{"id":3880,"date":"2025-07-09T04:00:00","date_gmt":"2025-07-09T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=3880"},"modified":"2025-07-09T04:00:00","modified_gmt":"2025-07-09T04:00:00","slug":"was-ist-ein-botnet","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=3880","title":{"rendered":"Was ist ein Botnet?"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\n

Ein Botnetz besteht aus vielen \u201cZombie\u201d-Rechnern und l\u00e4sst sich beispielsweise einsetzen, um DDoS-Attacken zu fahren. Das sollten Sie zum Thema wissen.\u00a0<\/p>\n

FOTOKINA | shutterstock.com<\/p>\n<\/div>\n

Kriminelle Hacker suchen stets nach M\u00f6glichkeiten, Malware in gro\u00dfem Umfang zu verbreiten oder Distributed-Denial-of-Service (DDoS)-Angriffe<\/a> zu fahren. Ein Botnet eignet sich dazu besonders gut.<\/p>\n

Botnet \u2013 Definition<\/h3>\n

Ein Botnet<\/a> ist eine Sammlung von mit dem Internet verbundenen Ger\u00e4ten, die von einem Angreifer kompromittiert wurden, um DDoS-Angriffe<\/a> und andere \u201cTasks\u201d im \u201cSchwarm\u201d auszuf\u00fchren. Die Idee dahinter: Jeder Rechner, der Teil des Botnetzes wird, wird zu einem \u201cZombie\u201d-Rechner \u2013 ein hirnloser Bestandteil eines gro\u00dfen Netzwerks identischer Bots.<\/p>\n

\u201cMalware<\/a> infiziert einen Computer, der dem Botnet-Betreiber zur\u00fcckmeldet, dass der Rechner nun bereit ist, blindlings Befehle zu befolgen\u201d, erkl\u00e4rt Nasser Fattah, North America Steering Committee Chair bei Shared Assessments. \u201cDas geschieht ohne das Wissen des Benutzers. Das Ziel besteht darin, das Botnetz weiter auszubauen, um gro\u00dfangelegte Angriffe zu automatisieren und zu beschleunigen.\u201d<\/p>\n

Botnets \u2013 Architektur<\/h3>\n

Botnetze sind ein Beispiel f\u00fcr verteilte Computersysteme, die \u00fcber das Internet betrieben werden. Die Personen oder Teams, die ein Botnet betreiben, sogenannte \u201cController\u201d oder \u201cHerders\u201d, m\u00fcssen m\u00f6glichst viele \u201cZombies\u201d f\u00fcr ihre Armee rekrutieren \u2013 und dann deren Aktivit\u00e4ten koordinieren, um Profit zu machen. Die Architektur, die zur Bildung und Aufrechterhaltung von Botnets beitr\u00e4gt, besteht aus mehreren Komponenten:<\/p>\n

Botnet-Malware:<\/strong> Cyberkriminelle \u00fcbernehmen die Kontrolle \u00fcber die Zielcomputer mithilfe von Malware. Es gibt eine Vielzahl von Vektoren, \u00fcber die Malware<\/a> auf einen Computer gelangen kann \u2013 von Phishing- und Watering-Hole-Angriffen bis hin zur Ausnutzung ungepatchter Sicherheitsl\u00fccken. Der b\u00f6sartige Code erm\u00f6glicht es Angreifern, kompromittierte Rechner zu Aktionen zu zwingen, ohne dass der Besitzer davon etwas bemerkt. \u201cDie Malware selbst versucht oft nicht, etwas zu stehlen oder Schaden anzurichten\u201d, erkl\u00e4rt Jim Fulton, Vice President beim Sicherheitsanbieter Forcepoint. \u201cStattdessen versucht sie, im Verborgenen zu bleiben, damit die Botnet-Software unbemerkt weiterarbeiten kann.\u201d<\/p>\n

