Was ist ein Botnet (Botnetz)?

9. August 2023 | Von ,
Im Jahr 2017 legte „Mirai“ mit 100.000 infizierten Geräten einen DNS-Knoten lahm. Die Folge: Viele große Seiten wie Amazon, Netflix und Twitter waren nicht mehr erreichbar[1]. Möglich sind solch breit angelegte Angriffe durch sogenannte Botnetze. Was das genau ist, und wie man sich davor schützen kann, erfahren Sie in diesem Artikel.

Was ist ein Botnet?

Botnetze sind Netzwerke aus vielen einzelnen Rechnern, die mit Schadsoftware infiziert wurden und dadurch zum Werkzeug für Cyberkriminelle werden. Infizierte Computer werden auch Zombies genannt, da sie meist wie eine Horde Zombies agieren. Laut dem Bundesamt für Sicherheit in der Informationstechnik werden täglich bis zu 40.000 Botnetz-Infektionen deutscher Systeme erkannt und gemeldet[2].

Der Angreifer ist in der Lage, mit den infizierten Rechnern zu kommunizieren und ihnen Befehle zu senden. Diese Kommunikation erfolgt in der Regel über einen Internet Relay Chat (kurz: IRC). Meist merken die betroffenen Nutzer nichts von der Infektion, im Hintergrund wird der „Bot“ jedoch genutzt, um beispielsweise Spam zu versenden, weitere Rechner zu infizieren oder das Botnetz zu vergrößern. Denn je größer das Botnetz, desto effektiver können auch gut geschützte Systeme wie Firmenserver mit Passwortdatenbanken angegriffen werden.

Botnet Beispiel
Grafische Darstellung: Infizierte Computer (Bots), die vom Botnetz-Betreiber koordiniert für einen bestimmten Zweck eingesetzt werden.

Die Einsatzzwecke von Botnets

Mit Bots infizierte Computersysteme werden in der Regel zu Netzwerken, so genannten Botnetzen, zusammengeschlossen und dienen dazu, kriminelle Handlungen im Internet durchzuführen. Häufig werden Botnetze für so genannte DDoS-Attacken (Distributed Denial of Service) eingesetzt. Vereinfacht gesagt greifen alle infizierten Rechner eines Netzwerkes auf eine Online-Ressource zu, wodurch diese überlastet wird und zusammenbricht. Die notwendige Größe des Botnetzes richtet sich nach der zu erwartenden technischen Leistungsfähigkeit des anvisierten Ziels. Ein DDoS-Angriff kann enorme Schäden anrichten. Wird beispielsweise ein Online-Shop erfolgreich angegriffen, ist dieser für die Dauer der Attacke nicht erreichbar. Dies führt zu direkten Umsatzeinbußen und bietet dem Angreifer Erpressungspotenzial. Ein Botnet kann mehrfach für DDoS-Attacken genutzt werden, die Einnahmen sind also wiederkehrend.

Besonders heimtückisch ist, dass zusätzlich zur größeren Durchschlagskraft auch noch die Spuren verschleiert werden, da es so aussieht, als ob ganz normale Heimcomputer den Angriff durchgeführt hätten. Um mögliche Beweise zu beseitigen, können die Bots auch auf Befehl des Botnet-Betreibers gelöscht werden.

Weitere Einsatzzwecke:
  • Das Sammeln von E-Mail-Adressen. Die gesammelten E-Mail-Adressen können z. B. für das Versenden von Spam (meist Phishing-Mails) oder Schadsoftware genutzt werden.
  • Das Skimming (das betrügerische Auslesen von Zahlungsdaten). Betrüger können damit entweder Geld von Ihrem Konto abheben oder sich kostenfrei Produkte bestellen (von Ihnen bezahlt).
  • Das Aufspüren von Softwareschwachstellen.
  • Das Mining von Kryptowährungen.
  • Das Durchführen von Werbebetrug.
  • Das Herunterladen und Verbreiten von illegalen Materialien. Hier werden geheime Bereiche Ihrer Festplatte als Zwischenablage genutzt.
Botnetz Einsatzzwecke
Die Einsatzzwecke / Einkommensarten der Botnetze.

Wie erkennt man ein Botnetz?

Wenn Sie sich eine Schadsoftware eingefangen haben und Teil eines Botnetzes sind, hilft Ihnen in der Regel nur ein Antivirenprogramm, um die Schadsoftware zu identifizieren. Anzeichen für einen Befall Ihres Computers können sich aber auch durch ein ungewöhnliches Verhalten des Computers bemerkbar machen:
  • Verlangsamte Systemzugriffe: Die betroffenen Computer verbrauchen oft einen Großteil ihrer Rechenleistung für Aufgaben des Botnet-Betreibers.
  • Plötzlich auftretende Speicherprobleme.
  • Dubiose Fehlermeldungen unter Microsoft Windows oder anderen Betriebssystemen.
  • Infizierte Computer stellen eine Verbindung zum so genannten Command & Control Server her und erhalten über diesen ihre Befehle. Aktuelle Kompromittierungsindikatoren (IoCs) können Administratoren dabei helfen, schädliche Aktivitäten im System zu erkennen.
Wenn Sie sicher sind, dass Ihr System infiziert und Teil eines Botnetzes ist: Das System Umgehend neu aufsetzen.

