Botnet

  • Fabian Sinner
  • Mai 5, 2023

Inhaltsverzeichnis

    Botnet

    Was ist ein Botnet?

    Ein Botnet wird häufig mit einer Armee digitaler Zombies verglichen: Gekaperte Geräte werden ferngesteuert und sind miteinander verbunden. Anders als viele denken, können neben Computern auch Handys und jedes weitere internetfähige Gerät missbraucht werden.

    Das Ziel des Strippenziehers sind meistens strategische Cyber-Angriffe mit der Unterstützung des Botnets. Link11 beantwortet die häufigsten Fragen zu Botnets.

    Was ist ein Botnet?

    Der Begriff ist eine Zusammensetzung aus dem Englischen: bot (kurz für robot) und net (Netz, Netzwerk). Das eingedeutschte Botnetz wird ebenfalls häufig verwendet. Aber Vorsicht, das Wort Bot wird doppeldeutig verwendet:

    Auch nützliche Programme wie Chatbots, die automatisiert mit Nutzern interagieren, werden als Bot bezeichnet.

    Ein bösartiger Bot hingegen ist ein durch Schadprogramm infiltriertes und gekapertes Gerät. Davon betroffen sind Computer, Tablets, Smartphones aber auch weitere internetfähige Endgeräte (IoT-Systeme) wie Router, Smart Speaker, Smart TVs, Heimsicherheitssysteme oder sogar Babyfons.

    Eine Infizierung bedeutet, dass ein Außenstehender mithilfe der Malware und einer Internetverbindung Zugriff auf Daten und Ressourcen des Gerätes erhält. Es besteht also die Möglichkeit, das Gerät fernzusteuern.

    Sobald mehrere dieser individuellen Bots zusammengeschlossen wurden, ist ein neues Botnetz entstanden. Die Cyber-Kriminellen, die die Malware über das Internet streuen und die infiltrierten Geräte kontrollieren, werden als Botmaster oder Botnet-Operator bezeichnet.

    Wie entsteht ein Botnet?

    Ein Botnet entsteht grundsätzlich in 5 Schritten:

    1. Der Botmaster bringt das Schadprogramm in Umlauf. Dies ist über mehrere Wege denkbar:
    1. Bot-Schadprogramm infiziert ein ungeschütztes Gerät und übernimmt die gewünschten Funktionen
    2. Bot kommuniziert mit dem Command & Control Server des Botmasters und gliedert sich in Netzwerk ein
    3. Botmaster bietet die Dienste seines Botnet für kriminelle Zwecke in einschlägigen Online-Marktplätzen an
    4. Botnetz wird im Auftrag anderer eingesetzt, zum Beispiel für Distributed-Denial-of-Service-Attacken (DDoS) oder Spam

    Was ist ein Botnet-Angriff?

    Einmal infiziert, hat der Botmaster verschiedene Möglichkeiten, den individuellen Bot und sein Botnetz einzusetzen. Dies sind die häufigsten Anwendungen bzw. Straftaten:

    AnwendungZiel
    Distributed (Reflected) Denial of Service
    Verweigerung des DienstesDas Botnet wird eingesetzt, um durch tausende, gleichzeitige Server-Anfragen, einen Server oder Online-Dienst strategisch lahmzulegen. Dies führt meistens zu einer Funktionsunfähigkeit.
    Wettbewerber schaden
    Lösegeld vom Betroffenen zu erpressen
    Politische Einflussnahme
    Digitaler Vandalismus
    Phishing und Spam
    Bots versenden unzählige E-Mails Vielseitige, kreative Betrugsmaschen
    Vielseitige, kreative Betrugsmaschen
    Abgreifen sensibler Daten wie Konto-PINs oder Passwörter
    Verbreitung weiterer Malware
    Klickbetrug
    Bots werden auf einen pay-per-click Werbebanner angesetzt, der von einem Anzeigenanbieter bereitgestellt wird
    Betrug des Anbieters, der für jeden Klick eine vertraglich festgelegte Summe an den Kunden zahlen muss
    Proxy
    Über das infizierte Bot-Gerät wird eine Verbindung zu einem dritten Gerät hergestellt
    Verschleierung der IP des ausführenden Computers
    Cyber-Angriffe via Bot
    Filesharing
    Das infizierte Gerät wird als Filesharing-Host illegaler Inhalte missbraucht
    Verschleierung der Identität der Filesharing-Betreiber
    Verbreitung und Vertrieb illegaler Inhalte
    Ausspionieren (Sniffing)
    Das infizierte Gerät wird nach Daten abgesucht
    Verkauf sensibler privater Daten: Fotos, Passwörter, Logins, Kreditkartennummern