Botnet-Drones:<\/strong> Sobald ein Ger\u00e4t vom Angreifer \u00fcbernommen wurde, wird es zur \u201cDrone\u201d \u2013 quasi einem \u201cFu\u00dfsoldat\u201d oder \u201cZombie\u201d innerhalb der Botnetz-Armee -, der allerdings \u00fcber ein gewisses Ma\u00df an Autonomie und in einigen F\u00e4llen auch \u00fcber k\u00fcnstliche Intelligenz verf\u00fcgt. \u201cEine Botnet-Drone kann andere Computer und Ger\u00e4te mit einer gewissen Intelligenz rekrutieren, wodurch es schwieriger wird, sie zu finden und zu stoppen\u201d, wei\u00df Andy Rogers, Senior Assessor bei Schellman. \u201cSie findet anf\u00e4llige Hosts und l\u00e4dt sie ohne Wissen des Benutzers in das Botnetz ein.\u201d<\/p>\n

In Botnet Drones lassen sich alle Arten von Ger\u00e4ten verwandeln, die mit dem Internet verbunden sind, von PCs \u00fcber Smartphones bis hin zu IoT-Devices<\/a>. Letztere, etwa internetf\u00e4hige Sicherheitskameras oder Kabelmodems, k\u00f6nnten f\u00fcr Angreifer sogar besonders interessant sein, wie Dave Marcus, Senior Director of Threat Intelligence bei LookingGlass Cyber, erkl\u00e4rt: \u201cBei solchen Devices neigen die Leute dazu, zu vergessen, dass sie da sind, weil man sie einmal einschaltet, und dann nicht mehr beachtet. Dazu kommt, dass viele Leute bei Routern und Switches keine Updates durchf\u00fchren wollen, aus Angst, dabei etwas falsch zu machen. In beiden F\u00e4llen kann das dazu f\u00fchren, dass die Ger\u00e4te ungepatcht und damit angreifbar bleiben.\u201d<\/p>\n

Ganz wesentlich ist jedoch, dass es viele dieser Botnet Drones gibt und diese legitim wirken, wie Ido Safruti, Mitbegr\u00fcnder und CTO von PerimeterX zu bedenken gibt: \u201cIndem legitime Ger\u00e4te mit Malware infiziert werden, gewinnen Botnetz-Betreiber Ressourcen, die private IP-Adressen nutzen und wie legitime Nutzer aussehen sowie dar\u00fcber hinaus auch kostenlose Rechenressourcen, um Aufgaben auszuf\u00fchren.\u201d<\/p>\n

Botnet Command & Control: <\/strong>Das letzte Teil des Puzzles ist der Mechanismus, mit dem die Botnetze gesteuert werden. Fr\u00fche Botnets wurden in der Regel von einem zentralen Server aus gesteuert. Das machte es jedoch relativ leicht, das gesamte Netzwerk auszuschalten, indem dieser zentrale Knotenpunkt abgeschaltet wird. Moderne Botnetze operieren mit einem Peer-to-Peer-Modell, bei dem Befehle von Drone zu Drone weitergegeben werden, sobald diese ihre individuellen Malware-Signaturen \u00fcber das Internet erkennen. Die Kommunikation der Bot-Herder und zwischen den Bots kann \u00fcber verschiedene Protokolle erfolgen. Dabei kommt immer noch h\u00e4ufig das Oldschool-Chatprotokoll Internet-Relay-Chat (IRC)<\/a> zum Einsatz, da es relativ leichtgewichtig ist und leicht auf Bots installiert werden kann, ohne viele Ressourcen zu beanspruchen. Es kommen aber auch eine Reihe anderer Protokolle zur Anwendung, darunter Telnet und normales HTTP, was die Erkennung des Datenverkehrs erschwert. Einige Botnets nutzen besonders kreative Mittel zur Koordination, und ver\u00f6ffentlichen Befehle auf \u00f6ffentlichen Websites wie Twitter oder GitHub.<\/p>\n

So wie die Botnetze selbst sind auch die verschiedenen Komponenten ihrer Architektur verteilt. \u201cKriminelle Hacker sind Spezialisten<\/a> und die meisten Gruppen arbeiten in einem losen Verbund mit anderen Gruppen zusammen\u201d, meint Garret Grajek, CEO von YouAttest. \u201cIn der Cybercrime-Welt kann es eine Gruppe geben, die eine neue, unver\u00f6ffentlichte Schwachstelle ausnutzt, eine andere, die dann die Nutzlast des Botnetzes erstellt und eine weitere, die das Command & Control Center kontrolliert.\u201d<\/p>\n

