Wie ein gigantisches Spinnennetz durchziehen sie das Internet. Botnets verbinden Computer zu riesigen Netzwerken – ohne dass die meisten von uns etwas davon ahnen. Kriminelle manipulieren Rechner, schließen sie zusammen und nutzen sie für ihre Zwecke. So entsteht ein Netz von infizierten PCs, die von den sogenannten Botmastern ferngesteuert werden. Botnetze gehören zu den größten illegalen Geldquellen der Cyberkriminellen. Schätzungen zufolge sind weltweit Rechner im dreistelligen Millionenbereich betroffen. Eines der größten bereits entdeckten Netze umfasste über 30 Millionen Computer. Vielleicht wurden auch Sie längst in ein Netz verstrickt.
Die Bots agieren über das Internet. Das heißt, sie arbeiten nur, wenn der Computer eingeschaltet und mit dem Internet verbunden ist. Je mehr Bots zu einem Netz gehören, desto größer ist auch die Masse der gleichzeitig aktiven Computer. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zählte im ersten Quartal 2015 täglich bis zu 60.000 Neuinfektionen.** Rein technisch ist ein Botnet ein Distributed Computing Network, also ein Zusammenschluss von voneinander unabhängig arbeitenden Computern. Diese kommunizieren unter Umständen zwar miteinander, führen ihre Aufgaben sonst aber völlig getrennt voneinander aus.
Die überwiegende Mehrzahl der Botnetze entsteht jedoch gegen den Willen der PC-Besitzer und wird meist für kriminelle Zwecke eingesetzt. Unter anderem werden die Zombie-PCs als Verteilzentrum für Spam verwendet. So werden beispielsweise Phishing-Mails von den PC-Besitzern unbemerkt in die digitale Welt hinausgeschickt. Andere Botnets dienen kriminellen Machenschaften als Speicherplatz oder verhelfen den Tätern zu sensiblen Nutzerdaten. Entweder werden diese Daten von den Tätern selbst genutzt oder die Information im Darknet zu Geld gemacht. Zudem ermöglicht ein Botnet den Tätern, eine Verbindung zu einem dritten Computer über den Zombie-PC herzustellen und so seine Ursprungsadresse zu verbergen. Eine weitere Nutzungsart ist der Zombie-PC als Zwischen-Wirt, der andere Rechner infiziert und so eine Kettenreaktion auslöst.
Wie funktioniert ein Botnet?
Die Betreiber eines Botnets schleusen Schadprogramme, sogenannte Bots (kurz für das englische Wort „Robot“) auf fremde Computer ein. Diese Bots agieren von da an unauffällig im Hintergrund, ohne dass die PC-Besitzer etwas davon bemerken. So wird der Rechner für die Zwecke der Botmaster genutzt, die der User nicht bemerkt und sicherlich auch nicht unterstützen würde. Da die Computer ferngesteuert und damit wie willenlos handeln, werden die Teile des Botnetzes auch als Zombie-PCs bezeichnet.Die Bots agieren über das Internet. Das heißt, sie arbeiten nur, wenn der Computer eingeschaltet und mit dem Internet verbunden ist. Je mehr Bots zu einem Netz gehören, desto größer ist auch die Masse der gleichzeitig aktiven Computer. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zählte im ersten Quartal 2015 täglich bis zu 60.000 Neuinfektionen.** Rein technisch ist ein Botnet ein Distributed Computing Network, also ein Zusammenschluss von voneinander unabhängig arbeitenden Computern. Diese kommunizieren unter Umständen zwar miteinander, führen ihre Aufgaben sonst aber völlig getrennt voneinander aus.
INFOBOX →
Beispiel: Dridex
Eines der aktuellsten Botnetze ist Dridex. Dridex dient dazu, Bank- und Kreditkartendaten von infizierten Rechnern zu stehlen. Die Vorwürfe gegen die Botnet-Betreiber sind vielfältig: kriminelle Verschwörung, unautorisierter Zugriff auf fremde Computer mit Betrugsabsichten, Beschädigung von Computern und Kreditkartenbetrug. Im Herbst 2015 hatten FBI-Mitarbeiter zahlreiche Server der Botnet-Betreiber beschlagnahmt. Dennoch scheint Dridex weiterhin aktiv zu sein. Eine Veröffentlichung des FBI zitiert den US-Staatsanwalt David J. Hickton, der das Botnet Dridex als eine der schädlichsten Malware-Gefahren der Welt bezeichnet. Im Frühjahr 2016 haben Hacker das Botnet gekapert und zweckentfremdet, vermuten Sicherheitsexperten: Und so verteilte Dridex einige Zeit lang Antivirensoftware. Seit Juni 2016 verzeichnen Sicherheitsforscher jedoch keine neuen Aktivitäten und es scheint, als sei das Botnetz mitsamt seiner Infrastruktur von der Bildfläche verschwunden.Wie erkenne ich ein Botnet?
Wenn also so viele Computer Teil eines Botnetzes sind, wie merke ich dann, ob ich auch dazu gehöre?- Manchmal macht es sich auch dadurch bemerkbar, dass die Internetverbindung langsamer geworden ist oder unter der hohen Auslastung immer wieder zu kollabieren droht. Wenn der User seinen Datenverbrauch nicht gravierend verändert hat, sollte dies ein Warnsignal sein. Doch auch andere Schadprogramme können hinter einer verlangsamten Verbindung stecken.
- Ein klares Indiz ist es, wenn der Virenscanner Alarm schlägt.
- Aufschluss kann auch ein Blick in den Task-Manager geben: Entdecken Sie dort neue, merkwürdige Prozesse? Gleiches gilt für Autostart-Einträge.
- Da Botnetze sich vom Laien kaum aufspüren lassen, sollten Sie nicht auf Ihre Instinkte, sondern auf Vorbeugung setzen.
Wofür werden Botnets genutzt?
Botnetze werden auf ganz unterschiedliche Weisen genutzt – und nicht alle sind illegal. Die US-amerikanische Universität Berkeley bietet den Code für einen gutartigen Botnet-Client an. Durch den freiwilligen Zusammenschluss möglichst vieler privater Computer sollen die IT-Kosten für verschiedene Forschungsprojekte reduziert werden. Mithilfe eines solchen Botnetzes suchen die Forscher beispielsweise nach intelligentem Leben im Weltraum.Die überwiegende Mehrzahl der Botnetze entsteht jedoch gegen den Willen der PC-Besitzer und wird meist für kriminelle Zwecke eingesetzt. Unter anderem werden die Zombie-PCs als Verteilzentrum für Spam verwendet. So werden beispielsweise Phishing-Mails von den PC-Besitzern unbemerkt in die digitale Welt hinausgeschickt. Andere Botnets dienen kriminellen Machenschaften als Speicherplatz oder verhelfen den Tätern zu sensiblen Nutzerdaten. Entweder werden diese Daten von den Tätern selbst genutzt oder die Information im Darknet zu Geld gemacht. Zudem ermöglicht ein Botnet den Tätern, eine Verbindung zu einem dritten Computer über den Zombie-PC herzustellen und so seine Ursprungsadresse zu verbergen. Eine weitere Nutzungsart ist der Zombie-PC als Zwischen-Wirt, der andere Rechner infiziert und so eine Kettenreaktion auslöst.
INFOBOX →