    Gefahr erkennen: Bin ich Teil eines Botnets?

    Das befallene Gerät zeigt ähnliche „Symptome” wie bei einer Infizierung von jedem anderen Schadprogramm: Wenn der Bot aktiv ist, kann dies das Gerät verlangsamen (Internetverbindung und Arbeitsspeicher).

    Aber Vorsicht: Auch wenn alle Systeme völlig einwandfrei laufen, können Nutzer daraus nicht schlussfolgern, dass das Gerät nicht Teil eines Botnetzes ist.

    Ein Bot ist in vielen Fällen nicht dauerhaft aktiv, sondern wartet auf Kommunikation mit dem Botmaster oder auf definierte Aktivitäten der Nutzer.

    Die Gefahr unfreiwillig Teil eines Botnets zu sein, ist übrigens nicht abwegig – weltweit gelten Millionen von Computern oder anderen Geräten als infiziert.

    Unentdeckte Bots sind profitable Bots

    Ein Bot soll möglichst lange unentdeckt bleiben, um dem Botmaster nützlich zu sein. Die Zielsetzung für die weitere Entwicklung von Schadprogrammen liegt daher ganz klar auf der besseren Verschleierung.

    Dazu zählt auch, dass der Nutzer möglichst wenig bei der Benutzung des Geräts beeinträchtigt wird.

    Das unangenehme Fazit ist also, dass durchschnittliche Internetnutzer nur sehr schwer selbstständig herausfinden können, ob ihr Rechner, Tablet, Handy etc. Teil eines Botnetzes geworden ist.

    Wie viele Geräte sind bereits infiziert?

    Auch wenn sich die tatsächlichen Zahlen nur schätzen lassen, ist eines jedoch klar: Die Zahl der neu infizierten Geräte nimmt Jahr für Jahr zu.

    Laut Lagebericht zur IT-Sicherheit 2019 des BSI wurden in Deutschland 110.000 Botinfektionen pro Tag registriert.

    Diese alarmierende Zahl spart allerdings zwei wichtige Dunkelziffern aus: Vermutlich bleiben die meisten Bot-Attacken unentdeckt und werden demnach nicht statistisch abgebildet.

    Weiterhin sind Mehrfach-Infektionen möglich, d. h. ein Gerät wird von mehreren Schadprogrammen parallel manipuliert.

    IoT-Geräte öffnen Pforte für Malware

    Das BSI warnt im jüngsten Lagereport, dass die Bedrohungslage durch Bots weiterhin hoch ist. Als Grund für die große Anzahl an Neuinfizierungen wird die wachsende Beliebtheit von Smart Devices, die zum privaten Internet of Things gehören.

    Die massenhafte Produktion und ein starker Wettbewerb treiben die Hersteller dazu, die Produktionskosten möglichst klein zu halten. Genau diese Einsparungen gehen häufig auf Kosten der Sicherheit.

    Spätere Security Patches oder Support bei Sicherheitsvorfällen sind in den wenigsten Fällen Teil der Produkte. Vielmehr sind die Geräte ab Wert mit einem Standardpasswort versehen, das sich nur aufwendig oder gar nicht ändern lässt.

    Das bedeutet gleichzeitig, dass sich die IT-Sicherheit der Geräte bestenfalls auf dem Stand der Technik zum Herstellungszeitpunkt befindet.

