Botnet

Wenn ein Online-Dienst unter einer Flut sinnloser Anfragen zusammenbricht, steckt selten ein einzelner Rechner dahinter. Die Last kommt aus Zehntausenden gekaperten Geräten weltweit, deren Besitzer nichts davon ahnen. Solche ferngesteuerten Verbünde heißen Botnets.

Für Unternehmen ist das Thema doppelt relevant: Sie können Ziel von Angriffen aus Botnets werden, und ihre eigenen Geräte können unbemerkt Teil eines Botnets sein. Die Betreiber denken dabei wirtschaftlich: Jedes zusätzliche Gerät senkt ihre Kosten und erhöht ihre Schlagkraft.

Was ist ein Botnet?

Ein Botnet ist ein Netzwerk aus kompromittierten Geräten, auf denen eine Schadsoftware läuft, die sich zentral fernsteuern lässt. Jedes einzelne Gerät wird als Bot oder Zombie bezeichnet, die steuernde Person als Botmaster. Grundsätzlich kann jedes vernetzte System zum Bot werden: Server und Arbeitsplatzrechner ebenso wie Router, Kameras und andere IoT-Geräte. Gerade Letztere sind beliebt, weil sie oft mit Werkspasswörtern laufen, selten Updates erhalten und dauerhaft online sind. Die Stärke eines Botnets liegt in der Masse: Viele schwache Geräte ergeben zusammen eine schlagkräftige Angriffsinfrastruktur. Die Größe reicht von wenigen Hundert bis zu mehreren Millionen Geräten, und für die Besitzer bleibt der Fremdbetrieb meist unsichtbar, weil die Geräte scheinbar normal weiterlaufen.

So funktioniert es

  • Infektion: Die Bot-Software verbreitet sich über ungepatchte Schwachstellen, schwache Passwörter und infizierte Downloads. Vieles davon läuft vollautomatisch, denn bestehende Bots durchsuchen das Internet permanent nach neuen Opfern. Bei IoT-Geräten genügen oft schon die ab Werk gesetzten Zugangsdaten.
  • Registrierung: Nach der Infektion meldet sich das Gerät bei der Steuerungsinfrastruktur der Angreifer, dem Command-and-Control-Server (C2), und wartet fortan auf Befehle.
  • Steuerung: Klassische Botnets nutzen zentrale C2-Server. Modernere verteilen die Steuerung auf die Bots selbst oder wechseln ihre Domains im Minutentakt, um Abschaltungen zu entgehen. Die Kommunikation versteckt sich dabei gern in gewöhnlichem Web-Datenverkehr.
  • Ausführung: Der Botmaster sendet einen Befehl, Tausende Geräte führen ihn gleichzeitig aus, vom Anfragensturm auf ein Ziel bis zum automatisierten Durchprobieren gestohlener Passwörter.
  • Vermietung: Viele Botnets sind Mietinfrastruktur. Angriffe und Spam-Kampagnen lassen sich im kriminellen Untergrund als Dienstleistung buchen, inklusive Support.

Warum Botnets für Unternehmen wichtig sind

  • Verfügbarkeitsrisiko: DDoS-Angriffe aus Botnets legen Webshops und Kundenportale lahm, oft verbunden mit einer Erpressungsforderung.
  • Eigene Geräte als Täter: Kompromittierte Systeme im Firmennetz versenden Spam oder greifen Dritte an. Die Folgen reichen von Blocklisten für die eigenen Mailserver bis zu Haftungsfragen.
  • Ressourcendiebstahl: Kryptomining-Bots verbrauchen Rechenleistung und Strom. Die Leistungseinbußen wirken lange wie diffuse IT-Probleme.
  • Türöffner für Folgeangriffe: Ein Bot im Netz ist ein Fernzugang für Angreifer. Botnets wie einst Emotet dienten als Verteilplattform für Ransomware.
  • IoT als blinder Fleck: Kameras, Drucker und Gebäudetechnik tauchen in keiner Endpoint-Verwaltung auf und bleiben ohne Kontrollen im Netzwerk unbeobachtet.
  • Compliance und Meldewege: Wird ein eigenes Gerät Teil eines Botnets, liegt ein Sicherheitsvorfall vor, mit denselben Prüf- und Meldepflichten wie bei anderen Angriffen.

Typische Einsatzszenarien

Das bekannteste Szenario ist der DDoS-Angriff: Zehntausende Bots rufen gleichzeitig ein Ziel auf, bis es unter der Last zusammenbricht. Welche Wucht schlecht gesicherte IoT-Geräte entfalten, zeigte 2016 das Mirai-Botnet, das mit gekaperten Kameras und Routern zentrale Internetdienste störte. Daneben verdienen Botnets Geld mit dem Versand von Spam und Phishing, mit Credential Stuffing gegen Kundenkonten, mit Klickbetrug in der Online-Werbung und mit Kryptomining auf fremder Hardware. Ein wachsendes Geschäftsfeld sind Proxy-Dienste: Kriminelle leiten ihren Datenverkehr über gekaperte Geräte um und verschleiern so ihre Herkunft. Für die betroffene Organisation sieht es dann so aus, als kämen Angriffe aus ganz normalen Privathaushalten. Auch Erpressung ohne tatsächlichen Angriff kommt vor: Die bloße Drohung mit einem Anfragensturm, unterlegt mit einer kurzen Demonstration, soll Zahlungen auslösen.

