Was ist ein Botnet (Botnetz)?

10. September 2021 | Von: ,
2017 legte „Mirai“ mit 100.000 infizierten Geräten einen DNS-Knoten lahm. Die Folge: Viele große Seiten wie Amazon, Netflix und Twitter waren nicht mehr erreichbar[1]. Möglich sind solch breit angelegte Angriffe durch sogenannte Botnetze. Was das genau ist, und wie man sich davor schützen kann, erfahren Sie in diesem Artikel.

Was ist ein Botnet?

Botnetze sind Netzwerke aus vielen einzelnen Rechnern, die mit Schadsoftware infiziert wurden und dadurch zum Werkzeug für Cyberkriminelle werden. Infizierte Computer werden auch Zombies genannt, da sie meist wie eine Horde Zombies agieren. Laut dem Bundesamt für Sicherheit in der Informationstechnik werden täglich bis zu 110.000 Botnetz-Infektionen deutscher Systeme registriert[2].

Dem Angreifer ist es möglich, mit den infizierten Rechnern zu kommunizieren und ihnen Anweisungen zu senden. Diese Kommunikation wird meist über einen Internet Relay Chat (kurz: IRC) getätigt. Meist bemerken betroffene User den Befall nicht, aber im Hintergrund wird der „Bot“ beispielsweise dazu verwendet, Spam zu versenden, um andere Computer zu infizieren oder um das Botnetz zu vergrößern. Denn je größer das Botnetz, desto effektiver können damit auch gut geschützte Systeme wie z. B. Firmenserver mit Passwortdatenbanken angegriffen werden.

Botnet Beispiel
Grafische Darstellung: Infizierte Computer (Bots), die vom Botnetz-Betreiber koordiniert für einen bestimmten Zweck eingesetzt werden.

Die Einsatzzwecke von Botnets

Von Bots befallene Computersysteme sind in der Regel zu Netzwerken, den Botnets, zusammengeschlossen und dienen dazu, kriminelle Aktionen im Internet auszuführen. Oft werden Botnetze für sogenannte DDoS–Attacken (Distributed Denial of Service-Attacken) verwendet. Vereinfacht greifen dabei alle infizierten Rechner eines Netzwerks auf eine Online-Ressource zu, woraufhin diese überlastet und zusammenbricht. Die notwendige Größe des Botnetzes richtet sich nach der erwarteten technischen Leistungsfähigkeit des anvisierten Ziels. Eine DDoS-Attacke kann einen enormen Schaden anrichten. Wird zum Beispiel ein Online-Shop erfolgreich angegriffen, ist dieser für die Dauer der Attacke nicht erreichbar. Dies hat direkte Umsatzeinbußen zur Folge, was den Angreifern ein Erpressungspotenzial bietet. Ein Botnet kann mehrfach für DDoS-Attacken verwendet werden, die Einnahmen sind somit wiederkehrend.

Besonders heimtückisch ist, dass zusätzlich zur größeren Durchschlagskraft auch noch die Spuren verschleiert werden, da es aussieht, als hätten ganz normale Heimrechner den Angriff durchgeführt. Um mögliche Beweise zu entfernen, können Bots auch auf Befehl des Botnetz-Betreibers entfernt werden.

Weitere Einsatzzwecke:
  • Das Sammeln von E-Mail-Adressen. Die gesammelten E-Mail-Adressen können z. B. für das Versenden von Spam (meist Phishing-Mails) oder Schadsoftware genutzt werden.
  • Das Skimming (das betrügerische Auslesen von Zahlungsdaten). Betrüger können damit entweder Geld von Ihrem Konto abheben oder sich kostenfrei Produkte bestellen (von Ihnen bezahlt).
  • Das Aufspüren von Softwareschwachstellen.
  • Das Mining von Kryptowährungen.
  • Das Durchführen von Werbebetrug.
  • Das Herunterladen und Verbreiten von illegalen Materialien. Hier werden geheime Bereiche Ihrer Festplatte als Zwischenablage genutzt.
Botnetz Einsatzzwecke
Die Einsatzzwecke / Einkommensarten der Botnetze.

