Diese Website verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Sie stimmen dem durch die weitere Nutzung der Website zu. Weitere Infos zu Cookies und deren Deaktivierung finden Sie hier.

For English version click here.

Botnet: Was ist das? FAQ auf einen Blick

24.04.2020        Bedrohungslage
Botnet: Was ist das? FAQ auf einen Blick
Shutterstock ID 796434775

Ein Botnet wird häufig mit einer Armee digitaler Zombies verglichen: Gekaperte Geräte werden ferngesteuert und sind miteinander verbunden. Anders als viele denken, können neben Computern auch Handys und jedes weitere internetfähige Gerät missbraucht werden. Das Ziel des Strippenziehers sind meistens strategische Cyber-Angriffe mit der Unterstützung des Botnets. LINK11 beantwortet die häufigsten Fragen zu Botnets.

Was ist ein Botnet?

Der Begriff ist eine Zusammensetzung aus dem Englischen: bot (kurz für robot) und net (Netz, Netzwerk). Das eingedeutschte Botnetz wird ebenfalls häufig verwendet. Aber Vorsicht, das Wort Bot wird doppeldeutig verwendet: Auch nützliche Programme wie Chatbots, die automatisiert mit Nutzern interagieren, werden als Bot bezeichnet.

Ein bösartiger Bot hingegen ist ein durch Schadprogramm infiltriertes und gekapertes Gerät. Davon betroffen sind Computer, Tablets, Smartphones aber auch weitere internetfähige Endgeräte (IoT-Systeme) wie Router, Smart Speaker, Smart TVs, Heimsicherheitssysteme oder sogar Babyfons. Eine Infizierung bedeutet, dass ein Außenstehender mithilfe der Malware und einer Internetverbindung Zugriff auf Daten und Ressourcen des Gerätes erhält. Es besteht also die Möglichkeit, das Gerät fernzusteuern. 

Sobald mehrere dieser individuellen Bots zusammengeschlossen wurden, ist ein neues Botnetz entstanden. Die Cyber-Kriminellen, die die Malware über das Internet streuen und die infiltrierten Geräte kontrollieren, werden als Botmaster oder Botnet-Operator bezeichnet. 

Wie entsteht ein Botnet?

Ein Botnetz entsteht grundsätzlich in 5 Schritten:

  1. Der Botmaster bringt das Schadprogramm in Umlauf. Dies ist über mehrere Wege denkbar: 
    1. Links oder Anhänge in E-Mails
    2. Fileless Malware, die sich beim Besuch einer Webseite ihren Weg ins System sucht (drive-by infection)
    3. Zufällig ausgewählte Geräte werden mithilfe von Standard-Passwortlisten gekapert (Brute-Force-Methode)
    4. Nachrichten in Sozialen Medien
    5. Tauschbörsen und Peer-to-Peer-Netzwerke
  2. Bot-Schadprogramm infiziert ein ungeschütztes Gerät und übernimmt die gewünschten Funktionen
  3. Bot kommuniziert mit dem Command & Control Server des Botmasters und gliedert sich in Netzwerk ein
  4. Botmaster bietet die Dienste seines Botnet für kriminelle Zwecke in einschlägigen Online-Marktplätzen an
  5. Botnetz wird im Auftrag anderer eingesetzt, zum Beispiel für DDoS-Attacken oder Spam

Was ist ein Botnet-Angriff?

Einmal infiziert, hat der Botmaster verschiedene Möglichkeiten, den individuellen Bot und sein Botnetz einzusetzen. Dies sind die häufigsten Anwendungen bzw. Straftaten:

AnwendungZiel
Distributed (Reflected) Denial of Service
Verweigerung des Dienstes