Wie lassen sich Botnetz-Infektionen verhindern?

Da Botnetze eine der wichtigsten Infrastrukturen für Cyberkriminalität darstellen, ist jeder Computer, der davor geschützt ist, ein wichtiger Schritt im Kampf gegen die Cyberkriminalität. Ganze Informationsportale wurden bereits eingerichtet, um präventiv zu wirken, aber auch um eventuelle Infektionen zu bekämpfen.

Hier die wichtigsten Schritte:
  • Führen Sie regelmäßig Sicherheitsupdates Ihres Betriebssystems durch.
  • Halten Sie alle Programme durch Updates auf dem aktuellen Stand.
  • Nutzen Sie unter keinen Umständen End-of-Life-Programme (z. B. Windows 7) weiter, denn diese Programme erhalten keine Sicherheitsupdates mehr.
  • Vorsicht ist insbesondere bei E-Mail-Anhängen mit den Endungen .exe, .bat, .com, .vbs, .sys, .reg geboten. Cyberkriminelle nutzen oft einen Trick: Sie tarnen ihre Schadprogramme als Bild- oder PDF-Datei - zum Beispiel „dokument.pdf.exe". Ist die Anzeige von Dateiendungen in Windows deaktiviert, sieht der Schädling auf den ersten Blick wie ein harmloses PDF-Dokument aus („dokument.pdf"). Deshalb sollten Sie die Dateierweiterungen immer anzeigen lassen. Gehen Sie dazu im Windows Explorer in das Menü „Ansicht" und setzen Sie ein Häkchen bei „Dateinamenerweiterungen".
  • Spam-Mails füllen täglich die Postfächer vieler Nutzer. Viele dieser Mails enthalten Links zu Schadsoftware und sollten daher sofort gelöscht werden. Abhilfe gegen Spam-Mails bieten die meisten Mailprogramme. So gibt es Mailprogramme (z. B. Thunderbird), die standardmäßig einen Junkmail-Ordner im System eingerichtet haben. Dieser erkennt unerwünschte Nachrichten, fängt sie ab und speichert sie in diesem Ordner.
  • Nutzen Sie einen Virenscanner.
  • Verwenden Sie eine Firewall. Eine Firewall ist eine Sicherheitskomponente, die als Übergang zwischen zwei zu trennenden Netzwerken eingesetzt wird. In der Regel trennt sie ein lokales Netzwerk vom Internet. Dabei kann eine Firewall sowohl Hardware- als auch Software-Elemente enthalten. Basierend auf einer definierten Sicherheitsrichtlinie lässt eine Firewall nur bestimmte ein- und ausgehende Verbindungen zu. Die Entscheidung, welche Verbindungen erlaubt oder verboten sind, wird mit Hilfe von Filterregeln getroffen. Solche Filterregeln enthalten z.B. Informationen über Quell- und Zielrechner, Transport- und Serviceprotokolle, den jeweiligen Benutzer etc. Da jedoch auch durch den Einsatz einer Firewall keine absolute Sicherheit gewährleistet werden kann, sollten Log-Mechanismen eingesetzt werden, um die Ereignisse im Nachhinein überprüfen zu können. So können ggf. sowohl fehlgeschlagene als auch erfolgreiche Angriffe erkannt und zur Überarbeitung der getroffenen Sicherheitsmaßnahmen genutzt werden. Einige Virenprogramme enthalten eine Firewall.
  • Seien Sie wachsam: Wenn Ihr Computer plötzlich langsamer wird oder sich Fenster ohne Ihr Zutun öffnen, sollten Sie prüfen, ob Ihr Computer Teil eines Botnetzes ist.
Weitere Sicherheitstipps

IoT-Botnetze nutzen erfolgreich Standardpasswörter

75 Milliarden Geräte werden bis 2025 weltweit in das Internet der Dinge (IoT) eingebunden sein[3]. Das eröffnet neue Chancen, aber auch neue Gefahren. Denn auch unzureichend geschützte Smart-Home Geräte (z. B. Kameras oder Sprachassistenten) können gekapert und Teil eines Botnetzes werden.

Seit 2016 ist zum Beispiel das „Mirai“-Botnet aktiv. „Mirai“ infiziert anfällige IoT-Geräte, die einfache oder voreingestellte Standardpasswörter verwenden[4] - Smart-TVs, Multi-Media-Center, DSL-Router und sonstige Smart-Home-Geräte.

