Ein ausführlicherer Artikel von Bruce Schneier zum Thema Internet-Quarantäne:
http://www.forbes.com/2010/11/10/microsoft-viruses-security-technology-quarantine.html

Was irritiert Dich daran denn stärker als ein Spam-Filter, der sich die Mails anschaut, die so bei ihm vorbei kommen?

Das ist eine gute Frage.
Mich stört daran, dass das noch deutlich weiter geht und umfassender ist.
Bei den Mails ist es so, dass nur Mails verarbeitet werden und dieses bei jedem Mailprovider einzeln mit unterschiedlichen Kriterien. Hier die komplette Kommunikation einer Person (mehrere Mail-Adressen) für andere Zwecke auszuwerten, ist daher nicht so "attraktiv" und es weckt keine Begehrlichkeiten.

Am Rande: Ich erlebe es durchaus auch, dass diese Automatismen bei Spam-Mails teilweise schon zu weit gehen. Beispielsweise kann ich Bekannten, die Hotmail verwenden, kaum noch Mails schicken. Bereits deren Eingangsserver lehnt meine Mails fast alle ab und schickt die zurück. D.h. der Empfänger bekommt keinerlei Rückmeldung, dass da für ihn was gekommen wäre.
Daher benutze ich auch Provider, die eben keine Spam-Sortierung machen bzw. schalte das ab. Das kann mein Mail besser.

Was ist bei diesem BotNetz-Schutz anders (oder scheint anders)?
Es muss der komplette Datenverkehr von Dir analysiert werden. Und da man sehr viel unterschiedlichsten Verkehr zu unterschiedlichsten Zwecken auslöst, muss man schon sehr genau die Pakete anschauen und analysieren. Dafür muss die notwendige Infrastruktur bei den Providern neu geschaffen werden. Jetzt habe ich da aber zwei Sachen:
- Ich frage mich weiterhin, wie man selbst mit einer DPI einen Bot (mal abgesehen von Spam-Mails) einfach am Verhalten erkennen können soll. Einzig Zugriffe auf Server, bei denen sich der Bot neue Befehle holt, wird man recht gut finden können. Dazu muss dann aber das Botnetz schon ausgeforscht sein und ständig die Providerfilter von einer zentralen Stelle aus neu justiert werden. Ich vermute daher, dass die reine Verhaltensanalyse recht ineffektiv sein wird.
- Steht erst einmal eine solche Infrastruktur zur verdachtsunabhängigen DPI, werden sehr schnell viele Begehrlichkeiten wach. Das war hier in Deutschland in letzter Zeit immer so, dass wenn irgendwo Daten gesammelt wurden, ganz schnell die Forderung nach einer Ausweitung im Raum stand und dann auch durchgesetzt wurde.

Beide Punkte zusammen (Massnahme ist in der Realität nur wenig geeignet, Infrastruktur mit erheblich mehr Möglichkeiten wird etabliert) gab es in letzter Zeit hier in Deutschland auch öfters und es war jedes Mal klar, dass der vorgeschobene Grund nicht das Ende sein sollte.

Also zusammenfassend: Die verdachtsunabhängige DPI im Gegensatz zum Spamfilter ist deutlich umfassender und bietet erheblich mehr Möglichkeiten zum Missbrauch oder Ausweitung, was meiner Meinung nach das eigentliche Ziel zu sein scheint.

Wie Bot-Aktivitäten erkannt werden wird nicht offenbart. Lässt das vielleicht tief blicken? Bin jetzt doch recht skeptisch, danke für das Augen öffnen.

Da steht nur, dass der Rechner anhand von Verhaltensmustern erkannt wird.

Von einer Warnseite habe ich nichts gelesen. Von Email und Briefen ist die Rede.

Ich bin mir eigentlich sicher, dass ich das auf deren Seiten gelesen habe. Ich finde es aber nicht mehr wieder. Also bitte mein obiges Statements ignorieren.

OK.
Also bezüglich Mailverkehr machen einige große Provider (z.B. T-Online) schon solche Analysen. D.h. die Gesamtzahl der E-Mails pro Tag oder die Zahl der Mails pro Minute sind limitiert. Man kann dann einfach keine Mails mehr senden. Deshalb haben Softwarepakete zum Verschicken von Massenmails (seriöser Art) auch Mechanismen integriert, bei denen man einstellen kann, wie schnell wie viele Mails rausgehen.
Dagegen habe ich auch nichts, wenn es dem Kunden transparent mitgeteilt wird.
Aber um derartiges kann es meiner Meinung nach bei dieser Initiative nicht gehen, denn der Mailprovider kann mir keine Warn-Webseite vorsetzen.

