Was ist ein Botnet (Botnetz)?
7. März 2020 | Autor:
Felix Bauer

Felix Bauer
Felix Bauer hat bereits 20 Jahre Erfahrung in der IT-Sicherheitsbranche.
Seit einigen Jahren beschäftigt sich Felix Bauer intensiv mit Virenscannern und deren verhaltensbasierte Erkennung. In seinem Blog berichtet er regelmäßig über aktuelle Themen zum Thema IT-Sicherheit.
Akademischer Grad: Felix Bauer besitzt den Abschluss Master of Science in Security and Forensic Computing.


Was ist ein Botnet?
Botnetze sind Netzwerke aus vielen einzelnen Rechnern, die mit Schadsoftware infiziert wurden und dadurch zum Werkzeug für Cyberkriminelle werden. Infizierte Computer werden auch Zombies genannt, da sie meist wie eine Horde Zombies agieren. Laut dem Bundesamt für Sicherheit in der Informationstechnik werden täglich bis zu 110.000 Botnetz-Infektionen deutscher Systeme registriert[2].Dem Angreifer ist es möglich, mit den infizierten Rechnern zu kommunizieren und ihnen Anweisungen zu senden. Diese Kommunikation wird meist über einen Internet Relay Chat (kurz: IRC) getätigt. Meist bemerken betroffene User den Befall nicht, aber im Hintergrund wird der „Bot“ beispielsweise dazu verwendet Spam zu versenden, oder um andere Computer zu infizieren, um das Botnetz zu vergrößern. Denn je größer das Botnetz, desto effektiver können damit auch gut geschützte Systeme (wie z.B. Firmenserver mit Passwortdatenbanken) angegriffen werden.
Grafische Darstellung: Infizierte Computer (Bots), die vom Botnetz-Betreiber koordiniert für einen bestimmten Zweck eingesetzt werden.
Die Einsatzzwecke von Botnets
Von Bots befallene Computersysteme sind in der Regel zu Netzwerken, den Botnets, zusammengeschlossen und dienen dazu, kriminelle Aktionen im Internet auszuführen. Oft werden Botnetze für sogenannte DDoS–Attacken (Distributed Denial of Service-Attacken) verwendet. Vereinfacht greifen dabei alle infizierten Rechner eines Netzwerks auf eine Online-Ressource zu, woraufhin diese überlastet und zusammenbricht. Die notwendige Größe des Botnetzes richtet sich nach der erwarteten technischen Leistungsfähikeit des anvisierten Ziels. Eine DDoS-Attacke kann einen enormen Schaden anrichten. Wird zum Beispiel ein Online-Shop erfolgreich angegriffen, ist dieser für die Dauer der Attacke nicht erreichbar. Dies hat direkte Umsatzeinbußen zur Folge, was den Angreifern ein Erpressungspotenzial bietet. Ein Botnet kann mehrfach für DDoS-Attacken verwendet werden, die Einnahmen sind somit wiederkehrend.Besonders heimtückisch ist, dass zusätzlich zur größeren Durchschlagskraft auch noch die Spuren verschleiert werden, da es aussieht, als hätten ganz normale Heimrechner den Angriff durchgeführt. Um mögliche Beweise zu entfernen, können Bots auch auf Befehl des Botnetz-Betreibers entfernt werden.
Weitere Einsatzzwecke:
- Das Sammeln von E-Mail-Adressen. Die gesammelten E-Mail-Adressen können z.B. für das Versenden von Spam (meist Phishing-Mails) oder Schadsoftware genutzt werden.
- Das Skimming (das betrügerische Auslesen von Zahlungsdaten). Betrüger können damit entweder Geld von Ihrem Konto abheben oder sich kostenfrei Produkte bestellen (von Ihnen bezahlt).
- Das Aufspüren von Softwareschwachstellen.
- Das Mining von Kryptowährungen.
- Das Durchführen von Werbebetrug.
- Das Herunterladen und Verbreiten von illegalen Materialien. Hier werden geheime Bereiche Ihrer Festplatte als Zwischenablage genutzt.
Die Einsatzzwecke / Einkommensarten der Botnetze.
Wie erkennt man ein Botnetz?
Haben Sie sich eine Schadsoftware eingefangen und sind Teile eines Botnetzes, wird Ihnen in der Regel nur noch ein Antivirenprogramm bei der Identifizierung der Schadsoftware helfen. Anzeichen für den Befall Ihres Rechners können sich aber auch in abnormem Verhalten des Computers äußern:- Verlangsamte Systemzugriffe: Die betroffenen Computer lasten oftmals einen großen Teil ihrer Rechenleistung damit aus, für die Botnetz-Betreiber zu arbeiten.
- Plötzlich auftretende Speicherprobleme.
- Dubiose Fehlermeldungen unter Microsoft Windows oder anderen Betriebssystemen.
- Infizierte Computer bauen eine Verbindung zum sogenannter Command & Control-Server auf und erhalten darüber ihre Befehle. Aktuelle Kompromittierungsindikatoren (IoCs) können Administratoren dabei helfen, schädliche Aktivitäten im System zu erkennen.