Botnetze \u2013 Angriffsarten & Beispiele<\/h3>\n

Distributed Denial of Service (DDoS)-Angriffe<\/strong> sind wahrscheinlich die bekannteste und beliebteste Art von Angriffen, die \u00fcber Botnetze initiiert werden. Im Rahmen dieser Angriffe versuchen Hunderte oder Tausende von kompromittierten Computern, einen Server oder eine andere Online-Ressource mit Anfragen zu \u00fcberlasten und diese so au\u00dfer Betrieb zu setzen. Das ist ohne Einsatz eines Botnet nicht m\u00f6glich. Zudem sind DDoS-Attacken<\/a> einfach zu initiieren, da fast jedes kompromittierbare Device \u00fcber Internetkonnektivit\u00e4t und einen zumindest rudiment\u00e4ren Webbrowser verf\u00fcgt.<\/p>\n

Doch es gibt noch viele weitere M\u00f6glichkeiten f\u00fcr Angreifer, ein Botnetz zu nutzen. Die Zielsetzung der Angreifer kann dabei \u00fcber die Art der Ger\u00e4te bestimmen, die infiziert werden sollen, wie Marcus erkl\u00e4rt: \u201cWenn ich mein Botnet f\u00fcr Bitcoin-Mining<\/a> nutzen m\u00f6chte, habe ich es vielleicht auf IP-Adressen in einem bestimmten Teil der Welt abgesehen, weil diese Maschinen generell leistungsf\u00e4higer sind \u2013 sie haben einen Grafikprozessor und eine CPU und die Benutzer werden nicht unbedingt bemerken, dass im Hintergrund gesch\u00fcrft wird.\u201d<\/p>\n

Die Opfer der Angriffe bekommen zwar die kriminelle Energie derjenigen zu sp\u00fcren, die das Botnet kontrollieren \u2013 die Besitzer der Bots selbst sollen jedoch, wenn es nach den Angreifern geht, nichts davon bemerken, was ihre Rechner anrichten. \u201cWas passiert, h\u00e4ngt einfach davon ab, wie viel sich der Betreiber herauszunehmen bereit ist. Der Einsatz einer hochfunktionalen Malware, die viele verschiedene Dinge tut, erh\u00f6ht die Wahrscheinlichkeit, entdeckt zu werden, weil der Besitzer Performance-Probleme seines Rechners auffallen k\u00f6nnten.\u201d<\/p>\n

Heutzutage sorgen zwar vor allem DDoS-Angriffe im Zusammenhang mit Botnetzen f\u00fcr Aufmerksamkeit \u2013 das allererste Botnet wurde allerdings kreiert, um Spam<\/strong> zu verbreiten. Khan C. Smith baute 2001 eine Bot-Armee auf, um sein Spam-Imperium auszubauen und verdiente damit Millionen von Dollar. Bis er schlie\u00dflich vom Internetdienstleister EarthLink (erfolgreich) auf Schadensersatz in H\u00f6he von 25 Millionen Dollar verklagt wurde<\/a>.<\/p>\n

Eines der wichtigsten Botnetze der letzten Jahre basierte auf der Schadsoftware Mirai<\/strong> und legte 2016 kurzzeitig einen gro\u00dfen Teil des Internets lahm<\/a>. Mirai wurde von einem College-Studenten aus New Jersey geschrieben und entstand aus einer Auseinandersetzung zwischen Server-Hosts des popul\u00e4ren Videospiels Minecraft. Das Botnet zielte speziell auf TV-Kameras mit Internetverbindung ab \u2013 ein Beleg daf\u00fcr, wie bedeutend IoT-Ger\u00e4tschaften in diesem Zusammenhang sind.<\/p>\n

Es gibt jedoch noch zahlreiche andere Beispiele f\u00fcr Botnetze, wei\u00df Kevin Breen, Director of Cyber Threat Research bei Immersive Labs: \u201cGr\u00f6\u00dfere Botnets wie TrickBot<\/strong> nutzen Malware wie Emotet<\/a>, die sich bei der Installation eher auf Social Engineering st\u00fctzt. Diese Botnetze sind in der Regel widerstandsf\u00e4higer und werden f\u00fcr die Installation zus\u00e4tzlicher, b\u00f6sartiger Software wie Banking-Trojaner und Ransomware verwendet. In den letzten Jahren haben die Strafverfolgungsbeh\u00f6rden mehrfach \u2013 mit vereinzelten Erfolgen \u2013 versucht, die gro\u00dfen, kriminellen Botnetze zu zerst\u00f6ren. Diese scheinen sich im Laufe der Zeit jedoch immer wieder zu erholen.\u201d<\/p>\n

