Security Onlinemagazin
  1. deftipps.com > 
  2. IT Security > 
  3. Botnet

Botnet

Geheimnisvolle Armee künstlicher Intelligenz beherrscht das Internet?

Sie manipulieren Wahlen, unterhalten Fake-Profile in sozialen Netzwerken, kennen unsere Kreditkartendaten und machen eine Menge Geld für Cyberkriminelle. Botnetze haben Computer weltweit gekapert, die Rede ist von einem dreistelligen Millionenbereich. Keiner weiß, welche Geräte schon Zombies sind ...

Botnetze stellen eine reale Gefahr dar. Zugegeben: Der obige Absatz ist reißerisch formuliert. Aber tatsächlich sind Botnetze einer der wichtigsten und leistungsstärksten Einnahmequellen von Cyberkriminellen. Das größte bislang entdeckte Botnetz hatte 30 Millionen Computer manipuliert. Die meisten Besitzer und Besitzerinnen bemerken das nicht.

Botnet: Was ist das?

Als Botnet bezeichnet man ein Netzwerk aus Computern, die von einem sogenannten Botmaster gesteuert werden. Diese Fremdsteuerung funktioniert im Hintergrund. Man bezeichnet die einzelnen Geräte des Botnetzes auch als Zombie-PCs. Konventionell geht man davon aus, dass Desktop-Rechner in einem Botnet versklavt werden. Das ist aber nicht korrekt, auch mobile Endgeräte wie Laptops, Tablet-PCs, internetfähige E-Reader, Smartphones und sogar smarte Haushaltsgeräte mit Internetverbindung können davon betroffen sein. Bot ist die Kurzform des englischen Worts Robot. Der Bot wird als Schadprogramm auf das betroffene Gerät eingeschleust.

Ein Botnet ist technisch gesehen ein Distributiv Computing Network. Auf deutsch würde man das als einen Zusammenschluss voneinander unabhängiger Computer bezeichnen, die zwar untereinander kommunizieren können, aber völlig getrennt voneinander ihre vorgesehen Aufgabe ausführen.

Wie entsteht ein Botnet?

Ein Botnet entsteht dann, wenn jemand über Schadsoftware Bots auf fremde digitale Geräte schleust, um sie über diese Schadsoftware zu steuern. Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, befasst sich auch mit Botnetzen. Allein im ersten Quartal 2015 zählte man hier täglich um die 60.000 Neuinfektionen.

Wenn der eigene PC Teil eines Botnets wird, beginnt das oft auf einer infizierten Webseite. Besucht man diese Seite ohne Webschutz, wird Schadcode installiert. Aber auch E-Mails haben bisweilen im Anhang versteckten Code, der die Installation des Bots initiiert. Mit harmlosen Programmen, die Nutzer und Nutzerinnen laden, können Trojaner installiert werden, die einem nachfolgenden Bot unter Umständen die Türen in das digitale Gerät öffnen. Botnetze darf man sich wie ein Spinnennetz vorstellen, denn infizierte PCs und andere Geräte sind untereinander ebenfalls vernetzt und tragen die Infektion auch weiter. Der Internetverband Eco geht davon aus, dass in Deutschland jeder dritte PC infiziert und damit Teil eines Botnets ist.

Wie hängt das Botnet mit DDoS zusammen?

Was genau passiert bei einem DDoS-Angriff? Von einem DDoS-Angriff spricht man dann, wenn Hacker die Kontrolle über Netzwerke erlangen, die aus mehreren mit dem Internet verbundenen Endgeräten bestehen. Dabei muss es sich nicht um PCs und Smartphones handeln, sondern jedes IoT-Gerät fällt in diese Kategorie. Malware oder Schadprogramme sorgen dafür, dass die infizierten Geräte aus der Ferne für Clickbaiting, Spam-Versand oder sogar Bitcoin-Mining verwendet werden können. Das alles ist aber noch keine DDoS-Attacke. Eine DDoS-Attacke liegt Ann vor, wenn unzählige Geräte zeitgleich eine Anfrage an ein Zielsystem wie beispielsweise einen Webserver richten. Der Sinn dahinter: Durch die vielen zeitgleichen Anfragen wird das Zielnetzwerk komplett überlastet und bricht für den normalen oder legitimen Datenverkehr zusammen. Man spricht von einem Denial-of-Service, einer Dienstverweigerung. So einer DDoS-Attacke kann man über eine hohe Bandbreite, eine redundante Infrastruktur und weiteren Maßnahmen vorbeugen. DDoS-Angriffe funktionieren nur, wenn der Angreifer eine Vielzahl von Geräten befehligt - und das sind in der Regel gekaperte Geräte, also ein Botnet.

Was ist ein Botnet Angriff?

