Bundesamt für Sicherheit in der Informationstechnik

Botnetze

Video: Was ist ein Botnetz und wie kann ich mich schützen?

Im -Fachjargon ist mit Bot ein Programm gemeint, das ferngesteuert auf Ihrem PC arbeitet. Von Botnetzen spricht man dann, wenn sehr viele PCs – meist mehrere Tausend – per Fernsteuerung zusammengeschlossen und zu bestimmten Aktionen missbraucht werden. Auch mobile Geräte können Teil eines Botnetzes werden.

Was das alles mit Ihnen zu tun hat? Ganz einfach: Es könnte sein, dass genau Ihr Computer, Tablet oder Smartphone Teil eines Botnetzes ist und jetzt ferngesteuert arbeitet – ohne dass Sie davon etwas mitbekommen. Sie sind an dieser Stelle gefordert: Sorgen Sie mit den entsprechenden Schutzmaßnahmen dafür, dass Fremde keine Möglichkeit bekommen, Ihren Rechner in Beschlag zu nehmen und für Angriffe zu missbrauchen.

Wie wird der Computer infiziert?

Wenn Sie im Internet unterwegs sind oder E-Mail-Anhänge öffnen, dann kann es leicht passieren, dass Sie sich schädliche Programme auf Ihren PC herunterladen – es sei denn, Ihr Rechner ist durch entsprechende Maßnahmen geschützt. Zu diesen Schadprogrammen zählen auch Bots, die sich still und heimlich auf Ihren PC schleichen. Viele Bots verhalten sich zunächst ziemlich unauffällig, so dass Sie davon nichts bemerken. Doch der Schein trügt. Denn die Verursacher der Schadprogramme können diese per Knopfdruck aktivieren. Dazu schicken Sie entsprechende Kommandos an den befallenden PC. Eine einzige kriminelle Person kann alle Bots zentral in seinem Netzwerk dirigieren und ihnen befehlen, die gleichen Aufgaben auszuführen. Voraussetzung dafür: Der PC muss online sein. Ihr PC scheint nun ganz normal zu arbeiten, während sich gleichzeitig im Hintergrund lauter unerfreuliche Dinge abspielen.

Von den Angreifern ausgenutzt werden vor allem Schwachstellen in den Microsoft-Betriebssystemen und Android-Geräten. Doch auch Benutzer anderer Betriebssysteme dürfen sich nicht in falscher Sicherheit wiegen. Gekaperte UNIX-Server funktionieren beispielsweise oft als Kernstück eines Botnetzes, das heißt sie steuern die befallenen PCs zentral.

Wozu werden Botnetze genutzt?

Botnetze werden von Cyber-Kriminellen zu bestimmten Aktionen missbraucht. Das können einerseits DDoS-Angriffe sein, um große Internetseiten lahm zu legen. Andererseits wird über Botnetze aber auch SPAM unerkannt versendet. Ein weiterer Hauptanwendungszweck ist Informationsdiebstahl, um beispielsweise Online-Banking-Betrug durchzuführen. Darüber hinaus werden Botnetze oft gegen Geld an Dritte weitervermietet, die sie für eigene Zwecke einsetzen. Um es auf den Punkt zu bringen: Hinter Botnetzen steckt viel kriminelle Energie und eindeutig ein böser Wille.

Die Folge: Durch Botnetze ist Ihr Rechner nicht mehr nur Opfer, sondern er wird gleichzeitig auch zum Täter. Er erhält die entsprechenden Befehle und führt diese ohne Ihre Kontrolle aus. Auch Ihre, auf dem PC gespeicherten persönlichen Daten sind nun nicht mehr sicher. In den Medien taucht für Botnetze übrigens immer öfter der Begriff "Zombie-Rechner" auf, weil der Rechner wie ein Zombie – ein willenloses Werkzeug – zum Leben erweckt wird.

Die Gefahr der Botnetze steigt

Das Problem der Bot-Netze hat in den letzten Jahren massiv zugenommen. Der Grund: Der überwiegende Teil der Nutzer verfügt über einen Breitband-Internetanschluss. Nicht wenige Computer sind rund um die Uhr ans Internet angeschlossen. Immer günstigere Flatrates machen's möglich.
Und im Gegensatz zu analogen Internetverbindungen fällt bei DSL- oder Kabel-Anschlüssen kaum auf, ob der Computer "heimlich Dinge macht", weil die Verbindungsgeschwindigkeit nicht merklich langsamer wird. Studien zufolge werden pro Tag weltweit mehrere Tausend neue Computer gekapert und für fremde Zwecke missbraucht. Ein neu ans Internet angeschlossener PC wird bereits nach wenigen Minuten erstmals angegriffen.

Um Botnetzinfektionen zu detektieren, werden von Sicherheitsforschern sogenannte Sinkhole-Systeme betrieben, die anstelle der regulären Steuerungsserver (C&C-Server) Kontaktanfragen von Bots entgegennehmen. Möglich wird dies durch eine Registrierung der verwendeten Domänennamen oder auch der IP-Adressen. Die Höhe der sichtbaren Infektionen wird maßgeblich durch die Art und Anzahl der von den Sicherheitsforschern registrierten Sinkhole-Adressen beeinflusst und schwankt deshalb sehr stark.

In der ersten Jahreshälfte 2016 wurden von Sicherheitsforschern täglich bis zu 39.000 Infektionen deutscher Systeme registriert und über das BSI an die deutschen Internetanbieter gemeldet. Die Internetanbieter informieren ihre Kunden über die Infektion und bieten zum Teil auch Hilfestellung bei der Bereinigung der Systeme an. Da nicht für alle existierenden Botnetze Sinkhole-Systeme eingesetzt werden können, stellen die gemeldeten Infektionen nur eine Untergrenze für Deutschland dar. Aufgrund der Erfahrungen aus erfolgreichen Botnetzabschaltungen ist davon auszugehen, dass die Dunkelziffer deutlich höher liegt und sich mindestens in einem sechsstelligen Bereich bewegt.

Video für z.B. interne Sensibilisierungsmaßnahmen in einer höheren Auflösung.

Externe Links