite gespeichert ist. So kann diese vom heimischen Computer angezeigt werden.

Viele Dienste im Internet stellen unauffällig sicher, dass alles erwartungsgemäß funktioniert. Zum Beispiel DNS-Server, die über die Adresse, die Sie im Browser eingeben, die maschinenlesbare IP-Adresse des richtigen Website-Servers ermitteln. Diesen Dienst anzugreifen, ist für Cyberkriminelle besonders interessant, weil der normale Internetsurfer in der Regel nichts von der Manipulation mitbekommt, zumindest optisch nicht. Die Folgen können allerdings schwerwiegend sein: Statt auf der gewünschten Seite landen Surfer auf einer manipulierten Seite, mittels derer etwa sensible Daten wie Kreditkartennummern abgefragt werden oder Schadsoftware verteilt wird.

Diesen Trick haben zwischen 2007 und 2011 einige Hacker angewendet, indem sie mit Hilfe einer Schadsoftware die DNS-Einträge in PCs oder Routern verändert und so auf ihre eigenen Server umgeleitet haben. Für den Nutzer bedeutet das, dass er zwar die korrekte Adresse eingibt, wenn der PC aber "nachsieht", unter welcher IP-Adresse der gesuchte Server zu finden ist, bekommt er die Adresse eines manipulierten Servers zurückgeliefert. Die Folge: Man landet zum Beispiel auf einer gefälschten Banken-Website, ohne es zu merken.

Kriminelle haben mit dieser Masche noch bis November 2011 richtig Geld verdient. Dann allerdings wurden die Betreiber des Netzes vom FBI hochgenommen und die manipulierten Server weltweit durch korrekt arbeitende ersetzt. Damit können auch Rechner, deren DNS-Einträge so manipuliert sind, dass ihre Web-Anfragen über die kriminellen Server geleitet wurden, weiterhin sicher surfen.

Diese Ersatz-Server des FBI laufen aber nur begrenzte Zeit. Sollte Ihr Rechner von der DNS-Changer-Schadsoftware infiziert sein, sollten Sie die manipulierten DNS-Einstellungen vor Montag, dem 9. Juli 2012, ändern, sonst lassen sich Webseiten nach dem Abschalten der FBI-Server nur noch über die direkte Eingabe der IP-Adresse öffnen - zum Beispiel http://194.187.162.131 für www.br.de - doch wer kennt schon die IP-Adressen aller Websites, die er gerne besucht? In Deutschland sind mutmaßlich Tausende Rechner von dem Problem betroffen: Laut FBI wurden die Ersatz-Server noch im Februar am Tag bis zu 33.000 Mal von deutschen Rechnern aufgerufen.
Checken und reparieren Sie Ihre PCs

Sie können Ihren PC auf manipulierte DNS-Einträge testen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Telekom bieten dazu einen einfachen Test an. Unter der Webadresse www.dns-ok.de können Sie feststellen, ob Ihr System manipuliert ist oder nicht. Wenn die DNS-Einstellungen Ihres Rechners korrekt sind, bekommen Sie einen entsprechenden Hinweis auf einem grünen Balken.

Sollte die Schadsoftware bei Ihnen zugeschlagen haben, werden Sie auf eine Seite geleitet, die neben einem Warnhinweis auf einem roten Balken Tipps enthält, wie Sie das Problem lösen können. Dazu gehört neben der Möglichkeit, diese Korrekturen für Ihr Betriebssystem manuell vorzunehmen, seit 20. Januar auch eine kostenlose Software, die das für Windows-Systeme automatisch erledigt. Danach sollten Sie den Erfolg Ihrer Korrekturen aber in jedem Fall durch einen erneuten Aufruf von www.dns-ok.de überprüfen. Wenn die Seite dann mit einem grünen Balken am Kopf dargestellt wird, war die Reparatur erfolgreich.

Sollten in Ihrem Bekanntenkreis ab Montag tatsächlich Probleme auftreten, können Sie helfen, indem Sie diese Adresse weitergeben: http://85.214.11.194/ Damit können Betroffene auch mit infiziertem Rechner auf www.dns-ok.de surfen und ihr System reparieren.
Quelle: BR