IT-Sicherheit So funktioniert ein Botnetz

Ein Botnetz besteht aus mehreren Rechnern, die mit Schadsoftware infiziert sind.

(Foto: dpa)

Ermittler haben in einer großangelegten Aktion die wohl größte Infrastruktur für diese Waffe von Kriminellen ausgehoben. Aber was ist ein Botnetz überhaupt?

Von Simon Hurtz und Marvin Strathmann

Kriminelle haben in Deutschland jahrelang zehntausende Computer gleichzeitig kontrolliert. Sie hatten die Geräte mit Schadsoftware infiziert und konnten sie fernsteuern. Das wurde bekannt, als es Ermittler am Donnerstag gelang, das Netzwerk der Betrüger aufzudecken. Sie entzogen den Kriminellen die Kontrolle über "Avalanche", ein sogenanntes Botnetz. Mit diesem riesigen Verbund ferngesteuerter Rechner hatten diese seit 2009 viele Millionen Euro verdient. Die wichtigsten Antworten zu dem Fall:

Was ist ein Botnetz?

Der Begriff steht für ein Netzwerk aus sogenannten Bots. Das Wort leitet sich vom englischen "robots" ab, mit Robotern haben sie aber nichts zu tun. Roboter sind Hardware, Bots sind Software. Einen Roboter kann man physisch anfassen, ein Bot ist ein Computerprogramm, das automatisiert bestimmte Aufgaben übernimmt, die sonst von Menschen erledigt werden. Besonders bekannt sind Social Bots, die automatisiert bestimmte Botschaften und Inhalte in sozialen Medien wie Twitter verbreiten und mit anderen Nutzern interagieren. Eine ausführliche Erklärung findet sich bei Netzpolitik.org.

Auch diese Social Bots können zu Netzwerken zusammengeschaltet werden, die dann zum Beispiel für Propaganda benutzt werden, indem sie massenhaft Tweets zu einem bestimmten Thema absetzen. Den Betreibern des Avalanche-Botnetzes ging es aber nicht darum, politisch Einfluss zu nehmen. Sie infizierten Zehntausende Smartphones und PCs mit Schadsoftware, um diese fernsteuern zu können. Ähnlich wie bei einem Grippevirus verläuft die Infektion nach einem Schneeballsystem: Jeder verseuchte Rechner verschickt Dutzende oder Hunderte Nachrichten an andere Nutzer und versucht, möglichst viele weitere Geräte "anzustecken". Die Betroffenen bekommen von der Übernahme ihrer Rechner meist nichts mit und bemerken auch nicht, wenn ihr Gerät später ohne ihr Zutun aktiv wird.

Was ist das Ziel eines Botnetzes?

Die Kriminellen verwenden die gekaperten Geräte häufig, um im großen Stil Spam- und Phishing-Mails zu versenden oder Erpresser-Software zu verbreiten. Diese Ransomware verschlüsselt alle Dateien auf der Festplatte und verlangt dann digital Lösegeld, bevor die Betroffenen wieder auf ihre Daten zugreifen können.

Betrüger kontrollierten 50 000 deutsche Rechner gleichzeitig

Ermittler haben ein riesiges, weltweit aktives Netzwerk von Cyber-Kriminellen zerschlagen. Betroffene Nutzer müssen jetzt aber selbst aktiv werden. mehr ...

In den vergangenen Wochen tauchten Botnetze auch immer wieder im Zusammenhang mit sogenannten "Distributed Denial of Service"-Angriffen (DDoS) auf. Bei DDoS-Attacken greifen viele von Bots gekaperte Geräte innerhalb kurzer Zeit auf einen Server zu und bringen diesen so zum Absturz. Server stellen Daten zur Verfügung, auf die andere zugreifen können. Zum Beispiel können sie eine Webseite bereitstellen, die ein Nutzer zuhause aufrufen kann.

Als etwa im Jahr 2010 Wikileaks-Konten bei Zahlungsdienstleistern wie Mastercard, Visa und Paypal gesperrt wurden, legten Aktivisten diese Webseiten mit einer DDoS-Attacke lahm. In diesem Oktober waren in Nordamerika etliche populäre Dienste wie Twitter, Netflix und Spotify mehrere Stunden nicht erreichbar. Dahinter steckte ein DDoS-Angriff auf den Internetdienstleister Dyn. Als Angriffswaffen übernommen hatten die Hintermänner mit dem Internet verbundene Geräte, vor allem Webcams und Videorekorder.

Auch der Ausfall von 900 000 Telekom-Routern am vergangenen Wochenende hängt mit einem Botnetz zusammen: Kriminelle wollten über eine weit verbreitete Schwachstelle heimlich neue Geräte infizieren. Dass die Router dabei auch noch ihren Besitzern den Dienst versagten, war lediglich ein Versehen. Das IT-Sicherheitsteam der US-Regierung erklärte, dass auch das Avalanche-Botnetz zu DDoS-Attacken fähig war. Es gibt aber keine Anzeichen, dass es solche Attacken auch ausgeführt hat.

Was ist das Besondere an Avalanche?

