Sie sind hier:
Facebook Icon Twitter Icon

Was ist ein Botnet (Botnetz)?

7. März 2020 von , IT-Sicherheitsexperte

Felix Bauer

Felix Bauer
Felix Bauer
Felix Bauer beriet bereits zahlreiche Unternehmen als IT-Sicherheitsexperte. Er schrieb zahlreiche Fachartikel für IT-Fachmagazine (u. a. für Computerwelt, Heise und Mimikama). Zudem findet er Erwähnung in diversen Büchern sowie in Fach- und News-Beiträgen (u. a. in der Wiener Zeitung und in der Computerworld). Schauen Sie sich seine Referenzen an.

Aktuell arbeitet Felix Bauer als Security Consultant, in einer IT-Security Abteilung eines großen deutschen Unternehmens. Er hat bereits 20 Jahre Erfahrung in der IT-Sicherheitsbranche. Er interessiert sich seit seiner Jugend für Netzwerksicherheit und speziell für Intrusion Detection. Publikationen von Schwachstellenbeschreibungen in Bezug auf diverse Webapplikationen wurden bisher unter einem Pseudonym veröffentlicht.

Spezialgebiete: Intrusion Detection, Penetration Testing of Web Applications, Network-, System-Security Analysis and Firewalling.

Seit einigen Jahren beschäftigt er sich intensiv mit Virenscannern und deren verhaltensbasierte Erkennung.

Akademischer Grad: Felix Bauer besitzt den Abschluss Master of Science in Security and Forensic Computing.

Er ist OpenSource-Evangelist.

Twitter Homepage
2017 legte „Mirai“ mit 100.000 infizierten Geräten einen DNS-Knoten lahm. Die Folge: Viele große Seiten wie Amazon, Netflix und Twitter waren nicht mehr erreichbar[1]. Möglich sind solch breit angelegte Angriffe durch sogenannte Botnetze. Was das genau ist, und wie man sich davor schützen kann, erfahren Sie in diesem Artikel.
Inhaltsverzeichnis
  1. Was ist ein Botnet?
  2. Die Einsatzzwecke von Botnets
  3. Wie erkennt man ein Botnetz?
  4. Wie lassen sich Botnet-Infektionen verhindern?
  5. IoT-Botnetze nutzen erfolgreich Standardpasswörter
  6. Einzelnachweise

Was ist ein Botnet?

Botnetze sind Netzwerke aus vielen einzelnen Rechnern, die mit Schadsoftware infiziert wurden und dadurch zum Werkzeug für Cyberkriminelle werden. Infizierte Computer werden auch Zombies genannt, da sie meist wie eine Horde Zombies agieren. Laut dem Bundesamt für Sicherheit in der Informationstechnik werden täglich bis zu 110.000 Botnetz-Infektionen deutscher Systeme registriert[2].

Dem Angreifer ist es möglich, mit den infizierten Rechnern zu kommunizieren und ihnen Anweisungen zu senden. Diese Kommunikation wird meist über einen Internet Relay Chat (kurz: IRC) getätigt. Meist bemerken betroffene User den Befall nicht, aber im Hintergrund wird der „Bot“ beispielsweise dazu verwendet Spam zu versenden, oder um andere Computer zu infizieren, um das Botnetz zu vergrößern. Denn je größer das Botnetz, desto effektiver können damit auch gut geschützte Systeme (wie z.B. Firmenserver mit Passwortdatenbanken) angegriffen werden.

Botnet Beispiel
Grafische Darstellung: Infizierte Computer (Bots), die vom Botnetz-Betreiber koordiniert für einen bestimmten Zweck eingesetzt werden.