Das Botnet wird eingesetzt, um durch tausende, gleichzeitige Server-Anfragen, einen Server oder Online-Dienst strategisch lahmzulegen. Dies führt meistens zu einer Funktionsunfähigkeit. 
Wettbewerber schaden
Lösegeld vom Betroffenen zu erpressen
Politische Einflussnahme
Digitaler Vandalismus
Phishing und Spam
Bots versenden unzählige E-Mails Vielseitige, kreative Betrugsmaschen
Vielseitige, kreative Betrugsmaschen
Abgreifen sensibler Daten wie Konto-PINs oder Passwörter
Verbreitung weiterer Malware
Klickbetrug
Bots werden auf einen pay-per-click Werbebanner angesetzt, der von einem Anzeigenanbieter bereitgestellt wird
Betrug des Anbieters, der für jeden Klick eine vertraglich festgelegte Summe an den Kunden zahlen muss
Proxy
Über das infizierte Bot-Gerät wird eine Verbindung zu einem dritten Gerät hergestellt
Verschleierung der IP des ausführenden Computers
Cyber-Angriffe via Bot
Filesharing
Das infizierte Gerät wird als Filesharing-Host illegaler Inhalte missbraucht
Verschleierung der Identität der Filesharing-Betreiber
Verbreitung und Vertrieb illegaler Inhalte
Ausspionieren (Sniffing)
Das infizierte Gerät wird nach Daten abgesucht
Verkauf sensibler privater Daten: Fotos, Passwörter, Logins, Kreditkartennummern


Botnetz erkennen: Bin ich Teil eines Botnets?

Das befallene Gerät zeigt ähnliche „Symptome” wie bei einer Infizierung von jedem anderen Schadprogramm: Wenn der Bot aktiv ist, kann dies das Gerät verlangsamen (Internetverbindung und Arbeitsspeicher). 

Aber Vorsicht: Auch wenn alle Systeme völlig einwandfrei laufen, können Nutzer daraus nicht schlussfolgern, dass das Gerät nicht Teil eines Botnetzes ist. Ein Bot ist in vielen Fällen nicht dauerhaft aktiv, sondern wartet auf Kommunikation mit dem Botmaster oder auf definierte Aktivitäten der Nutzer. 

Unentdeckte Bots sind profitable Bots

Ein Bot soll möglichst lange unentdeckt bleiben, um dem Botmaster nützlich zu sein. Die Zielsetzung für die weitere Entwicklung von Schadprogrammen liegt daher ganz klar auf der besseren Verschleierung. Dazu zählt auch, dass der Nutzer möglichst wenig bei der Benutzung des Geräts beeinträchtigt wird.

Das unangenehme Fazit ist also, dass durchschnittliche Internetnutzer nur sehr schwer selbstständig herausfinden können, ob ihr Rechner, Tablet, Handy etc. Teil eines Botnetzes geworden ist. 

Wie viele Geräte sind bereits Bots?

Auch wenn sich die tatsächlichen Zahlen nur schätzen lassen, ist eines jedoch klar: Die Zahl der neu infizierten Geräte nimmt Jahr für Jahr zu. Laut Lagebericht zur IT-Sicherheit 2019 des BSI wurden in Deutschland 110.000 Botinfektionen pro Tag registriert. Diese alarmierende Zahl spart allerdings zwei wichtige Dunkelziffern aus: Vermutlich bleiben die meisten Bot-Attacken unentdeckt und werden demnach nicht statistisch abgebildet. Weiterhin sind Mehrfach-Infektionen möglich, d. h. ein Gerät wird von mehreren Schadprogrammen parallel manipuliert.

IoT-Geräte öffnen Pforte für Malware

Das BSI warnt im jüngsten Lagereport, dass die Bedrohungslage durch Bots weiterhin hoch ist. Als Grund für die große Anzahl an Neuinfizierungen wird die wachsende Beliebtheit von Smart Devices, die zum privaten Internet of Things gehören. Die massenhafte Produktion und ein starker Wettbewerb treiben die Hersteller dazu, die Produktionskosten möglichst klein zu halten. Genau diese Einsparungen gehen häufig auf Kosten der Sicherheit. Spätere Security Patches oder Support bei Sicherheitsvorfällen sind in den wenigsten Fällen Teil der Produkte. Vielmehr sind die Geräte ab Wert mit einem Standardpasswort versehen, das sich nur aufwendig oder gar nicht ändern lässt. Das bedeutet gleichzeitig, dass sich die IT-Sicherheit der Geräte bestenfalls auf dem Stand der Technik zum Herstellungszeitpunkt befindet. 