Tatsächlich sind die Botnet Angriffe ganz unterschiedlich geartet, abhängig von dem Zweck der Netzwerke. Als Beispiel darf hier Dridex dienen. Das Botnet soll Bank- und Kreditkartendaten von Rechnern stehen, die Teil des Netzwerkes sind. Man spricht hier von infizierten Rechnern. Den Betreibern von Dridex wird unter anderem kriminelle Verschwörung vorgeworfen, aber auch unautorisierter Zugriff auf fremde Computer und Beschädigung von Computern. Der Kreditkartenbetrug ist nur einer von vielen verschiedenen Vorwürfen. Einige Server der Betreiber von Dridex wurden 2015 von Mitarbeitern des FBI beschlagnahmt, aber das Botnet scheint noch aktiv zu sein. Botnetze sind aber selbst auch nicht gegen Angriffe gefeit. Sicherheitsexperten vermuten, dass Dridex im Frühjahr 2016 von Hackern gekapert wurde. Das Netzwerk verteilte bis in den Juni 2016 Antivirensoftware, seitdem konnten keine weiteren Aktivitäten festgestellt werden. Die Infrastruktur von Dridex ist nicht mehr sichtbar. De facto ist aber nicht bekannt, ob das Botnet noch existiert. Wie ist die zwischenzeitliche zweckentfremde Nutzung von Dridex zu werten? War das Verteilen von Antivirensoftware auf fremden, versklavten Rechnern auch ein Angriff?

Wofür werden Botnets verwendet?

Botnetze dienen dem Datendiebstahl, führen DDoS-Attacken aus oder versenden Spam-Mails. Aber nicht immer sind Botnetze etwas Negatives. Sie können auch zu guten Zwecken genutzt werden, wie das Beispiel des (zugegebenermaßen gekaperten) Botnets Dridex zeigt.

Sogar die Universität Berkeley in den USA bietet einen Code für einen Botnet-Client an. Der wird als gutartig bezeichnet und ist legal. Der Zweck dieses Netzes: Viele private Computer werden zusammengeschlossen, was die IT-Kosten für die einzelnen Forschungsprojekte reduziert. Die Leistungskraft der so zusammengeschlossenen Rechner nutzen die Forscher, um nach intelligentem Leben im Weltraum zu suchen. Die Mehrzahl der Botnetze ist tatsächlich bösartig und agiert gegen den Willen der rechtmäßigen Geräte-Besitzer und -Besitzerinnen.

Die sogenannten Zombie-PCs und digitalen Endgeräte werden gerne genutzt, um Spam zu verteilen. Phishing-Mails gehen von diesen Computern aus, manche Botnetze dienen aber auch einfach als Speicherplatz. Und in wieder anderen Fällen wollen die Betreiber sensible Nutzerdaten abrufen. Die werden nicht immer von den Tätern selbst verwendet. Im Darknet bringen Datensätze viel Geld ein. Die aber vermutlich wichtigste Funktion der verschiedenen Botnetze ist, dass jeder Computer, der zum Zombie-PC wurde, wiederum eine Verbindung zu anderen Geräten herstellen kann. So wird der Ursprung verschleiert, denn die originale Adresse, von der das Botnetz einmal ausging, ist irgendwann nicht mehr nachvollziehbar. Viele PCs dienen sollen eine Art Kettenreaktion auslösen.

Was ist das Besondere am Mobile Botnet?

Es gibt Botnetze, die überwiegend aus PCs bestehen, und es gibt mobile Botnets. Typischerweise bestehen sie aus vielen gekaperten Endgeräten, die über C&C-Server (kurz für Command-and-Control-Server) gesteuert werden. Die gekaperten Geräte kommunizieren immer mit dem Botmaster, und sie führen Aufgaben für ihn aus. Allerdings werden mobile Botnets auch gerne an andere vermietet, um Auftragsarbeiten durchzuführen - der Botmaster lässt sich also für einen Mietservice bezahlen. Besonders gefährlich ist dabei, dass mobile Endgeräte meist dauerhaft mit dem Internet verbunden sind. Sie stehen dem Botmaster also 24/7 zur Verfügung. Auf Smartphones finden Botmaster Zugriff auf private wie auch berufliche Daten, weil die meisten Geräte für beides genutzt werden. Mobile Endgeräte sind selten mit Antiviren-Software geschützt, was die Übernahme der Geräte vereinfacht. Zudem überwachen die meisten Menschen ihre Datenverbindungen nicht ausreichend. Die zahlreichen, dauerhaft eingeschalteten Verbindungen können zudem andere Geräte leichter infizieren.

Wie kann ich den Angriff eines Botnets erkennen?

Generell legen es die Betreiber von Botnetzen darauf an, eben nicht bemerkt zu werden. Deshalb ist es schwer zu erkennen, ob ein digitales Gerät infiziert und versklavt ist. Manchmal bemerkt man, dass die Internetverbindung extrem langsam geworden ist und unter hoher Auslastung vielleicht sogar immer wieder zusammenbricht. Ist der eigene Datenverbrauch unverändert, kann das ein Hinweis auf eine Infektion sein. Aber hinter einer langsamen Internetverbindung können auch andere Schadprogramme stecken, es muss kein Botnet sein.