Die Einsatzzwecke von Botnets

Von Bots befallene Computersysteme sind in der Regel zu Netzwerken, den Botnets, zusammengeschlossen und dienen dazu, kriminelle Aktionen im Internet auszuführen. Oft werden Botnetze für sogenannte DDoS–Attacken (Distributed Denial of Service-Attacken) verwendet. Vereinfacht greifen dabei alle infizierten Rechner eines Netzwerks auf eine Online-Ressource zu, woraufhin diese überlastet und zusammenbricht. Die notwendige Größe des Botnetzes richtet sich nach der erwarteten technischen Leistungsfähikeit des anvisierten Ziels. Eine DDoS-Attacke kann einen enormen Schaden anrichten. Wird zum Beispiel ein Online-Shop erfolgreich angegriffen, ist dieser für die Dauer der Attacke nicht erreichbar. Dies hat direkte Umsatzeinbußen zur Folge, was den Angreifern ein Erpressungspotenzial bietet. Ein Botnet kann mehrfach für DDoS-Attacken verwendet werden, die Einnahmen sind somit wiederkehrend.

Besonders heimtückisch ist, dass zusätzlich zur größeren Durchschlagskraft auch noch die Spuren verschleiert werden, da es aussieht, als hätten ganz normale Heimrechner den Angriff durchgeführt. Um mögliche Beweise zu entfernen, können Bots auch auf Befehl des Botnetz-Betreibers entfernt werden.

Weitere Einsatzzwecke:
  • Das Sammeln von E-Mail-Adressen. Die gesammelten E-Mail-Adressen können z.B. für das Versenden von Spam (meist Phishing-Mails) oder Schadsoftware genutzt werden.
  • Das Skimming (das betrügerische Auslesen von Zahlungsdaten). Betrüger können damit entweder Geld von Ihrem Konto abheben oder sich kostenfrei Produkte bestellen (von Ihnen bezahlt).
  • Das Aufspüren von Softwareschwachstellen.
  • Das Mining von Kryptowährungen.
  • Das Durchführen von Werbebetrug.
  • Das Herunterladen und Verbreiten von illegalen Materialien. Hier werden geheime Bereiche Ihrer Festplatte als Zwischenablage genutzt.
Botnetz Einsatzzwecke
Die Einsatzzwecke / Einkommensarten der Botnetze.

Wie erkennt man ein Botnetz?

Haben Sie sich eine Schadsoftware eingefangen und sind Teile eines Botnetzes, wird Ihnen in der Regel nur noch ein Antivirenprogramm bei der Identifizierung der Schadsoftware helfen. Anzeichen für den Befall Ihres Rechners können sich aber auch in abnormem Verhalten des Computers äußern:
  • Verlangsamte Systemzugriffe: Die betroffenen Computer lasten oftmals einen großen Teil ihrer Rechenleistung damit aus, für die Botnetz-Betreiber zu arbeiten.
  • Plötzlich auftretende Speicherprobleme.
  • Dubiose Fehlermeldungen unter Microsoft Windows oder anderen Betriebssystemen.
  • Infizierte Computer bauen eine Verbindung zum sogenannter Command & Control-Server auf und erhalten darüber ihre Befehle. Aktuelle Kompromittierungs­indikatoren (IoCs) können Administratoren dabei helfen, schädliche Aktivitäten im System zu erkennen.

Wie lassen sich Botnetz-Infektionen verhindern?

Botnetze fungieren als eine der wichtigsten Infrastrukturen für Internet-Kriminalität und daher ist jeder Rechner, der davor geschützt ist, ein wichtiger Schritt zur Bekämpfung dieser. Ganze Informationsportale wurden bereits eingerichtet, um präventiv zu wirken, aber auch um eventuelle Infektionen zu bekämpfen.