Ich vermute eher, dass es tatsächlich um die Zugangsprovider geht. Und da sieht die Sache meiner Meinung nach schon anders aus.
Darauf bezogen zu Deinem ersten Abschnitt:

Muss er das? Ich gehe davon aus, dass sich ein Bot allein duch die Analyse von Kommunikations-Frequenz, Absender und Zieladresse problemlos identifizieren lässt.

Ja, er muss in die Datenpakete hineinsehen. Ansonsten kann er Zieladresse und Frequenz von IP-Paketen gar nicht beurteilen. Zusätzlich muss er noch schauen, was für Inhalte da drin sind, sonst kann er das auch nicht beurteilen. Absendeadresse ist immer die gleiche: Die IP, die derjenige gerade hat.
Das bedeutet eine verdachtsunabhängige DPI müsste eingeführt werden. Das wiederum würde mich schon stark irritieren.
Auch der Einbau der Warnseite geht nur, wenn man eine DPI macht oder einen Zwangsproxy einsetzt. Beides Sachen, die ich nicht gut fände.

Evtl. sehe ich aber auch nicht, wie man normalen Datenverkehr von Bot-Verkehr trennen soll ohne DPI. Bzw. wie man eine Warnseite anders einbauen kann. Das war ja meine eingehende Frage, wie das technisch umgesetzt werden soll. Je nachdem wie, habe ich dazu natürlich völlig verschiedene Meinungen.

Und ich gehe davon aus, dass sich die Analyse gänzlich ohne Verknüpfung zu Personendaten realisieren lässt. Natürlich müsste eine solche dann stattfinden, wenn man glaubt, einen Bot identifiziert zu haben.

Ja, das ist der zweite Schritt. Aber wie ich ja auch schon oben schrieb, das macht mir keine Kopfschmerzen.

Kann es sein, dass wir verschiedene Sachen meinen?
So wie ich Dich verstehe, meinst Du die Analyse (Frequenz, Absender-/Zieladresse) von ausgehenden Mails beim Mailprovider, richtig? Denn dann kann ich Deine Argumente und Vergleich zum Spam-Filter verstehen.

Fände ich aber zur Einschätzung schon wichtig zu wissen, wie das funktioniert. Eure beiden Vorschläge sind nämlich deutlich unterschiedlich in der Konsequenz.

Wenn die IP-Logs des Angegriffenen auf einen Kunden hinweisen… 
Ja, stimmt, ohne IP-Speicherung beim Provider geht das ins Leere. Die ist ja rechtlich höchst problematisch. Eigentlich.

Das würde bedeuten, dass der Angegriffene die Angriffe auswertet und dann an den Provider meldet und der, wenn er noch die IP-Kunden-Zuordnung hat, diesem eine Meldung macht. Auf diesem Wege habe ich nichts gegen derartiges.

Ich denke für die Provider wäre das kein allzu grosses Problem. Bin mir ziemlich sicher, dass sich ein Bot aufgrund seines Verbindungs-Verhaltens ziemlich rasch, problemlos und zuverlässig automatisiert erkennen liesse.

Bei dieser Methode muss der Provider den Datenverkehr analysieren und somit in die Pakete hinein schauen. Das lässt bei mir die Alarmglocken schrillen, denn DPI ist aktuell noch nicht erlaubt und würde nach Einführung auch sehr schnell Begehrlichkeiten von anderen Stellen wecken.
In der Beschreibung steht auch drin, dass der Provider einem Betroffenen z.B. eine Warnseite beim ersten Webseitenaufruf anzeigt, wenn er betroffen ist. Das erfordert aber auch ein Analysieren der Datenströme und Manipulation der Antwort oder aber einen Zwangsproxy.

Gerade die untergeschobene Warnseite lässt mich vermuten, dass warlords tipp eher in die richtige Richtung geht. Und das macht mir Sorge.

Wenn die IP-Logs des Angegriffenen auf einen Kunden hinweisen… 
Ja, stimmt, ohne IP-Speicherung beim Provider geht das ins Leere. Die ist ja rechtlich höchst problematisch. Eigentlich.