Router schützt viele deutsche Nutzer

Das BSI führt die „vergleichsweise geringen Infektionszahlen" in Deutschland auf die breite Nutzung von herkömmlichen Internetanbindungen zurück. Wer einen klassischen Router nutzt, verhindert im Normalfall den Zugriff auf verbundene Geräte von außen. Eine solche Verbindung lassen übliche Router nicht ohne abweichende Konfiguration zu. Diese fehlende Sicherheitsbarriere ist für Smartphones nicht gegeben, wenn sie ohne sichere WLAN-Verbindung verwendet werden.

Bots vorbeugen: Tipps zur Prävention

  1. Aktuelles Anti-Virus-Programm auswählen, das ein möglichst breites Spektrum an Schadprogrammen abdeckt
  2. Regelmäßig Programme im Autostart überprüfen und deinstallieren, wenn sie nicht zugeordnet werden können
  3. Dubiose Webseiten meiden (spontane Weiterleitung zu anderer Seite, fehlendes SSL-Zertifikat, aggressive Werbeeinblendungen, automatische Downloads)
  4. E-Mails mit unbekanntem Absender und verdächtigem Betreff nicht öffnen
  5. Verdächtige Links oder E-Mail-Anhänge nicht anklicken bzw. öffnen
  6. Sichere WLAN oder LAN-Verbindungen nutzen, um Banking und Einkäufe zu erledigen

Wenn die Leistung des Geräts von einem zum anderen Tag spürbar absinkt, Programme abstürzen etc., sollten Sie eventuell einen gründlichen Check bei einem IT-Profi durchführen lassen.

Auf den Seiten von botfrei.de finden Sie außerdem einige Tools, die Ihnen dabei helfen, Ihre Systeme kostenlos auf Botbefall und Datendiebstähle zu überprüfen.

Auf Botnetze prüfen: Was sind Botnet Scanner?

Botnet Scanner sind professionelle Anwendungen, die Geräte oder ganze Netzwerke auf Bots absuchen. Eine Botnetz-Analyse umfasst häufig den Einsatz umfangreicher Tools, die mit ständig neuen Filtern arbeiten. Diese Lösungen richten sich in der Regel an Unternehmen, nicht aber an Privatpersonen.

Im Internet finden Sie mit wenigen Klicks auch einige Botnet-Checker oder ähnliche, die als Freeware verfügbar sind. Beachten Sie bei diesen Angeboten, dass sie in der Regel keine Sicherheit garantieren. 

Wie werden Angriffe durch Botnetze abgewehrt?

Die Bekämpfung von Botnetzen ist eine der wichtigsten Säulen in der IT-Sicherheit der vergangenen 10 Jahre. Mit jedem zusätzlichen Bot, der auf eine Webseite zugreift, kann die Leistung negativ beeinflusst werden. Der Fachbegriff für das aktive Abwehren ist Bot Mitigation.

Gezielte Botnetz-Attacken, die einen Distributed Denial of Service (DDoS) auslösen sollen, können einen Server oder Online-Dienst innerhalb weniger Sekunden lahmlegen. Die zunehmenden Bandbreiten der Attacken sorgen außerdem dafür, dass selbst gut abgesicherte IT-Systeme unter der Last der Server-Anfragen durch Bots zusammenbrechen. Für Firmen bedeutet dies häufig, dass das Tagesgeschäft komplett stillgelegt wird, bis die Attacke vorbei ist. Um sich vor DDoS-Angriffen jeder Stärke zu schützen, bietet LINK11 einen patentierten Schutz. 



Quellen:

  • Die Lage der IT-Sicherheit in Deutschland 2019, Bundesamt für Sicherheit in der Informationstechnik (BSI), Oktober 2019, S. 21
  • Wie Kriminelle IoT-Schwachstellen zu Geld machen, br.de, 13.10.2019 

Neueste Blogbeiträge

Bleiben Sie informiert über aktuelle DDoS-Reports, Warnmeldungen und Neuigkeiten zu IT-Sicherheit, Cybercrime und DDoS-Schutz.

Informiert bleiben!

Link11 Blog abonnieren mit News zum Unternehmen, IT-Security, Cybercrime

Link11GmbH​

Folgen Sie Link11 auf Twitter