Bot vs. Botnet

Ein Bot ist zunächst ein Programm, das Aufgaben automatisiert ausführt. Das ist für sich genommen weder gut noch schlecht: Suchmaschinen-Crawler und Monitoring-Agenten sind nützliche Bots. Im Sicherheitskontext meint der Begriff ein einzelnes kompromittiertes Gerät unter fremder Kontrolle. Das Botnet ist der Verbund vieler solcher Bots mit gemeinsamer Steuerung. Für die Abwehr sind beide Ebenen relevant. Bot-Management auf Anwendungsebene unterscheidet erwünschte von schädlichen automatisierten Zugriffen auf Webseiten und Schnittstellen. Botnet-Abwehr verhindert dagegen, dass eigene Geräte rekrutiert werden oder dass Angriffe aus Botnets die eigene Infrastruktur treffen. Wer im Alltag von Bot-Traffic spricht, meint übrigens meist die Anwendungsebene, also automatisierte Zugriffe auf Webseiten, unabhängig davon, ob dahinter ein Botnet steht.

Schutz vor Botnets bei KAEMI

KAEMI adressiert beide Seiten des Problems. Mit Application Security auf Basis der Cloudflare-Plattform schützen wir öffentlich erreichbare Anwendungen vor DDoS-Angriffen und schädlichen Bots. Im Inneren verhindert Mikrosegmentierung , dass gekaperte Geräte sich ausbreiten oder unkontrolliert nach außen kommunizieren. Auf Wunsch ergänzen wir eine Analyse des ausgehenden Datenverkehrs, um bestehende Infektionen aufzudecken. Für eine Einschätzung Ihrer Exponierung erreichen Sie uns über die Kontaktseite .

Häufige Fragen zu Botnet

Was ist der Unterschied zwischen einem Bot und einem Botnet?

Ein Bot ist ein einzelnes Programm oder Gerät, das Aufgaben automatisiert ausführt, im Sicherheitskontext ein gekapertes System unter fremder Kontrolle. Ein Botnet ist der Zusammenschluss vieler solcher Bots, die über eine gemeinsame Infrastruktur gesteuert werden. Gefährlich wird die Masse: Erst Tausende koordinierte Geräte ermöglichen wirksame DDoS-Angriffe oder großflächigen Spam-Versand.

Woran erkenne ich, dass Geräte meines Unternehmens Teil eines Botnets sind?

Hinweise sind ausgehende Verbindungen zu unbekannten Zielen, Kommunikation über ungewöhnliche Ports, erhöhte Last ohne erkennbaren Grund oder die Aufnahme eigener IP-Adressen in Spam-Blocklisten. Zuverlässiger als einzelne Symptome ist die systematische Überwachung des ausgehenden Datenverkehrs. Auffällige Kommunikationsmuster von IoT-Geräten verdienen besondere Aufmerksamkeit, weil dort kein Endpoint-Schutz installiert werden kann.

Was ist ein Command-and-Control-Server?

Der Command-and-Control-Server, kurz C2, ist die Steuerzentrale eines Botnets. Infizierte Geräte melden sich dort, empfangen Befehle und liefern Ergebnisse ab. Moderne Botnets verschleiern diese Infrastruktur durch ständig wechselnde Domains oder verteilen die Steuerung auf die Bots selbst. Die Erkennung von C2-Kommunikation im ausgehenden Datenverkehr gehört deshalb zu den wirksamsten Ansätzen gegen einen Befall.

Warum sind IoT-Geräte so häufig Teil von Botnets?

Viele IoT-Geräte werden mit werkseitigen Passwörtern betrieben, erhalten selten Sicherheitsupdates und hängen dauerhaft am Netz. Ein Schutzprogramm lässt sich auf ihnen meist gar nicht installieren. Angreifer scannen das Internet automatisiert nach solchen Geräten und übernehmen sie in großer Zahl. Das Mirai-Botnet demonstrierte 2016 eindrucksvoll, welche Angriffskraft aus dieser Kombination entsteht.

Wie schützt man sich vor DDoS-Angriffen aus Botnets?

Wirksamer Schutz filtert Angriffsverkehr, bevor er die eigene Infrastruktur erreicht. Cloudbasierte Dienste verteilen die Last auf globale Netze und trennen automatisierte Anfragen von echten Nutzern. Lokale Bandbreite allein reicht gegen große Botnets nicht aus. Sinnvoll ist zudem ein Notfallplan, der Zuständigkeiten und Kommunikationswege für den Angriffsfall regelt, bevor dieser eintritt.

Sie möchten das Thema im eigenen Netzwerk angehen? Sprechen Sie mit KAEMI, anforderungsorientiert und mit Betrieb aus einer Hand.