Wie erkennt man ein Botnetz?

Haben Sie sich eine Schadsoftware eingefangen und sind Teile eines Botnetzes, wird Ihnen in der Regel nur noch ein Antivirenprogramm bei der Identifizierung der Schadsoftware helfen. Anzeichen für den Befall Ihres Rechners können sich aber auch in abnormem Verhalten des Computers äußern:
  • Verlangsamte Systemzugriffe: Die betroffenen Computer lasten oftmals einen großen Teil ihrer Rechenleistung damit aus, für die Botnetz-Betreiber zu arbeiten.
  • Plötzlich auftretende Speicherprobleme.
  • Dubiose Fehlermeldungen unter Microsoft Windows oder anderen Betriebssystemen.
  • Infizierte Computer bauen eine Verbindung zum sogenannter Command & Control-Server auf und erhalten darüber ihre Befehle. Aktuelle Kompromittierungs­indikatoren (IoCs) können Administratoren dabei helfen, schädliche Aktivitäten im System zu erkennen.
Falls Sie sicher sind, dass Ihr System infiziert wurde und Teil eines Botnetzes ist: Umgehend neu aufsetzen.

Wie lassen sich Botnetz-Infektionen verhindern?

Botnetze fungieren als eine der wichtigsten Infrastrukturen für Internet-Kriminalität und daher ist jeder Rechner, der davor geschützt ist, ein wichtiger Schritt zur Bekämpfung dieser. Ganze Informationsportale wurden bereits eingerichtet, um präventiv zu wirken, aber auch um eventuelle Infektionen zu bekämpfen.

Hier die wichtigsten Schritte:
  • Führen sie in regelmäßigen Abständen Sicherheitsupdates Ihres Betriebssystems durch.
  • Halten Sie alle Programme durch Updates auf dem aktuellen Stand.
  • Nutzen Sie unter keinen Umständen End-of-Life-Programme (z. B. Windows 7) weiter, denn diese Programme erhalten keine Sicherheitsupdates mehr.
  • Aufpassen sollten Sie vor allem bei Mail-Anhängen mit der Endung .exe, .bat, .com, .vbs, .sys, .reg. Oft wenden Cyberkriminelle einen Trick an: Sie tarnen ihre Schadprogramme als Bild- oder PDF-Datei - zum Beispiel „dokument.pdf.exe". Ist in Windows die Anzeige der Dateinamenerweiterungen deaktiviert, sieht der Schädling auf den ersten Blick wie ein harmloses PDF-Dokument aus („dokument.pdf"). Deshalb sollten Sie Dateiendungen immer anzeigen lassen. Dafür gehen Sie im Windows Explorer ins Menü „Ansicht" und setzen ein Häkchen bei „Dateinamenerweiterungen".
  • Spam-Mails füllen täglich das Postfach vieler Nutzer. Viele dieser Mails beinhalten Links zu Malware und sollten daher umgehend gelöscht werden. Abhilfe gegen Spam-Mails schaffen die meisten Mailprogramme. So gibt es Mailprogramme (z. B. Thunderbird), die einen Junkmail-Ordner im System standardmäßig eingerichtet haben. Dieser erkennt unerwünschte Nachrichten, fängt sie ab und speichert sie im besagten Ordner.
  • Nutzen Sie einen Virenscanner.
  • Installieren Sie eine Firewall. Eine Firewall ist eine Sicherheitskomponente, die als Übergang zwischen zwei zu trennenden Netzwerken eingesetzt wird. In der Regel wird auf diese Weise ein lokales Netzwerk vom Internet getrennt. Dabei kann eine Firewall sowohl Hardware- als auch Softwareelemente beinhalten. Auf einer definierten Sicherheitspolitik basierend erlaubt eine Firewall nur bestimmte hineinkommende und herausgehende Verbindungen. Die Entscheidungen, welche Verbindungen erlaubt bzw. verboten werden, werden mithilfe von Filterregeln getroffen. Solche Filterregeln beinhalten z. B. Angaben über den Quell- und den Zielrechner, Transport- und Dienstprotokolle, den jeweiligen Benutzer, usw.. Da allerdings auch mit dem Einsatz einer Firewall keine absolute Sicherheit garantiert werden kann, sollten Log-Mechanismen eingesetzt werden, um die Ereignisse im Nachhinein überprüfen zu können. So können sowohl fehlgeschlagene als auch erfolgreiche Angriffe ggf. erkannt und zur Überarbeitung der getroffenen Sicherheitsmaßnahmen genutzt werden.
  • Seien Sie wachsam: Wenn Ihr Computer plötzlich langsamer wird oder irgendwelche Fenster aufgehen, ohne dass Sie dies veranlasst haben, sollten Sie prüfen, ob Ihr Computer vielleicht Teil eines Botnetzes ist.
Weitere Sicherheitstipps