Botnet kaufen \u2013 so geht\u2019s<\/h3>\n

Viele Cyberkriminelle bauen ihre Botnets nicht f\u00fcr den pers\u00f6nlichen Gebrauch auf, sondern um sie zu verkaufen. Diese Gesch\u00e4fte laufen mehr oder weniger klandestin ab. Allerdings lassen sich mit einer einfachen Google-Suche schon relativ leicht Services finden, die euphemistisch als \u201cStresser\u201d oder \u201cBooter\u201d bezeichnet werden: \u201cDiese SaaS-L\u00f6sungen k\u00f6nnen ganz einfach \u2013 zum Beispiel \u00fcber Paypal \u2013 gebucht werden \u2013 eigentlich, um die Belastbarkeit des eigenen Netzwerks zu testen<\/a>. Einige dieser Serviceanbieter verkaufen ihre Dienste allerdings an jeden \u2013 ohne Auftraggeber oder Ziel zu \u00fcberpr\u00fcfen\u201d, wei\u00df Fattah.<\/p>\n

Auch Security-Spezialist Breen ist der Meinung, dass jeder, der Botnet-Software herunterladen m\u00f6chten, diese auch finden wird: \u201cWer nach den richtigen Begriffen sucht, landet schnell in einschl\u00e4gigen Foren<\/a>, wo neben entsprechenden Services oft auch Quellcode und geleakte Botnetze angeboten werden. Solche Angebote werden wird typischerweise von den ber\u00fchmten \u2018Skript-Kiddies\u2019 genutzt, die damit zum Beispiel die Verbreitung von Krypto-Minern vorantreiben wollen.\u201d Die echten Profis operieren hingegen im Darknet<\/a> und k\u00f6nnen schwieriger zu finden sein: \u201cSpezialisierte Darknet-Marktpl\u00e4tze werden in der Regel moderiert und sind nur auf Einladung zug\u00e4nglich\u201d, wei\u00df Josh Smith, Analyst f\u00fcr Cyberbedrohungen bei Nuspire. \u201cHat man jedoch einmal Zugang erlangt, ist der weitere Prozess bemerkenswert kundenfreundlich ausgestaltet \u2013 inklusive Reputationssystem f\u00fcr Verk\u00e4ufer.\u201d<\/p>\n

\u201cViele dieser Services bieten ein simples Interface, mit dem ein Botnet auf eine IP oder URL ausgerichtet und der Angriff dann mit einem Knopfdruck gestartet wird. Die Benutzer k\u00f6nnen Websites und Server direkt von Ihrem Browser aus lahmlegen und bleiben durch die Bezahlung mit Kryptow\u00e4hrungen weitgehend anonym<\/a>\u201c, erkl\u00e4rt Rogers. \u201cAnspruchsvollere Bedrohungsakteure wie Ransomware-Banden<\/a> arbeiten m\u00f6glicherweise direkt mit den Betreibern gro\u00dfer Botnetze wie TrickBot zusammen, um gro\u00dfangelegte Spear-Phishing-Kampagnen anzusto\u00dfen\u201d, meint Laurie Iacono, Associate Managing Director of Cyber Risk bei Kroll. \u201cSobald die Rechner infiziert sind, sammelt Malware Informationen, die Ransomware dabei hilft, das Netzwerk zu infiltrieren.\u201d<\/p>\n

Die Kosten f\u00fcr einen solchen Botnet-Service sind dabei relativ \u00fcberschaubar, wie Anurag Gurtu, CPO von StrikeReady, preisgibt: \u201cDer Zugang zu einem Botnet kann bis zu zehn Dollar pro Stunde kosten.\u201d Dabei bekommen die Nutzer das, wof\u00fcr sie bezahlen: \u201cWenn man einen ganz bestimmten Bot in einem spezifischen Teil der Welt haben m\u00f6chte, steigen die Preise\u201d, meint Marcus. \u201cIn bestimmten Teilen der Welt gibt es qualitativ bessere Rechner. Ein Botnetz, das auf Maschinen und IP-Adressen in den USA basiert, ist beispielsweise erheblich teurer als eines innerhalb der EU, weil die Rechner in den Staaten leistungsf\u00e4higer sind.\u201d<\/p>\n