    Router schützt viele deutsche Nutzer

    Das BSI führt die „vergleichsweise geringen Infektionszahlen“ in Deutschland auf die breite Nutzung von herkömmlichen Internetanbindungen zurück.

    Wer einen klassischen Router nutzt, verhindert im Normalfall den Zugriff auf verbundene Geräte von außen. Eine solche Verbindung lassen übliche Router nicht ohne abweichende Konfiguration zu.

    Diese fehlende Sicherheitsbarriere ist für Smartphones nicht gegeben, wenn sie ohne sichere WLAN-Verbindung verwendet werden.

    Bots vorbeugen: Tipps zur Prävention

    • Aktuelles Anti-Virus-Programm auswählen, das ein möglichst breites Spektrum an Schadprogrammen abdeckt
    • Regelmäßig Programme im Autostart überprüfen und deinstallieren, wenn sie nicht zugeordnet werden können
    • Dubiose Webseiten meiden (spontane Weiterleitung zu anderer Seite, fehlendes SSL-Zertifikat, aggressive Werbeeinblendungen, automatische Downloads)
    • E-Mails mit unbekanntem Absender und verdächtigem Betreff nicht öffnen
    • Verdächtige Links oder E-Mail-Anhänge nicht anklicken bzw. öffnen
    • Sichere WLAN oder LAN-Verbindungen nutzen, um Banking und Einkäufe zu erledigen

    Wenn die Leistung des Geräts von einem zum anderen Tag spürbar absinkt, Programme abstürzen etc., sollten Sie eventuell einen gründlichen Check bei einem IT-Profi durchführen lassen.

    Auf den Seiten von botfrei.de finden Sie außerdem einige Tools, die Ihnen dabei helfen, Ihre Systeme kostenlos auf Bot-Befall und Datendiebstähle zu überprüfen.

    Analysen sind wichtig: Was sind Botnet Scanner?

    Botnet-Scanner sind professionelle Anwendungen, die Geräte oder ganze Netzwerke auf Bots absuchen.

    Eine Botnetz-Analyse umfasst häufig den Einsatz umfangreicher Tools, die mit ständig neuen Filtern arbeiten. Diese Lösungen richten sich in der Regel an Unternehmen, nicht aber an Privatpersonen.

    Im Internet finden Sie mit wenigen Klicks auch einige Botnet Checker oder ähnliche, die als Freeware verfügbar sind. Beachten Sie bei diesen Angeboten, dass sie in der Regel keine Sicherheit garantieren.

    Wie wird ein Angriff durch ein Botnet abgewehrt?

    Die Bekämpfung von Botnetzen ist eine der wichtigsten Säulen in der IT-Sicherheit der vergangenen 10 Jahre.

    Mit jedem zusätzlichen Bot, der auf eine Webseite zugreift, kann die Leistung negativ beeinflusst werden. Der Fachbegriff für das aktive Abwehren ist Bot Mitigation.

    Gezielte Botnetz-Attacken, die einen Distributed Denial of Service (DDoS) auslösen sollen, können einen Server oder Online-Dienst innerhalb weniger Sekunden lahmlegen.

    Die zunehmenden Bandbreiten der Attacken sorgen außerdem dafür, dass selbst gut abgesicherte IT-Systeme unter der Last der Server-Anfragen durch Bots zusammenbrechen.

    Für Firmen bedeutet dies häufig, dass das Tagesgeschäft komplett stillgelegt wird, bis die Attacke vorbei ist. Um sich vor DDoS-Angriffen jeder Stärke zu schützen, bietet Link11 einen patentierten Schutz.

     


    Quellen:

    • Die Lage der IT-Sicherheit in Deutschland 2019, Bundesamt für Sicherheit in der Informationstechnik (BSI), Oktober 2019, S. 21
    • Wie Kriminelle IoT-Schwachstellen zu Geld machen, br.de, 13.10.2019
    DoS, DDoS und RDoS – Was sind die Unterschiede?
    Reflection-Amplification-Vektoren: eine Chronologie
    X