"There is this world that exists underneath our noses but we don’t see it."

Wenn der Datenwissenschaftler Jeremy Thorp von einem Botnet spricht, dann klingt das so, als würde er über eine neue Spezies reden. Man könnte sie mit einem Geflecht von Parasiten vergleichen, wie sie auch in der Natur vorkommen. Digital vernetzte Computer sind ihr Wirt, ohne sie kann ein Botnet nicht existieren. Dabei schleicht sich Schadsoftware möglichst unbemerkt in Privat-Rechner, kapert Teile des Systems und zapft die Ressourcen des Computers an. So wächst und gedeiht ein Botnet.
"Viele Ihrer Hörer haben wahrscheinlich einen infizierten Computer zuhause, der genau in diesem Augenblick aktiv ist, während sie Radio hören. Er stiehlt vielleicht ihre Online-Identität oder verschickt Spam-Nachrichten, ohne das Sie etwas davon mitbekommen."

Vor ein paar Tagen erst teilte das Bundeskriminalamt mit, dass wieder einmal ein Botnet erfolgreich deaktiviert wurde. Bis zu 11.000 Computersysteme aus über 90 Staaten seien betroffen gewesen, mehr als die Hälfte der infizierten Systeme befanden sich demnach in Deutschland. Ein eher kleines Netz.

Nach den Betreibern fahnden und die Botnetze abschalten ist die gängigste Lösung für das Problem. Der Erkenntnisgewinn ist jedoch begrenzt. Denn wie so ein digitaler Botnet-Organismus funktioniert kann man nur lernen, wenn man ein lebendiges Exemplar studiert. Genau hier kommt die Arbeit von Jeremy Thorp ins Spiel.
"Wir haben für die Sicherheitsabteilung von Microsoft ein Programm entwickelt, das wir Speciman Box nennen. So eine Art Petrischale für digitale Lebewesen. Die Microsoft-Forscher haben ein bestehendes Botnet nicht abschalten lassen, sondern übernommen. Das Netzwerk glaubt, es würde immer noch Informationen an seine kriminellen Macher schicken, aber die Daten gehen an einen Computer der Digital Crime Unit. Dort wird das Botnetz untersucht."

Bis zu 200.000 Computer könnten sich zeitweise in dem Forschungs-Botnetz befinden, sagt Jeremy Thorp. An manchen Tagen verschicke das Parasitennetz 2000 Datensätze pro Sekunde. Zu viel um den Überblick zu behalten. Eine visuelle Darstellung mit interaktiven Kreis-Diagrammen erleichtert die Arbeit der Sicherheitsforscher. Aber für ein grundlegendes Verständnis müsse eine Sonifikation, also eine Verklanglichung der Daten, her.
"Wir haben uns für eine Sonifikation der Daten entschieden, weil das Gehirn sehr viel besser darin ist große Datenmengen mit dem Gehör zu verarbeiten als mit den Augen. Deshalb haben wir das Konzept des Botnet-Instruments entwickelt. Es gibt seine Datensätze klanglich wieder."
Jeremy Thorps Programm Speciman Box vertont Datenpakete eines unsichtbaren, parasitär befallenen Computer-Netzwerks. In Echtzeit, also live. Die generierten Töne klingen je nach Datentyp, Datenfrequenz und Herkunft der Daten anders. Bruchstücke verschlüsselter Textnachrichten klingen anders als anonymisierte Zahlenketten.
"Manchmal klingt es wie das Rauschen im Radio, hin und wieder ähnelt der Klang sogar einer menschlichen Stimme. Oder man hört einfach nur ein wiederkehrendes Ticken. Sobald ein Muster ertönt, kann der Sicherheitsforscher dem nachgehen und untersuchen, wo es herkommt."

Die Speciman Box liefert den Sicherheitsforschern neue Fragestellungen und Perspektiven und auf die abstrakten Daten. So lässt sich die Aktivität des Botnetzes besser überwachen, infizierte Rechner können schneller lokalisiert und ihre Besitzer gewarnt werden, sagt Jeremy Thorp. Für ihn sind die infizierten Rechnernetze mittlerweile mehr als nur Schad-Code auf dem Computer. Für ihn sind die Botnetze zu digitalen Lebewesen geworden, die zusammen ein riesiges, lebendiges Orchester bilden.