Mirai Botnet
Betrieb und Kommunikation des Mirai-Botnetzes.

Standardpasswörter sollten nach der Inbetriebnahme (wenn möglich) sofort geändert werden! Verwenden Sie so viele Zeichen wie möglich. Grundsätzlich gilt: Je länger und komplexer ein Passwort ist, desto sicherer ist es. Verwenden Sie niemals Namen oder Spitznamen. Auch persönliche Zahlen wie das Geburtsdatum sind leicht zu erraten. Verwenden Sie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Die Mischung macht's. Passwörter, die nur aus Buchstaben oder nur aus Zahlen bestehen, sind deutlich leichter zu knacken.

Aber wie merkt man sich solch ein Passwort-Monstrum? Nun, zum einen könnte man einen kostenlosen Passwort-Manager nehmen - zum Beispiel KeePass. Oder man arbeitet mit einem Merksatz. Das menschliche Gehirn kann sich einen Satz besser merken als eine kryptische Zeichenfolge. Gehen wir davon aus, dass unsere Passwörter immer mit einem * beginnen und mit einem # enden. Die Zeichen sind von jedem frei wählbar. Es können auch beliebige andere Zeichen sein. Dazwischen packen wir einen Merksatz, zum Beispiel: Schneewittchen und die 7 Zwerge gehen in den Wald und fällen 23 Bäume.

Wir nehmen von Schneewittchen das „S“ als ersten Buchstaben unseres Passworts. Das nächste Wort ist ein „und“, das durch ein "&" dargestellt werden kann. Und so machen wir weiter. Heraus kommt als Passwort: *S&d7ZgidW&f23B!#

Das Passwort hat 17 Stellen und enthält Sonderzeichen, Großbuchstaben, Kleinbuchstaben und Ziffern. Je länger und komplexer das Passwort wird, desto sicherer ist es. IT-Infrastrukturen, bestehend aus einer Vielzahl von Anwendungen & Geräten, sollten möglichst komplizierte Passwörter haben. Und bitte nicht überall das gleiche Passwort verwenden, sondern für jeden Dienst ein anderes.

Lesen Sie auch: Sichere Passwörter erstellen - So geht's

Das Wichtigste in Kürze

Hier eine Zusammenfassung der wichtigsten Punkte:
  • Ein Botnetz besteht aus vielen einzelnen infiltrierten Computern (Bots), die ferngesteuert werden.
  • Die Bots werden von einem Command & Control Server gesteuert.
  • Botnetze werden u.a. für DDoS-Attacken, Spam-Versand, Datenspionage und Erpressung eingesetzt.
  • Anzeichen für eine Infektion können eine Verlangsamung des Systems oder ungewöhnliches Verhalten sein.
  • Um Botnetz-Infektionen vorzubeugen, sollte man das Betriebssystem und alle Programme aktuell halten, keine verdächtigen E-Mail-Anhänge öffnen und einen guten Virenschutz sowie eine Firewall verwenden.
  • Selbst IoT-Geräte mit Standardpasswörtern sind anfällig für Botnetze wie Mirai.

Häufige Fragen zu Botnets

Was ist ein C&C Server?

Ein C&C-Server (auch bekannt als Command & Control Server) ist ein Server, der von Bedrohungsakteuren verwendet wird, um ein Botnet zu steuern. Der C&C-Server fungiert als zentrales Steuerungselement für das Botnet und sendet Befehle an die in das Netzwerk integrierten Bots. Diese Befehle können beispielsweise zur Verbreitung von Malware oder zur Durchführung von DDoS-Angriffen (Distributed Denial of Service) verwendet werden.

Welche bekannte Botnets gibt es?

Einige bekannte Botnets sind Mirai, Mariposa und ZeuS. Mirai wurde 2016 bekannt, als es unter anderem für einen großen DDoS-Angriff auf den Domain Name System-Provider Dyn verwendet wurde. Mariposa (aktiv seit 2009) war eines der größten Botnets, das jemals entdeckt wurde. ZeuS war ein Botnet, das für Finanzbetrug eingesetzt wurde.

Einzelnachweise

  1. golem.de: Mirai-Botnetz legte zahlreiche Webdienste lahm
  2. bsi.bund.de: Die Lage der IT-Sicherheit in Deutschland 2021
  3. wiwo.de: Internet of Things: Knapp 27 Milliarden vernetzte Geräte – oder 3 IoT-Gadgets je Mensch
  4. computerweekly.com: Sicherheitsrisiko: Standard-Passwörter bei IoT-Geräten

Letzte Änderung am 09.08.2023: Wir haben eine Zusammenfassung hinzugefügt.