IoT-Botnetze nutzen erfolgreich Standardpasswörter

75 Milliarden Geräte werden bis 2025 weltweit in das Internet der Dinge (IoT) eingebunden sein. Damit eröffnen sich neue Chancen, aber auch neue Gefahren. Denn auch unzureichend geschützte Smart-Home Geräte (z. B. Kameras oder Sprachassistenten) können gekapert und Teil eines Botnetzes werden.

Seit 2016 ist zum Beispiel das „Mirai“-Botnet aktiv. „Mirai“ infiziert anfällige IoT-Geräte, die einfache oder voreingestellte Standardpasswörter verwenden - Smart-TVs, Multi-Media-Center, DSL-Router und sonstige Smart-Home-Geräte.

Mirai Botnet
Betrieb und Kommunikation des Mirai-Botnetzes.

Standardpasswörter sollten bei der Inbetriebnahme umgehend geändert werden (wenn möglich)! Verwenden Sie möglichst viele Zeichen. Grundsätzlich ist zu sagen, dass ein Passwort immer sicherer wird, je länger und komplexer es wird. Verwenden Sie niemals Namen oder Kosenamen. Auch persönliche Zahlen wie das Geburtsdatum sind leicht zu erraten. Verwenden Sie sowohl Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Die Mischung machts. Passwörter, die nur aus Buchstaben oder nur aus Zahlen bestehen, sind deutlich leichter zu knacken.

Aber wie merkt man sich solch ein Passwort-Monstrum? Nun, zum einen könnte man einen kostenlosen Passwort-Manager nehmen - zum Beispiel KeePass. Oder man arbeitet mit einem Merksatz. Das menschliche Gehirn kann sich einen Satz besser merken als eine kryptische Zeichenfolge. Gehen wir davon aus, dass unsere Passwörter immer mit einem * beginnen und mit einem # enden. Die Zeichen sind von jedem frei wählbar. Es können auch beliebige andere Zeichen sein. Dazwischen packen wir einen Merksatz, zum Beispiel: Schneewittchen und die 7 Zwerge gehen in den Wald und fällen 23 Bäume.

Wir nehmen von Schneewittchen das „S“ als ersten Buchstaben unseres Passworts. Das nächste Wort ist ein „und“, das durch ein "&" dargestellt werden kann. Und so machen wir weiter. Heraus kommt als Passwort: *S&d7ZgidW&f23B!#

Das Passwort hat 17 Stellen und enthält Sonderzeichen, Großbuchstaben, Kleinbuchstaben und Ziffern. Je länger und komplexer das Passwort wird, desto sicherer ist es. IT-Infrastrukturen, bestehend aus einer Vielzahl von Anwendungen & Geräten, sollten möglichst komplizierte Passwörter haben. Und bitte nicht überall das gleiche Passwort verwenden, sondern für jeden Dienst ein anderes.

Lesen Sie auch: Sichere Passwörter

Einzelnachweise

  1. golem.de: Mirai-Botnetz legte zahlreiche Webdienste lahm
  2. bsi.bund.de: Bericht zur Lage der IT-Sicherheit vorgestellt
↑ Nach oben