Virenscanner erkennen manche Botnetze, wenn auch nicht alle. Schlägt der Virenscanner Alarm, ist das ein ganz sicheres Zeichen für eine Infektion. Manchmal reicht es aber schon aus, den Task-Manager im Blick zu behalten. Dort sollten sich nicht einfach neue, sehr merkwürdige Prozesse abspielen. Ist das doch der Fall, kann ein Schadprogramm oder schlimmstenfalls ein Botnet dahinter stecken. Auch die Autostart-Einträge sind eine zuverlässige Anzeigetafel.

Wie kann ich mich gegen ein Botnet schützen?

Ein zuverlässiger Virenschutz ist der erste Schritt, wenn man sich gegen Botnetze schützen will. Außerdem sollte die Firewall sorgfältig konfiguriert werden. Wichtig ist auch, nur mit einem aktuellen Browser ins Netz zu gehen. Denn die Updates schließen immer wieder Sicherheitslücken, die andernfalls von Kriminellen genutzt werden. Idealweise aktualisieren sich Sicherheitssoftware und Programme automatisch, um die bekannten Lücken immer so schnell wie möglich zu schließen. Auch der E-Mail-Schutz vieler Sicherheitslösungen ist sinnvoll.

E-Mail Anhänge, die man nicht sofort identifizieren kann (beispielsweise Rechnungen) sollte man bei anklicken oder gar öffnen. Und ist die E-Mail auch noch in unzureichender Rechtschreibung oder Grammatik verfasst, dürfen die darin enthaltenen Links zu Bankseiten oder Shopping-Plattformen auf keinen Fall geklickt werden. Das gilt auch dann, wenn die E-Mails auf dem Smartphone abgerufen werden. Ein weiterer Trick, der besonders für den PC funktioniert, ist der Administrator-Account. Neben dem Account mit Administratorrechten sollte ein zweites Benutzerkonto angelegt sein, das für die tägliche Nutzung des PCs herhalten muss. Das stellt sicher, dass Schadprogramme niemals tiefer in das System vordringen können. Denn wirklich uneingeschränkt arbeiten können diese Programme nur, wenn sie über den Administrator-Account Zugriff auf das gesamte System haben.

Warum und wie ist es möglich, ein Botnet zu mieten?

2016 wurde das Mirai-Botnet zur Miete angeboten, darin enthalten: 400.000 IoT-Geräte. Angeboten wurde das DDoS-Tool Mirai von zwei Hackern. 2020 war Mirai wieder in den Medien, diesmal als König der IoT-Malware. Das Mirai-Botnet war im Oktober 2020 noch aktiv und infizierte vor allem Geräte in Heim-Netzwerken, richtete aber tatsächlich in Unternehmen und globalen Konzernen den größten Schaden an. Interessanterweise ist der Quellcode von Mirai seit 2016 in Hacker-Foren öffentlich und wird seitdem immer wieder bearbeitet, verbessert und verändert. Deshalb ist Mirai so schwer unschädlich zu machen. Die Tendenz zum Homeoffice während der Corona-Krise wurde daher mit Besorgnis gesehen, und tatsächlich lebten Mirai-basierte Schadprogramme auf.

Botnetze können also in den einschlägigen Foren gemietet oder gekauft werden. Allerdings zeigt nicht nur das Beispiel der Universität Berkeley, dass Botnetze durchaus positive Funktionen erfüllen können. Innerhalb von Unternehmen und Forschungseinrichtungen können sie sinnvolle Aufgaben erfüllen. Wichtig ist dann aber, dass die Besitzer und Besitzerinnen der digitalen Geräte um den Bot wissen und sich Einfachstanden erklären. Das ist bei legaler Nutzung Voraussetzung. Wenn man es ganz genau nimmt, sind sogar die Webcrawler der Suchmaschinen Bots - sie heißen sogar Searchbot.

Fazit

Sicherheit geht vor: Gegen Botnetze sollten digitale Endgeräte aller Art gut geschützt werden. Denn der Schaden, den die vernetzten Computer im Hintergrund anrichten, ist enorm. Sogar für mobile Endgeräte gibt es inzwischen wirkungsvolle Tools, die das Gerät bei einem entsprechenden Angriff schützen. Das ist wichtig, denn allzu oft werden auch legale Anwendungen gehackt und mit Trojanern infiziert, sodass in der Folge Bots installiert werden können.

Quellen und weiterführende Informationen:

www.heise.de/security/meldung/Kriminelle-bieten-Mirai-Botnetz-mit-400-000-IoT-Geraeten-zur-Miete-an-3504584.html
it-service.network/blog/2020/10/16/mirai-botnet/
www.heise.de/security/artikel/Wie-einfach-sogar-Noobs-DDoS-Attacken-ausfuehren-koennen-4206303.html
www.gdata.de/ratgeber/was-ist-eigentlich-ein-botnet
www.ionos.de/digitalguide/server/sicherheit/was-ist-ein-botnet/
www.informatik-aktuell.de/betrieb/sicherheit/botnetze-funktionsweise-und-betrieb.html

Autor: 
Zuletzt überarbeitet: 26. August 2021