Wie lassen sich Botnetz-Infektionen verhindern?
Botnetze fungieren als eine der wichtigsten Infrastrukturen für Internet-Kriminalität und daher ist jeder Rechner, der davor geschützt ist, ein wichtiger Schritt zur Bekämpfung dieser. Ganze Informationsportale wurden bereits eingerichtet, um präventiv zu wirken, aber auch um eventuelle Infektionen zu bekämpfen.Hier die wichtigsten Schritte:
- Führen sie in regelmäßigen Abständen Sicherheits-Updates Ihres Betriebssystems durch.
- Halten Sie alle Programme durch Updates auf dem aktuellen Stand.
- Nutzen Sie unter keinen Umständen End-of-Life-Programme (z.B. Windows 7) weiter, denn diese Programme erhalten keine Sicherheitsupdates mehr.
- Aufpassen sollten Sie vor allem bei Mail-Anhängen mit der Endung .exe, .bat, .com, .vbs, .sys, .reg. Oft wenden Cyberkriminelle einen Trick an: Sie tarnen ihre Schadprogramme als Bild- oder PDF-Datei - zum Beispiel „dokument.pdf.exe". Ist in Windows die Anzeige der Dateinamenerweiterungen deaktiviert, sieht der Schädling auf den ersten Blick wie ein harmloses PDF-Dokument aus („dokument.pdf"). Deshalb sollten Sie Dateiendungen immer anzeigen lassen. Dafür gehen Sie im Windows Explorer ins Menü „Ansicht" und setzen ein Häkchen bei „Dateinamenerweiterungen".
- Nutzen Sie einen Virenscanner.
- Seien Sie wachsam: Wenn Ihr Computer plötzlich langsamer wird oder irgendwelche Fenster aufgehen, ohne dass Sie dies veranlasst haben, sollten Sie prüfen, ob Ihr Computer vielleicht Teil eines Botnetzes ist.
IoT-Botnetze nutzen erfolgreich Standardpasswörter
75 Milliarden Geräte werden bis 2025 weltweit in das Internet der Dinge (IoT) eingebunden sein. Damit eröffnen sich neue Chancen, aber auch neue Gefahren. Denn auch unzureichend geschützte Smart-Home Geräte (z. B. Kameras oder Sprachassistenten) können gekapert und Teil eines Botnetzes werden.Seit 2016 ist zum Beispiel das „Mirai“-Botnet aktiv. „Mirai“ infiziert anfällige IoT-Geräte, die einfache oder voreingestellte Standardpasswörter verwenden - Smart-TVs, Multi-Media-Center, DSL-Router und sonstige Smart-Home-Geräte.
Betrieb und Kommunikation des Mirai-Botnetzes.
Standardpasswörter sollten bei der Inbetriebnahme umgehend geändert werden (wennn möglich)! Verwenden Sie möglichst viele Zeichen. Grundsätzlich ist zu sagen, dass ein Passwort immer sicherer wird, je länger und komplexer es wird. Verwenden Sie niemals Namen oder Kosenamen. Auch persönliche Zahlen wie das Geburtsdatum sind leicht zu erraten. Verwenden Sie sowohl Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Die Mischung macht´s. Passwörter, die nur aus Buchstaben oder nur aus Zahlen bestehen, sind deutlich leichter zu knacken.
Aber wie merkt man sich solch ein Passwort-Monstrum? Nun, zum einen könnte man einen kostenlosen Passwort Manager nehmen - zum Beispiel KeePass. Oder man arbeitet mit einem Merksatz. Das menschliche Gehirn kann sich einen Satz besser merken als eine kryptische Zeichenfolge. Gehen wir davon aus, dass unsere Passwörter immer mit einem * beginnen und mit einem # enden. Die Zeichen sind von jedem frei wählbar. Es können auch beliebige andere Zeichen sein. Dazwischen packen wir einen Merksatz, zum Beispiel: Schneewittchen und die 7 Zwerge gehen in den Wald und fällen 23 Bäume
Wir nehmen von Schneewittchen das „S“ als ersten Buchstaben unseres Passworts. Das nächste Wort ist ein „und“, das durch ein "&" dargestellt werden kann. Und so machen wir weiter. Heraus kommt als Passwort: *S&d7ZgidW&f23B!#
Das Passwort hat 17 Stellen und enthält Sonderzeichen, Großbuchstaben, Kleinbuchstaben und Ziffern. Je länger und komplexer das Passwort wird, desto sicherer ist es. IT-Infrastrukturen, bestehend aus einer Vielzahl von Anwendungen & Geräten, sollten möglichst komplizierte Passwörter haben. Und bitte nicht überall das gleiche Passwort verwenden, sondern für jeden Dienst ein anderes.
Siehe auch: Sichere Passwörter
Einzelnachweise
- ↑ golem.de: Mirai-Botnetz legte zahlreiche Webdienste lahm
- ↑ bsi.bund.de: Bericht zur Lage der IT-Sicherheit vorgestellt