Was ist eigentlich ein Botnet?

G DATA Ratgeber

Wie ein gigantisches Spinnennetz durchziehen sie das Internet. Botnets verbinden Computer zu riesigen Netzwerken – ohne dass die meisten von uns etwas davon ahnen. Kriminelle manipulieren Rechner, schließen sie zusammen und nutzen sie für ihre Zwecke. So entsteht ein Netz von infizierten PCs, die von den sogenannten Botmastern ferngesteuert werden. Botnetze gehören zu den größten illegalen Geldquellen der Cyberkriminellen. Schätzungen zufolge sind weltweit Rechner im dreistelligen Millionenbereich betroffen. Eines der größten bereits entdeckten Netze umfasste über 30 Millionen Computer. Vielleicht wurden auch Sie längst in ein Netz verstrickt.

Wie funktioniert ein Botnet?

Die Betreiber eines Botnets schleusen Schadprogramme, sogenannte Bots (kurz für das englische Wort „Robot“) auf fremde Computer ein. Diese Bots agieren von da an unauffällig im Hintergrund, ohne dass die PC-Besitzer etwas davon bemerken. So wird der Rechner für die Zwecke der Botmaster genutzt, die der User nicht bemerkt und sicherlich auch nicht unterstützen würde. Da die Computer ferngesteuert und damit wie willenlos handeln, werden die Teile des Botnetzes auch als Zombie-PCs bezeichnet.

Botnetze umfassen Computer auf der ganzen Welt.

Die Bots agieren über das Internet. Das heißt sie arbeiten nur, wenn der Computer eingeschaltet und mit dem Internet verbunden ist. Je mehr Bots zu einem Netz gehören, desto größer ist auch die Masse der gleichzeitig aktiven Computer. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zählte im ersten Quartal 2015 täglich bis zu 60.000 Neuinfektionen.** Rein technisch ist ein Botnet ein Distributed Computing Network, also ein Zusammenschluss von voneinander unabhängig arbeitenden Computern. Diese kommunizieren unter Umständen zwar miteinander, führen ihre Aufgaben sonst aber völlig getrennt voneinander aus.

Beispiel: Dridex

Eines der aktuellsten Botnetze ist Dridex. Dridex dient dazu, Bank- und Kreditkartendaten von infizierten Rechnern zu stehlen. Die Vorwürfe gegen die Botnet-Betreiber sind vielfältig: kriminelle Verschwörung, unautorisierter Zugriff auf fremde Computer mit Betrugsabsichten, Beschädigung von Computern und Kreditkartenbetrug. Im Herbst 2015 hatten FBI-Mitarbeiter zahlreiche Server der Botnet-Betreiber beschlagnahmt. Dennoch scheint Dridex weiterhin aktiv zu sein. Eine Veröffentlichung des FBI zitiert den US-Staatsanwalt David J. Hickton, der das Botnet Dridex als eine der schädlichsten Malware-Gefahren der Welt bezeichnet. Im Frühjahr 2016 haben Hacker das Botnet gekapert und zweckentfremdet, vermuten Sicherheitsexperten: Und so verteilte Dridex einige Zeit lang Antivirensoftware. Seit Juni 2016 verzeichnen Sicherheitsforscher jedoch keine neuen Aktivitäten und es scheint, als sei das Botnetz mitsamt seiner Infrastruktur von der Bildfläche verschwunden.

Wie erkenne ich ein Botnet?

Wenn also so viele Computer Teil eines Botnetzes sind, wie merke ich dann, ob ich auch dazu gehöre?

  • Manchmal macht es sich auch dadurch bemerkbar, dass die Internetverbindung langsamer geworden ist oder unter der hohen Auslastung immer wieder zu kollabieren droht. Wenn der User seinen Datenverbrauch nicht gravierend verändert hat, sollte dies ein Warnsignal sein. Doch auch andere Schadprogramme können hinter einer verlangsamten Verbindung stecken.
  • Ein klares Indiz ist es, wenn der Virenscanner Alarm schlägt.
  • Aufschluss kann auch ein Blick in den Task-Manager geben: Entdecken Sie dort neue, merkwürdige Prozesse? Gleiches gilt für Autostart-Einträge.
  • Da Botnetze sich vom Laien kaum aufspüren lassen, sollten Sie nicht auf Ihre Instinkte, sondern auf Vorbeugung setzen.
Erfahren Sie mehr, wie Sie vermeiden, teil eines Botnets zu werden.

Wofür werden Botnets genutzt?

