Wenn ein Online-Dienst unter einer Flut sinnloser Anfragen zusammenbricht, steckt selten ein einzelner Rechner dahinter. Die Last kommt aus Zehntausenden gekaperten Geräten weltweit, deren Besitzer nichts davon ahnen. Solche ferngesteuerten Verbünde heißen Botnets.
Für Unternehmen ist das Thema doppelt relevant: Sie können Ziel von Angriffen aus Botnets werden, und ihre eigenen Geräte können unbemerkt Teil eines Botnets sein. Die Betreiber denken dabei wirtschaftlich: Jedes zusätzliche Gerät senkt ihre Kosten und erhöht ihre Schlagkraft.
Was ist ein Botnet?
Ein Botnet ist ein Netzwerk aus kompromittierten Geräten, auf denen eine Schadsoftware läuft, die sich zentral fernsteuern lässt. Jedes einzelne Gerät wird als Bot oder Zombie bezeichnet, die steuernde Person als Botmaster. Grundsätzlich kann jedes vernetzte System zum Bot werden: Server und Arbeitsplatzrechner ebenso wie Router, Kameras und andere IoT-Geräte. Gerade Letztere sind beliebt, weil sie oft mit Werkspasswörtern laufen, selten Updates erhalten und dauerhaft online sind. Die Stärke eines Botnets liegt in der Masse: Viele schwache Geräte ergeben zusammen eine schlagkräftige Angriffsinfrastruktur. Die Größe reicht von wenigen Hundert bis zu mehreren Millionen Geräten, und für die Besitzer bleibt der Fremdbetrieb meist unsichtbar, weil die Geräte scheinbar normal weiterlaufen.
So funktioniert es
- Infektion: Die Bot-Software verbreitet sich über ungepatchte Schwachstellen, schwache Passwörter und infizierte Downloads. Vieles davon läuft vollautomatisch, denn bestehende Bots durchsuchen das Internet permanent nach neuen Opfern. Bei IoT-Geräten genügen oft schon die ab Werk gesetzten Zugangsdaten.
- Registrierung: Nach der Infektion meldet sich das Gerät bei der Steuerungsinfrastruktur der Angreifer, dem Command-and-Control-Server (C2), und wartet fortan auf Befehle.
- Steuerung: Klassische Botnets nutzen zentrale C2-Server. Modernere verteilen die Steuerung auf die Bots selbst oder wechseln ihre Domains im Minutentakt, um Abschaltungen zu entgehen. Die Kommunikation versteckt sich dabei gern in gewöhnlichem Web-Datenverkehr.
- Ausführung: Der Botmaster sendet einen Befehl, Tausende Geräte führen ihn gleichzeitig aus, vom Anfragensturm auf ein Ziel bis zum automatisierten Durchprobieren gestohlener Passwörter.
- Vermietung: Viele Botnets sind Mietinfrastruktur. Angriffe und Spam-Kampagnen lassen sich im kriminellen Untergrund als Dienstleistung buchen, inklusive Support.
Warum Botnets für Unternehmen wichtig sind
- Verfügbarkeitsrisiko: DDoS-Angriffe aus Botnets legen Webshops und Kundenportale lahm, oft verbunden mit einer Erpressungsforderung.
- Eigene Geräte als Täter: Kompromittierte Systeme im Firmennetz versenden Spam oder greifen Dritte an. Die Folgen reichen von Blocklisten für die eigenen Mailserver bis zu Haftungsfragen.
- Ressourcendiebstahl: Kryptomining-Bots verbrauchen Rechenleistung und Strom. Die Leistungseinbußen wirken lange wie diffuse IT-Probleme.
- Türöffner für Folgeangriffe: Ein Bot im Netz ist ein Fernzugang für Angreifer. Botnets wie einst Emotet dienten als Verteilplattform für Ransomware.
- IoT als blinder Fleck: Kameras, Drucker und Gebäudetechnik tauchen in keiner Endpoint-Verwaltung auf und bleiben ohne Kontrollen im Netzwerk unbeobachtet.
- Compliance und Meldewege: Wird ein eigenes Gerät Teil eines Botnets, liegt ein Sicherheitsvorfall vor, mit denselben Prüf- und Meldepflichten wie bei anderen Angriffen.
Typische Einsatzszenarien
Das bekannteste Szenario ist der DDoS-Angriff: Zehntausende Bots rufen gleichzeitig ein Ziel auf, bis es unter der Last zusammenbricht. Welche Wucht schlecht gesicherte IoT-Geräte entfalten, zeigte 2016 das Mirai-Botnet, das mit gekaperten Kameras und Routern zentrale Internetdienste störte. Daneben verdienen Botnets Geld mit dem Versand von Spam und Phishing, mit Credential Stuffing gegen Kundenkonten, mit Klickbetrug in der Online-Werbung und mit Kryptomining auf fremder Hardware. Ein wachsendes Geschäftsfeld sind Proxy-Dienste: Kriminelle leiten ihren Datenverkehr über gekaperte Geräte um und verschleiern so ihre Herkunft. Für die betroffene Organisation sieht es dann so aus, als kämen Angriffe aus ganz normalen Privathaushalten. Auch Erpressung ohne tatsächlichen Angriff kommt vor: Die bloße Drohung mit einem Anfragensturm, unterlegt mit einer kurzen Demonstration, soll Zahlungen auslösen.
Bot vs. Botnet
Ein Bot ist zunächst ein Programm, das Aufgaben automatisiert ausführt. Das ist für sich genommen weder gut noch schlecht: Suchmaschinen-Crawler und Monitoring-Agenten sind nützliche Bots. Im Sicherheitskontext meint der Begriff ein einzelnes kompromittiertes Gerät unter fremder Kontrolle. Das Botnet ist der Verbund vieler solcher Bots mit gemeinsamer Steuerung. Für die Abwehr sind beide Ebenen relevant. Bot-Management auf Anwendungsebene unterscheidet erwünschte von schädlichen automatisierten Zugriffen auf Webseiten und Schnittstellen. Botnet-Abwehr verhindert dagegen, dass eigene Geräte rekrutiert werden oder dass Angriffe aus Botnets die eigene Infrastruktur treffen. Wer im Alltag von Bot-Traffic spricht, meint übrigens meist die Anwendungsebene, also automatisierte Zugriffe auf Webseiten, unabhängig davon, ob dahinter ein Botnet steht.
Schutz vor Botnets bei KAEMI
KAEMI adressiert beide Seiten des Problems. Mit Application Security auf Basis der Cloudflare-Plattform schützen wir öffentlich erreichbare Anwendungen vor DDoS-Angriffen und schädlichen Bots. Im Inneren verhindert Mikrosegmentierung , dass gekaperte Geräte sich ausbreiten oder unkontrolliert nach außen kommunizieren. Auf Wunsch ergänzen wir eine Analyse des ausgehenden Datenverkehrs, um bestehende Infektionen aufzudecken. Für eine Einschätzung Ihrer Exponierung erreichen Sie uns über die Kontaktseite .