20. Juni 2024
Mit dem Botnet 911 S5 richteten Cyberkriminelle über mehrere Jahre Schäden in Milliardenhöhe an. Ende Mai konnte das FBI zusammen mit Ermittlungsbehörden verschiedener Länder dem Drahtzieher das Handwerk legen. Aber was ist überhaupt ein Botnet, wie funktioniert es, und wie schützt man sich davor, Teil davon zu werden?
Sie durchweben das Internet wie gigantische Spinnennetze: Botnets verbinden Computer zu riesigen Netzwerken und instrumentalisieren sie für ihre Zwecke – ohne dass die Nutzenden davon etwas ahnen. Denn die Schadsoftware ist so programmiert, dass sie sich still und leise auf dem Rechner verhält, bis sie durch einen Befehl des sogenannten Bot-Hirten „geweckt“ wird. Hat sich das Schadprogramm erst einmal auf dem Rechner oder Smartphone eingenistet, kann es auch andere Geräte im Netzwerk infizieren und in die Zombie-Armee einreihen – sei es der Internetrouter, die Webcam oder das Smart-TV. Studien zufolge werden pro Tag weltweit mehrere Tausend Rechner gekapert und für zumeist illegale Zwecke missbraucht. Ein neu ans Internet angeschlossener Computer wird demnach bereits nach wenigen Minuten erstmals von Cyberkriminellen attackiert.
Wofür werden Botnets von Cyberkriminellen benutzt?
Cyberkriminelle nutzen die Zombie-Armeen für die verschiedensten Zwecke: um Spam- und Phishing-Nachrichten zu versenden, um Viren zu verbreiten oder um andere Geräte zu infiltrieren und so das Netz zu vergrößern. Oder als Hintertür, um sensible Nutzerdaten abzugreifen oder die Daten auf den infizierten Rechnern zu verschlüsseln und deren Besitzerinnen und Besitzer zu Lösegeldzahlungen zu erpressen.
Über das 2023 in Deutschland zerschlagene Botnet „Quakbot“ etwa sind Unternehmen, Behörden und dem Gesundheitswesen so weltweit Schäden von mehreren Hundert Millionen Euro entstanden. Noch weit höhere Schäden verursachte das Botnet 911 S5, dessen Kopf im Mai in Singapur verhaftet wurde. Es wurde unter anderem dazu verwendet, um über eine halbe Million gefälschte Anträge auf Arbeitslosengeld an US-Behörden zu schicken. Allein der Schaden aus dieser Aktion wird von der US-Generalstaatsanwaltschaft auf mehr als 5,9 Milliarden US-Dollar geschätzt.
Die digitalen Zombie-Armeen werden außerdem oft gegen Geld an andere Cyberkriminelle vermietet, die sie für ihre eigenen Zwecke einsetzen. Besonders häufig werden die Botnets für sogenannte DDoS-Angriffe („Distributed Denial-of-Service“) genutzt: Von den gekaperten Computern aus werden Webseiten oder Server mit Aufrufen bombardiert und so überlastet. Die Webseiten von Netzschwergewichten wie Amazon, eBay und Yahoo, aber auch die der Bundesanstalt für Finanzdienstleistungsaufsicht wurden auf diesem Wege kurzzeitig lahmgelegt.
Immer öfter müssen die elektronischen Zombies im Auftrag der Hackerinnen und Hacker zudem nach Bitcoins oder anderen Kryptowährungen schürfen. Während die Cyberkriminellen so Millionen „minen“, klettert bei den betroffenen Nutzenden die Stromrechnung, reagiert der Rechner nur verlangsamt und segnet durch die Mehrbelastung schließlich früher das Zeitliche.
Wie wird man unfreiwillig zum Teil der Zombie-Armee?
Die meisten Nutzenden infizieren sich beim Besuch einer Webseite oder beim Öffnen eines fragwürdigen E-Mail-Anhangs. Die Bots können aber auch in einen Computer eindringen, wenn dieser nicht durch ein Antivirenprogramm und eine Firewall geschützt ist. Einen besonders perfiden Weg wählten die Betreiber des besagten Botnets 911 S5. Sie nutzten frei verfügbare VPN-Programme, die sich Nutzende installieren, um anonym im Web zu surfen oder ihren tatsächlichen Aufenthalt gegenüber Webseiten zu verschleiern. Diese Programme taten, was sie versprachen, dienten den Cyberkriminellen aber zugleich als Hintertür zum Botnet. 19 Millionen Rechner in über 190 Ländern wurden auf diese Weise infiltriert. Woran man erkennt, ob man eines der missbrauchten VPN-Programme auf dem eigenen Rechner hat und wie man es wieder loswird, wird auf dieser Seite des FBI in englischer Sprache erklärt.
© Adobe StockWer nicht unfreiwillig Teil eines Botnetzes werden möchte, sollte die gängigen Sicherheitsvorkehrungen – wie einen Browserschutz – treffen.
Wie kann man das eigene Endgerät vor der Zombifizierung schützen?
Ob der eigene Rechner bereits für die Zombie-Armee rekrutiert wurde – das ist nur bedingt herauszufinden. Wenn die Arbeitsgeschwindigkeit des PCs oder die Internetverbindung langsamer wird, kann das zwar ein Hinweis auf ein Botnet sein. Es kann aber ebenso gut auch andere Gründe haben. Vor allem: Wenn der Bot heimlich, still und leise auf dem Rechner schlummert und auf Befehle des Bot-Hirten wartet, gibt es überhaupt keine Möglichkeit, ihn zu identifizieren. Um sich erst gar nicht ins Spinnennetz zu verstricken, gelten dieselben Empfehlungen wie gegen andere Formen der Cyberkriminalität:
- Dubiose Webseiten umsurfen, keine fragwürdigen Links anklicken oder E-Mail-Anhänge öffnen.
- Einen Virenscanner installieren – kostenlose Basisversionen erfüllen oft schon ihren Zweck!
- Gerätesoftware immer auf dem neuesten Stand halten. Sicherheitsupdates zügig oder bestenfalls automatisch installieren lassen.
- Keine Apps außerhalb des Play- oder Applestores installieren. Hundertprozentige Sicherheit können zwar auch diese nicht garantieren. Sie werden aber in jedem Fall auf Schadsoftware geprüft.
- Berechtigungsanfragen einer App nicht unhinterfragt bestätigen: Muss die neu installierte Notiz-App wirklich auf die eigenen Kontakte zugreifen oder Nachrichten verschicken dürfen, um ihre Funktion erfüllen zu können? Solche Fragen sollte man sich bewusst und in aller Ruhe stellen, statt einfach ungeduldig auf „Zugriff erlauben“ zu klicken.