Heute bekam ich eine Mail meines Providers. Da es aufgrund des Datums nicht die Rechnung sein konnte wollte ich sie eigentlich direkt löschen, da ich dachte es sei Werbung oder eine gefälschte Virenmail. Allerdings machte mich Absender-Adresse und Betreff dann doch neugierig und ich schaute sie mir genauer an, um fest zu stellen, dass sie wirklich von meinem Provider kam: Dwer Absender war abuse@1und1.de und der Betreff "1&1 warnt: Auf Ihrem PC befindet sich ein Virus [Ticket ABXXXXXXXX]".
In meinem Netzwerk gibt es nun einige Systeme, PCs, ein Server, MediaCenter, Notebooks, Tablet, Smartphones, Virtuelle Maschinen, wirklich infrage kamen aber nur der PC meiner Frau und meine Workstation, da die anderen Systeme (Linux, MacOS, Windows Phone, Android,...) eher von vornherein ausschieden. Da eine kurze Suche anhand des Namens des Virus zuerst nicht wirklich viel zutage förderte machte ich mich erst mal an den heißesten Kandidaten - den PC meiner Frau (jaja, sehr chauvinistisch), aber laut Eventlog war dieser am fraglichen Tag überhaupt nicht eingeschaltet gewesen, trotzdem unterzog ich ihn einer genaueren manuellen Untersuchung und einem Offline-Scan und das System ist mit ziemlicher Sicherheit absolut sauber (zumindest so sauber wie ein System in Zeiten von PRISM und Co. sein kann).
Also untersuchte ich meine Workstation, die neben dem Server das einzige System ist, welches zur fraglichen Zeit online war und auch das System war sauber - ich hatte eigentlich auch nichts anderes erwartet, denn aufgrund meiner Arbeit habe ich mit Computer-Sicherheit häufig zu tun und auch wenn ich aus diesem Grund auch "böse" Seiten aufrufen muss, so habe ich doch entsprechende Sicherheitsvorkehrungen getroffen.
Nachdem ich also eine wirkliche Infektion mit ziemlicher Sicherheit ausschließen konnte bemühte ich noch einmal die Suchmaschinen um mehr über den Virus heraus zu finden und ich fand eine Hand voll Postings von Leuten, die ähnliche Mails von ihrem Provider bekamen und darüber fand ich auch eine Information eines Providers, der dem Kunden erklärt hatte, wie diese "Entdeckung" zustande kam: Über den Aufruf einer URL, hinter der sich ein Downloads dieses Virus versteckte, bevor dieser Server vom Netz genommen wurde.
Da fing ich dann mit dem Grübeln an. Zuerst war ich davon ausgegangen, dass diese Warnung meines Providers aufgrund einer Beschwerde von Extern zustande kam, indem sein(e) System(e) von einer mir zugeordneten IP angegriffen wurde(n). Aber nun stellte sich das Ganze in einem anderen Licht dar, denn wie konnte 1&1 wissen, dass diese URL aufgerufen wurde? Dies lässt eigentlich nur zwei Vermutungen zu:
- Der Server hinter dem sich der Viren-Download befand wurde vom Netz genommen und eine zentrale Stelle hat die Domain übernommen und übermittelt den zuständigen Providern, wer darauf zugreift und dementsprechend möglicherweise infiziert ist.
- 1&1 loggt und scannt den Traffic seiner Kunden - also welche Domains und URLs sie aufrufen.
Option 1 wäre okay, aber in diesem Fall sollte 1&1 eigentlich wissen, dass diese URL das erste Mal von diesem Kunden aufgerufen wurde und da bereits kein Virendownload mehr dahinter zu finden sein und dies dann wahrscheinlich ein Fehlalarm wäre - aber da so etwas im Normalfall automatisiert läuft kann das passieren.
Option 2 wäre jedoch ein ziemlich dickes Ding denn dann würde der Provider speichern, wer wann welche Adresse aufgerufen hat und das dürfte dem Datenschutz doch arg entgegen stehen und ich kann mich auch nicht erinnern, dass dies irgendwo in den AGB vereinbart wäre.
Jedenfalls habe ich nun per Mail genauere Informationen von 1&1 angefordert, was da genau an Hinweisen registriert wurde und wo diese Hinweise her kamen - ich bin mal gespannt und wenn eine Reaktion kommt werde ich dies hier ergänzen.