Botnetze werden auf ganz unterschiedliche Weisen genutzt – und nicht alle sind illegal. Die US-amerikanische Universität Berkeley bietet den Code für einen gutartigen Botnet-Client an. Durch den freiwilligen Zusammenschluss möglichst vieler privater Computer sollen die IT-Kosten für verschiedene Forschungsprojekte reduziert werden. Mit Hilfe eines solchen Botnetzes suchen die Forscher beispielsweise nach intelligentem Leben im Weltraum.

Die überwiegende Mehrzahl der Botnetze entsteht jedoch gegen den Willen der PC-Besitzer und wird meist für kriminelle Zwecke eingesetzt. Unter anderem werden die Zombie-PCs als Verteilzentrum für Spam verwendet. So werden beispielsweise Phishing-Mails von den PC-Besitzern unbemerkt in die digitale Welt hinausgeschickt. Andere Botnets dienen kriminellen Machenschaften als Speicherplatz oder verhelfen den Tätern zu sensiblen Nutzerdaten. Entweder werden diese Daten von den Tätern selbst genutzt oder die Information im Darknet zu Geld gemacht. Zudem ermöglicht ein Botnet den Tätern, eine Verbindung zu einem dritten Computer über den Zombie-PC herzustellen und so seine Ursprungsadresse zu verbergen. Eine weitere Nutzungsart ist der Zombie-PC als Zwischen-Wirt, der andere Rechner infiziert und so ein Kettenreaktion auslöst.

Beispiel: Bredolab

Im Mai 2009 kam das Botnet Bredolab ans Licht der Öffentlichkeit. Über 30 Millionen Computer waren Teil dieses Netzes, bis es im Herbst 2010 zerschlagen wurde. Dieses Botnetz verschickte vor allem Spam-Mails, die Schadprogramme im Anhang hatten. Zu seinen Hoch-Zeiten konnte BredoLab pro Tag schätzungsweise 3,6 Milliarden Mails mit schädlichen Anhängen verschicken. Geld verdienten die Betreiber damit, dass sie Teile des Botnetzes an Dritte vermieteten. So kamen angeblich bis zu 139.000 US-Dollar im Monat zusammen. Die Mieter nutzten Bredolab für ganz unterschiedliche Zwecke: Die Spannweite geht von der Verbreitung von gefährlicher Schadsoftware bis zur Nutzung der Bots als Spam-Verteiler und Attacken, bei denen fremde Computer bewusst überfordert werden (Ddos-Attacke).

Wie entsteht ein Botnet?

Meist beginnt alles mit einer infizierten Webseite. User, die ohne aktivierten Webschutz auf eine solche Seite gelangen, bekommen meist unbemerkt Schadcode untergeschoben. Ein Angriff kann aber auch über eine E-Mail geschehen, in der z.B. das Installations-Programm des Bots im Anhang steckt oder die einen Link auf eine manipulierte Webseite enthält. Manchmal installieren sich User mit harmlosen Programmen versehentlich auch Trojaner, die der Installation des Bots sozusagen die Tür zum System öffnen.

Auf diesem Wege werden aus PCs ferngesteuerte Bots, deren Fäden bei einem Cyber-Kriminellen zusammenlaufen. Diese Fäden sind so vernetzt, dass wir uns ein Botnet tatsächlich wie ein weit verzweigtes Spinnennetz vorstellen dürfen. So werden aus gewöhnlichen PCs Teile eines Botnets. Laut dem Anti-Botnet-Beratungszentrum des Internetverbandes Eco soll jeder dritte PC in Deutschland infiziert und Teil eines Botnets sein.

Die Schadsoftware im Anhang dieser E-Mail wurde von G DATA erkannt und gelöscht.
G DATA hat die Schadsoftware im Anhang dieser E-Mail gelöscht. Durch eine persönliche Ansprache versuchen die Versender, vertrauensvoll zu wirken.

Beispiel: Mariposa

Von Mai 2009 bis Dezember 2009 waren 13 Millionen Computer Teil des spanischen Schmetterlings-Netzes, in 190 Ländern, darunter 500 Großunternehmen in den USA. Mariposa ist eines der größten bislang aufgedeckten Botnetze. Die Infektion geschah meist über Instant Messenger, die die Nutzer auf manipulierte Webseiten lockten. Zusätzlich schlich sich der Bot durch Lücken im Internet Explorer ein oder wurde über präparierte USB-Sticks verteilt. Anders als BredoLab wurde Mariposa nicht zum Spam-Versand genutzt, sondern vorwiegend für den Datenraub. Über 800.000 User sollen Schätzungen zufolge vom Datenklau betroffen sein. Die Beute: Zugangsdaten zu Online-Banking-Accounts, Mail-Konten und Zugang zu Unternehmensnetzen. Den Kopf des Netzes zu finden und dingfest zu machen, forderte viele Kräfte und hochspezialisierte Analysten.

