Was ist ein Botnetz?

Haben Sie schon einmal beobachtet, dass ein Gerät zufällig langsamer wurde oder anfing heiß zu laufen, obwohl Sie es wie gewohnt benutzt haben? Wenn ja, besteht durchaus die Möglichkeit, dass es infiziert wurde und jetzt Teil eines Botnetzes ist.

Ein Botnet ist eine Gruppe von kompromittierten Computern oder Internet-of-Things (IoT)-Geräten, die unter der Kontrolle eines Hackers (auch „Botmaster“ oder „Bot Herder“ genannt) stehen. Sie ermöglichen es einem Botmaster, über die gebündelten Computing-Ressourcen, die das Botnetz bietet, groß angelegte Angriffe zu starten. 

Wie entstehen Botnetze?

Um ein Botnetz zu erstellen, infizieren Botmaster zunächst ein Netzwerk von Geräten, die sie für ihre Angriffe nutzen wollen. Hierfür verschaffen sich Hacker Zugriff via Software-Exploits, Firmware-Exploits oder über einen kompromittierten Link oder eine Datei erfolgte Malware-Downloads. Sobald ein Gerät infiziert ist, kann der Botmaster die kombinierten Computing-Ressourcen nutzen, um seine Angriffe – oft ohne das Wissen des Gerätebesitzers – durchzuführen. Es gibt zwar keine bestimmte Anzahl infizierter Geräte, die für die Einrichtung eines Botnetzes erforderlich ist, aber je größer das Netzwerk, desto größer sind die potenziellen Auswirkungen eines Angriffs. Sind die Geräte einmal infiziert, lassen sie sich anhand zwei verschiedener Modelle steuern.

Client-Server-Modell

Die Steuerung der Bots erfordert eine Infrastruktur, die die Kommunikation zwischen dem Server (dem Botmaster) und den Clients (den infizierten Computern oder Geräten) ermöglicht. Das Client-Server-Modell wurde als erstes etabliert. Es funktioniert über einen zentralen Server (Command-&-Control-Server oder kurz C&C), der die Anweisungen übermittelt. Mit anderen Worten: Im Client-Server-Modell verlassen sich die Clients ausschließlich auf die Anweisungen des C&C-Servers des Botmasters. Diese Abhängigkeit ist gleichzeitig bzw. glücklicherweise der größte Nachteil des Modells, denn wenn der C&C-Server entdeckt und deaktiviert wird, ist das Botnetz nicht mehr funktionsfähig.

P2P und dezentralisierte Befehlssteuerung

Peer-to-Peer (P2P) und dezentralisierte C&C-Modelle kamen zum Einsatz, um die Nachteile zentralisierter Client-Server-Modelle zu umgehen. Bei diesem Modell kann jeder Client die Rolle des Servers übernehmen. Statt Anweisungen über eine zentrale Quelle zu versenden, kann jeder Client im Botnetz diese weiterleiten. Dieses Modell kann zwar die Übermittlung von Anweisungen verlangsamen, macht aber die Zerschlagung eines entsprechenden Botnetzes nahezu unmöglich.

Welche Arten von Angriffen sind mit Botnetzen möglich?

Botnetze sind in der Lage, jeden Angriff auszuführen, den auch ein einzelner Computer ausführen kann. Der Unterschied liegt jedoch im Ausmaß der Angriffe. Volumetrische Angriffe wie DDoS, Account Takeover und Spam werden von Botnetzen am häufigsten durchgeführt.  Zu den bekanntesten Botnetzangriffen gehören die DDoS-Angriffe des Botnetzes Mirai aus dem Jahr 2016, die beliebte Websites wie Twitter, Netflix und Reddit zum Erliegen brachten, sowie die des Botnetzes 3ve, das unter Ausnutzung von knapp 2 Millionen PCs Klickbetrug in Höhe von fast 30 Millionen US-Dollar beging. 

Die Zukunft der Botnetze

Wir sprechen in diesem gesamten Artikel von „Geräten“ anstatt von „Computern“. Während es Botmaster in der Vergangenheit vor allem auf Computer abgesehen hatten, zeigt sich seit einigen Jahren, dass jedes IoT-Gerät das Potenzial hat, gehackt und im Rahmen eines Botnetzes ausgenutzt zu werden: Router, Smartphones, Smartwatches und alles andere, was mit dem Internet verbunden ist. Sogar der smarte Kühlschrank in Ihrer Küche könnte für Angriffe auf Ihre Lieblingswebsite genutzt werden. Leider sind viele IoT-Geräte nicht von Anfang an darauf ausgelegt, sich hinreichend vor Angriffen zu schützen. Da diese Geräte aber mit dem Internet verbunden sind, reichen Software-Updates oft aus, um einen Fremdzugriff zu verhindern. Erfahren Sie mehr über die Entwicklung der Bots und Botnetze im Laufe der Jahrzehnte.