Botnet

Ein Botnet (auch Botnetz) ist ein Verbund aus kompromittierten Computern, Servern oder IoT-Geräten, die von einem Angreifer ferngesteuert werden, ohne dass deren Besitzer davon wissen. Die einzelnen infizierten Geräte — sogenannte Bots oder Zombies — erhalten Befehle über Command-and-Control-Infrastrukturen (C2) und führen koordinierte Aktionen aus. Botnets sind eines der vielseitigsten Werkzeuge der Cyberkriminalität: Sie werden für DDoS-Angriffe, Spam-Versand, Credential Stuffing, Kryptomining und die Verbreitung weiterer Malware eingesetzt.

Aufbau und Steuerung

Botnets bestehen aus drei Komponenten: dem Bot-Herder (Betreiber), der C2-Infrastruktur und den infizierten Endgeräten. Klassische Botnets nutzten zentralisierte C2-Server — eine Architektur, die durch das Abschalten des Servers gestört werden kann. Moderne Botnets setzen deshalb auf dezentrale Peer-to-Peer-Kommunikation, Domain-Generation-Algorithms (DGAs) oder versteckte Kanäle über soziale Medien und verschlüsselte Messenger. Diese Techniken machen eine Abschaltung erheblich schwieriger, da es keinen einzelnen Kontrollpunkt mehr gibt.

Infektionswege

Die Rekrutierung neuer Bots erfolgt über bewährte Angriffsvektoren: Phishing-E-Mails mit Trojanern, Ausnutzung ungepatchter Schwachstellen, kompromittierte Software-Downloads oder Brute-Force-Angriffe auf schwache Zugangsdaten. Besonders IoT-Geräte — Router, Kameras, Smart-Home-Geräte — sind attraktive Ziele, da sie oft mit Standardpasswörtern betrieben werden und selten Sicherheitsupdates erhalten. In der Praxis sehen wir regelmäßig, dass Unternehmen nicht einmal bemerken, dass ihre Geräte Teil eines Botnets sind, weil die Auswirkungen auf dem einzelnen Gerät minimal erscheinen.

Einsatzszenarien

Die Vielseitigkeit macht Botnets besonders gefährlich. Als DDoS-Waffe überfluten sie Zielserver mit Millionen gleichzeitiger Anfragen. Für Credential-Stuffing-Angriffe testen sie automatisiert gestohlene Zugangsdaten gegen verschiedene Dienste. Spam-Botnets versenden massenhaft Phishing-E-Mails, wobei die verteilte Infrastruktur DNSBL-basierte Sperrlisten umgeht. Im Bereich Kryptomining missbrauchen sie die Rechenleistung der infizierten Geräte. Botnets-as-a-Service ermöglichen es auch technisch weniger versierten Akteuren, diese Infrastruktur zu mieten.

Erkennung und Abwehr

Die Erkennung einer Botnet-Infektion erfordert die Überwachung des Netzwerkverkehrs auf verdächtige Muster: ungewöhnliche ausgehende Verbindungen, regelmäßige Beacon-Signale zu unbekannten Servern oder plötzliche Lastspitzen. SIEM-Systeme können diese Anomalien korrelieren und Alarme auslösen. Auf Netzwerkebene helfen DNS-basierte Schutzmaßnahmen wie DNS-Sinkholing, um C2-Kommunikation zu unterbinden. EDR-Lösungen erkennen verdächtige Prozesse auf Endpunkten, die auf Bot-Aktivität hindeuten.

Wir finden in Assessments häufig, dass Unternehmen ausgehenden Netzwerkverkehr kaum überwachen. Dabei liefern gerade Egress-Logs die wertvollsten Hinweise auf Botnet-Infektionen — etwa wenn ein Drucker regelmäßig Verbindungen zu wechselnden externen IP-Adressen aufbaut.

Prävention

Effektiver Schutz vor Botnet-Infektionen beginnt mit grundlegender Cyber-Hygiene: konsequentes Patch-Management, Änderung von Standardpasswörtern auf allen Geräten, Netzwerksegmentierung zur Isolation von IoT-Geräten und Egress-Filterung über die Firewall. Multi-Faktor-Authentifizierung verhindert, dass kompromittierte Zugangsdaten für die Weiterverbreitung genutzt werden. DNS-Filterung blockiert bekannte C2-Domains, bevor eine Verbindung aufgebaut wird.

Relevanz für KMUs

KMUs sind in doppelter Hinsicht betroffen: Ihre Geräte können unwissentlich Teil eines Botnets werden, und sie können Ziel von Botnet-gestützten Angriffen sein. Besonders gefährdet sind Unternehmen mit IoT-Geräten im Netzwerk, die nicht vom regulären IT-Betrieb erfasst werden — Netzwerkdrucker, IP-Kameras oder ältere NAS-Systeme, die niemand mehr aktiv verwaltet.

Eine vollständige Asset-Inventarisierung, segmentierte Netzwerke und die Auswertung von Firewall-Logs auf ungewöhnlichen ausgehenden Verkehr sind pragmatische erste Schritte. Wer zusätzlich DNS-Filterung und Patch-Management etabliert, reduziert das Risiko erheblich, unfreiwillig zum Teil einer kriminellen Infrastruktur zu werden.