Wie kann ich mich vor einem Botnet schützen?

  • Ein guter Schutz gegen Schadsoftware und die Installation von Bots ist ein zuverlässiger Virenschutz und eine perfekt konfigurierte Firewall.
  • Halten Sie Ihren Browser aktuell: Laut des Anti-Botnet-Beratungszentrums des Internetverbandes Eco sind 80 Prozent der Browser auf den PCs in Deutschland veraltet. Ein Update schließt Sicherheitslücken, die sonst von Kriminellen ausgenutzt werden können. Die G DATA Sicherheitslösungen bieten eine zusätzliche Schutzschicht gegen das Ausnutzen von Sicherheitslücken an, auch wenn es noch keinen Patch zum Schließen der Lücke gibt: den G DATA Exploit-Schutz.
  • Richten Sie Ihre Sicherheitssoftware und Ihre Programme so ein, dass sie sich automatisch aktualisieren. So werden Sicherheitslücken so schnell wie möglich geschlossen.
  • Installieren Sie zudem einen Browser-Schutz, der Sie vor dem versehentlichen und unbemerkten Download von Schadsoftware und vor Phishing-Seiten schützt.
  • Viele Sicherheitslösungen enthalten einen E-Mail-Schutz. Dieser bewahrt Sie davor, auf manipulierte Webseiten hereinzufallen und so womöglich unwissentlich einen Bot herunterzuladen.
  • Klicken Sie nicht auf Anhänge, die Sie skeptisch machen. Das gilt vor allem für Rechnungen, die Sie nicht zuordnen können. Haben Sie beim Absender wirklich etwas bestellt?
  • Bei E-Mails mit zweifelhafter Rechtschreibung oder Nachrichten, die einen Link zu Ihrer Bank oder einer Shopping-Plattform enthalten, sollten Sie ebenfalls stutzig werden. Ihre Bank wird Sie niemals auffordern, direkt auf einen Link zu klicken.
  • Verwenden Sie zur alltäglichen Nutzung Ihres Computers ein Benutzerkonto ohne Administrator-Rechte und arbeiten Sie nur in Ausnahmefällen mit dem Administratoren-Account. So reduzieren Sie das Risiko, dass Schadsoftware in die tieferen Schichten Ihres Systems vordringen kann und uneingeschränkt Änderungen und Datei-Ausführungen vornehmen kann.

Was passiert, wenn ein Botnetz zerschlagen wurde? Am Beispiel: Avalanche

Ende 2016 war es vorbei: Da zerschlugen Ermittlungsbehörden ein weltweit agierendes Netzwerk, das sich Avalanche (engl. Lawine) nannte. Wie eine gewaltige Lawine walzte das Geflecht von mindestens 39 Severn und mehreren Hunderttausend Domains aus über das Internet hinweg. Über 20 Botnetze soll die Avalanche-Struktur in sich vereint haben, um Ransomware, Viren und Phishing-Mails lawinenartig zu verbreiten. Der dadurch entstandene Schaden soll Schätzungen zufolge mindestens sechs Millionen Euro betragen haben.

Doch auch nachdem die Ermittlungsbehörden die Sever und Domains beschlagnahmt haben, verschwindet ein solches Netzwerk nicht spurlos: Die Server von Avalanche sind für die einzelnen Bots nicht mehr erreichbar. Dennoch bleibt die Software, die den Computer in einen Bot verwandelt hat, weiterhin auf dem Gerät. Sollten Sie bislang keinen Virenscanner auf Ihrem Rechner installiert haben, ist nun der richtige Zeitpunkt dies nachzuholen. Mit einem Scanner können Sie feststellen, ob Ihr Rechner infiziert wurde und die Schadsoftware gegebenenfalls direkt entfernen. Das geht auch mit kostenlosen Testversionen. So beugen Sie vor, dass ein anderer Botnetz-Betreiber den womöglich befallenen Computer erneut in ein Netz verstrickt.

Weitere Informationen und Quellen

** Die Lage der IT-Sicherheit in Deutschland 2015, Bundesamt für Sicherheit in der Informationstechnik (PDF 1,39MB)