Dat staat in een onderzoek dat onder leiding van Michel van Eeten, professor Bestuurskunde aan de TU Delft, is gehouden, in opdracht van minister Verhagen van Economische Zaken, Landbouw & Innovatie (EL&I). Met het onderzoek bestaat volgens Verhagen voor het eerst zicht op de omvang van botnets in Nederland.

Botnets, de netwerken van (ongemerkt) geïnfecteerde computers die gebruikt worden om op grote schaal cybercrime mee uit te voeren, komen bij alle ISP's in dit Nederlandse onderzoek in ongeveer gelijke mate voor. Het maakt niet uit welke beveiligingsmaatregelen ze hebben genomen voor hun abonnees. Het gaat om 5 tot 10 procent over een periode van anderhalf jaar verspreid.

In Nederland

Uit het onderzoek blijkt dat het aantal besmettingen per internetgebruiker in Nederland gemiddeld is ten opzichte van vergelijkbare landen. Wel nemen Nederlandse aanbieders nog maar met weinig van de besmette klanten in hun netwerk contact op, zo'n 10 procent. Vaak hebben zij nog te weinig informatie om alle besmettingen op te kunnen sporen en succesvol aan te pakken.

Van Eeten toont aan dat ISP's weinig actief zijn om botnets te bestrijden. Zo noemt hij een 'grote Europese provider' met naar schatting 40.000 tot 200.000 'besmette abonnees' die er daarvan hooguit 1.000 per maand van op de hoogte stelt. En dan is nog niet duidelijk of deze mensen hun pc's willen en kunnen schonen.

Anti-Botnet Werkgroep

Nederlandse ISP's met samen 90 procent van de Nederlandse internetters als abonnee vormen nu samen een Anti-Botnet Werkgroep om de ellende collectief te gaan bestrijden. Ook het Platform Internetveiligheid dat in december 2009 begon, houdt zich ermee bezig, evenals de KLPD met het project Taurus.

De leden deden mee aan het onderzoek: KPN/Telfort, Ziggo, UPC, Tele2, Xs4all, Solcon, BBned, Online, Scarlet, Luna, en Xenosite. De laatste drie kleinere ISP's zijn niet apart gemeten. De studie liep van januari 2009 tot juni 2010. Het onderzoek helpt internetproviders en andere bedrijven daarbij betere methodes te ontwikkelen en afspraken te maken over de detectie en aanpak van besmette pc’s, zodat het internet en computergebruikers beter worden beschermd.

Grondig onderzoek

Voor het onderzoek zijn verschillende bronnen gebruikt over botnets. Zo is een Spam Dataset gebruikt van ruim 100 miljard verzonden berichten waaruit wereldwijd 170 miljoen unieke IP-adressen zijn gefilterd. Het was eenvoudig daaruit de Nederlandse adressen te vissen. Ook de Dshield dataset van beveiligingsclub Sans Institute is gebruikt en de zogenaamde 'Sink Hole' data van de Conficker Working Group. Daar hebben de onderzoeks zelf data aan toegevoegd.

In de 'ranglijst' van landen met relatief de meeste besmette pc's komt Nederland er gemiddeld uit met de verschillende datasets: van veertig landen in totaal op positie 15, 18 en 20. Nederland speelt een relatief grote rol in botnets omdat hier de breedbandpenetratie hoog is.

Breedband aansluitingen

Zo'n 80 procent van de geïnfecteerde machines heeft een internetaansluiting via ISP's. Voor Nederland kwam dat in 2009 uit op 890.000 IP-adressen, met 210.000 adressen buiten ISP-domeinen als hostingproviders, bedrijven etc. Voor de zekerheid is rekening gehouden met verandering van IP-nummer voor elke abonnee gedurende de onderzochte periode van 18 maanden. Dan kom je op zo'n 450.000. Maar dat is conservatief.

Dus concluderen de onderzoekers dat het werkelijke getal ergens tussen dit minimum en maximum moet liggen voor de periode van anderhalf jaar. Het aantal varieert voortdurend. Zo was het over juni 2010 maar 68.000. De cijfers komen redelijk overeen met die van het Microsoft Security Intelligence Report (MSIR), die over een half jaar voor Nederland op 200.000 kwam. Dat onderzoek komt op 260.000 besmette pc's over een half jaar.

Wisselende activiteit

Er was een piek in het voorjaar van 2010, met een aantal besmettingen dat drie keer zo hoog was als over geheel 2009 gemiddeld. De variatie in aantallen wordt veroorzaakt door de activiteit van de aanvallers en niet door maatregelen tegen botnets en besmettingen door ISP's, noch door grote veranderingen in abonneeaantallen, want die bleven redelijk gelijk.

In de gehouden workshop met ISP's toonden deze zich zeer verbaasd over de grote verschillen in aantal pc's en het aantal gebruikers dat ze waarschuwden of in quarantaine plaatsten. Dat laatste liep in de honderden bij grote providers, terwijl de besmettingen in de duizenden liepen. Ze waren daar er niet van op de hoogte.

Er komt nu een intensieve samenwerking met en de wetenschappers om botnets beter te bestrijden. Daarbij kunnen grote ISP's wellicht eenvoudiger maatregelen nemen tegen besmette PC's, zoals het afsluiten van poorten, dan de kleintjes met meer en bewuster internetgebruik