Die Kriminellen nutzten die Avalanche-Infrastruktur zunächst hauptsächlich, um Erpresser-Software zu verbreiten. Das Botnetz diente aber auch dazu, Phishing- und Spam-Mails zu versenden. Diese sollen die Empfänger dazu bringen persönliche Daten preiszugeben, indem beispielsweise ein Eingabeformular der Bank gefälscht wird. Zuletzt standen vor allem Bankkunden mit Online-Banking-Zugängen im Fokus der Betrüger. Laut der Staatsanwaltschaft Verden haben die Kriminellen von jedem Opfer durchschnittlich 5000 Euro erbeutet, Insgesamt waren es allein in Deutschland wohl viele Millionen Euro. Der genaue Schaden ist unklar, weltweit schätzt Europol die Summe auf mehrere hundert Millionen Euro.

Den Ermittlern zufolge wurden pro Woche mehr als eine Million Spam-Mails von den kontrollierten Geräten versandt. Dabei gingen die Kriminellen professionell vor und versuchten, ihre Steuerungs-Server vor den Behörden zu verstecken. Auf diesen Servern konnten die Kriminellen zugreifen und so Anweisungen an tausende infizierte Rechner weiterleiten. Außerdem kam ein Algorithmus zum Einsatz, der jeden Tag tausende neue Domains registrierte. Proxy-Server sollten die Anfragen an den Steuerungs-Server zusätzlich verschleiern.

Wie können sich Nutzer schützen?

Erst durch Schadsoftware wird ein Rechner zu einem Zombie, der quasi willenlos die Befehle von Kriminellen ausführt. Sie kann über Anhänge in E-Mails eingeschleust werden oder auf Webseiten versteckt sein. Ein Antiviren-Programm ist als Basisschutz nützlich, ersetzt aber nicht den gesunden Menschenverstand. Nutzer sollten auf verdächtige E-Mails achten, die mit Anhängen bei ihnen ankommen. Sie sollten außerdem Dateien nur von vertrauenswürdigen Quellen herunterladen. Zusätzlich sollten sie ihr System auf dem neuesten Stand halten: Automatische Updates sollten aktiviert, Aktualisierungen von Programmen und Betriebssystemen nicht aufgeschoben werden.

Kein Anschluss unter dieser Nummer - und jetzt?

Etwa 900 000 Telekom-Kunden hatten keine Internetverbindung. Kriegen sie jetzt ihr Geld zurück? Die wichtigsten Fragen und Antworten zum großen Netzausfall. Von Varinia Bernau, Valentin Dornis und Hakan Tanriverdi mehr ...

Es ist nicht leicht zu erkennen, ob ein Rechner Teil eines Botnetzes geworden ist. Ungewöhnliches Verhalten ist ein Hinweis, etwa wenn der Lüfter des Geräts laut wird, obwohl keine rechenintensiven Aktionen durchgeführt werden. Auch ein langsam laufender PC oder aufkommende Fehlermeldungen des Systems können ein Zeichen für ein Botnetz sein - leider auch für andere Computerprobleme. Die Webseite botfrei.de hat verschiedene Scanner zusammengestellt, die den eigenen Computer überprüfen und Schadsoftware aufdecken sollen.

Aus einem Botnetz können Nutzer nur fliehen, wenn die Schadsoftware entfernt wird. Dabei können Antiviren-Programme helfen. Allerdings besteht immer die Gefahr, dass diese nicht die komplette Schadsoftware beseitigen können und Reste zurücklassen. Eine komplette Neuinstallation des Betriebssystems ist die viel sichere Lösung - allerdings auch die deutlich aufwendigere. Zuvor sollten Nutzer ein Backup wichtiger Daten wie Fotos, Dokumente oder Videos erstellen.

Was tun Behörden?

Um Avalanche unschädlich zu machen, haben die Behörden sogenannte Sinkhole-Server verwendet. Die Domains, die auf den Steuerungs-Server verweisen, werden von den Behörden übernommen und leiten auf andere Server weiter, die von den Ermittlern kontrolliert werden. Von dort aus werden keine Anweisungen mehr an die infizierten Geräte weitergegeben. Die Server wurden zu einem Sinkhole, einem Erdloch. Und die Ermittler können nachvollziehen, welche befallenen Rechner auf die Steuerungs-Server zugreifen wollten.

Zusätzlich können Behörden über Sinkhole-Server weitere Informationen über das Botnetz herausfinden, etwa welchen Umfang es hat. Mit den Informationen können Internet-Provider wie Telekom oder Vodafone die Opfer des Netzes ermitteln und sie warnen.

Einen anderen Weg kann von dieser Woche an das FBI gehen. Eine Änderung im US-Recht ermächtigt die amerikanische Bundespolizei, Opfer von Malware zu hacken, um mehr über das Botnetz und die Kriminellen herauszufinden. Bürgerrechtler sind besorgt über diese Möglichkeit, sie kritisieren vor allem, dass nur ein Durchsuchungsbeschluss ausreichen kann, um Millionen Rechner zu infiltrieren. Denn die Opfer von Botnetzen können nun doppelt betroffen sein: Erst schleusen Kriminelle Malware auf ihr System ein, anschließend hackt auch noch das FBI ihren Rechner.

Aufstand der Maschinen

Webcams und Drucker sind potentielle Zombie-Waffen für Bot-Netze, die das Internet terrorisieren. Nutzer merken nicht einmal, wenn ihre Geräte andere angreifen. Von Jannis Brühl mehr...