Hier die wichtigsten Schritte:
  • Führen sie in regelmäßigen Abständen Sicherheits-Updates Ihres Betriebssystems durch.
  • Halten Sie alle Programme durch Updates auf dem aktuellen Stand.
  • Nutzen Sie unter keinen Umständen End-of-Life-Programme (z.B. Windows 7) weiter, denn diese Programme erhalten keine Sicherheitsupdates mehr.
  • Aufpassen sollten Sie vor allem bei Mail-Anhängen mit der Endung .exe, .bat, .com, .vbs, .sys, .reg. Oft wenden Cyberkriminelle einen Trick an: Sie tarnen ihre Schadprogramme als Bild- oder PDF-Datei - zum Beispiel „dokument.pdf.exe". Ist in Windows die Anzeige der Dateinamenerweiterungen deaktiviert, sieht der Schädling auf den ersten Blick wie ein harmloses PDF-Dokument aus („dokument.pdf"). Deshalb sollten Sie Dateiendungen immer anzeigen lassen. Dafür gehen Sie im Windows Explorer ins Menü „Ansicht" und setzen ein Häkchen bei „Dateinamenerweiterungen".
  • Nutzen Sie einen Virenscanner.
  • Seien Sie wachsam: Wenn Ihr Computer plötzlich langsamer wird oder irgendwelche Fenster aufgehen, ohne dass Sie dies veranlasst haben, sollten Sie prüfen, ob Ihr Computer vielleicht Teil eines Botnetzes ist.
Weitere Sicherheitstipps

IoT-Botnetze nutzen erfolgreich Standardpasswörter

75 Milliarden Geräte werden bis 2025 weltweit in das Internet der Dinge (IoT) eingebunden sein. Damit eröffnen sich neue Chancen, aber auch neue Gefahren. Denn auch unzureichend geschützte Smart-Home Geräte (z. B. Kameras oder Sprachassistenten) können gekapert und Teil eines Botnetzes werden.

Seit 2016 ist zum Beispiel das „Mirai“-Botnet aktiv. „Mirai“ infiziert anfällige IoT-Geräte, die einfache oder voreingestellte Standardpasswörter verwenden - Smart-TVs, Multi-Media-Center, DSL-Router und sonstige Smart-Home-Geräte.

Mirai Botnet
Betrieb und Kommunikation des Mirai-Botnetzes.

Standardpasswörter sollten bei der Inbetriebnahme umgehend geändert werden (wennn möglich)! Verwenden Sie möglichst viele Zeichen. Grundsätzlich ist zu sagen, dass ein Passwort immer sicherer wird, je länger und komplexer es wird. Verwenden Sie niemals Namen oder Kosenamen. Auch persönliche Zahlen wie das Geburtsdatum sind leicht zu erraten. Verwenden Sie sowohl Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Die Mischung macht´s. Passwörter, die nur aus Buchstaben oder nur aus Zahlen bestehen, sind deutlich leichter zu knacken.

Aber wie merkt man sich solch ein Passwort-Monstrum? Nun, zum einen könnte man einen kostenlosen Passwort Manager nehmen - zum Beispiel KeePass. Oder man arbeitet mit einem Merksatz. Das menschliche Gehirn kann sich einen Satz besser merken als eine kryptische Zeichenfolge. Gehen wir davon aus, dass unsere Passwörter immer mit einem * beginnen und mit einem # enden. Die Zeichen sind von jedem frei wählbar. Es können auch beliebige andere Zeichen sein. Dazwischen packen wir einen Merksatz, zum Beispiel: Schneewittchen und die 7 Zwerge gehen in den Wald und fällen 23 Bäume

Wir nehmen von Schneewittchen das „S“ als ersten Buchstaben unseres Passworts. Das nächste Wort ist ein „und“, das durch ein "&" dargestellt werden kann. Und so machen wir weiter. Heraus kommt als Passwort: *S&d7ZgidW&f23B!#

Das Passwort hat 17 Stellen und enthält Sonderzeichen, Großbuchstaben, Kleinbuchstaben und Ziffern. Je länger und komplexer das Passwort wird, desto sicherer ist es. IT-Infrastrukturen, bestehend aus einer Vielzahl von Anwendungen & Geräten, sollten möglichst komplizierte Passwörter haben. Und bitte nicht überall das gleiche Passwort verwenden, sondern für jeden Dienst ein anderes.

Siehe auch: Sichere Passwörter

Einzelnachweise

  1. golem.de: Mirai-Botnetz legte zahlreiche Webdienste lahm
  2. bsi.bund.de: Bericht zur Lage der IT-Sicherheit vorgestellt
↑ Nach oben