Botnetz-Angriffe verhindern<\/h3>\n

Die Absicherung gegen Botnets kann zwei verschiedene Formen annehmen:<\/p>\n

Entweder Sie verhindern, dass Ihre eigenen Ger\u00e4te zu Bots werden oder<\/p>\n

Sie wehren Angriffe ab, die \u00fcber Botnetze gestartet werden.<\/p>\n

In beiden F\u00e4llen gibt es wenige Verteidigungsm\u00f6glichkeiten, die nicht bereits Bestandteil einer ordentlichen Sicherheitsstrategie sind:<\/p>\n

Hacker verwandeln Ger\u00e4te h\u00e4ufig mit Malware in Zombie-Rechner, die \u00fcber Phishing-E-Mails verbreitet wird. Sie tun also gut daran, Ihre Mitarbeiter in Sachen Phishing<\/a> umfassend aufzukl\u00e4ren.<\/p>\n

Auch unzureichend abgesicherte IoT-Ger\u00e4te werden oft in Botnetze integriert. Stellen Sie also sicher, dass solche Devices nicht das herstellerseitig gesetzte Standardpasswort nutzen.<\/p>\n

Gelingt es Cyberkriminellen, Malware auf Ihren Computern einzuschleusen, ben\u00f6tigen Sie eine aktuelle Antivirus-L\u00f6sung, um sie zu erkennen.<\/p>\n

Wenn Sie Opfer eines DDoS-Angriffs werden, k\u00f6nnen Sie den b\u00f6sartigen Traffic herausfiltern oder Ihre Kapazit\u00e4ten mit Hilfe eines Content Delivery Network<\/a> aufstocken.<\/p>\n

Dar\u00fcber hinaus gibt es auch einige Botnet-spezifische Techniken, die Sie einsetzen k\u00f6nnen, um sich zu sch\u00fctzen. Breen schl\u00e4gt beispielsweise vor, auf verd\u00e4chtigen Datenverkehr achten: \u201cEine Datenflussanalyse<\/a> klingt kompliziert, kann aber Botnet-Command-and-Control-Traffic zu Tage f\u00f6rdern.\u201d<\/p>\n

\u201cWir verwenden mehrere Tools, um Botnetze zu stoppen\u201d, erl\u00e4utert Mark Dehus, Director of Threat Intelligence bei Lumen Black Lotus Labs. \u201cSobald ein neues Malware-Sample entdeckt wird, k\u00f6nnen wir beispielsweise die Methoden, mit denen es sich an einen Command & Control-Server meldet, mit Reverse Engineering nachvollziehen. So k\u00f6nnen wir einen Bot emulieren, der sich mit verd\u00e4chtigen Servern verbinden, sie validieren und die Befehle \u00fcberwachen kann, die sie an die Bots \u00fcbermitteln. Der Kampf gegen Botnetze und ihre Betreiber ist langwierig, aber wir hoffen, das Blatt wenden zu k\u00f6nnen.\u201d<\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong>Unser kostenloser Newsletter<\/strong><\/a> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Ein Botnetz besteht aus vielen \u201cZombie\u201d-Rechnern und l\u00e4sst sich beispielsweise einsetzen, um DDoS-Attacken zu fahren. Das sollten Sie zum Thema wissen.\u00a0 FOTOKINA | shutterstock.com Kriminelle Hacker suchen stets nach M\u00f6glichkeiten, Malware in gro\u00dfem Umfang zu verbreiten oder Distributed-Denial-of-Service (DDoS)-Angriffe zu fahren. Ein Botnet eignet sich dazu besonders gut. Botnet \u2013 Definition Ein Botnet ist eine […]<\/p>\n","protected":false},"author":0,"featured_media":939,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-3880","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3880"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3880"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3880\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/939"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3880"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3880"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3880"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}