Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Angriffsmethoden Glossar

Botnet

Netzwerk aus vielen kompromittierten Computern und IoT-Geräten, die von einem Angreifer (Botmaster) ferngesteuert werden - meist für DDoS-Angriffe, Spam oder Krypto-Mining.

Ein Botnet (kurz für “Robot Network”) ist ein Verbund aus vielen infizierten Geräten - PCs, Server, Router, IP-Kameras, Smart-Home-Geräte - die ohne Wissen ihrer Eigentümer von einem Angreifer (dem sogenannten Botmaster oder C2-Operator) ferngesteuert werden.

Wie ein Botnet entsteht

  1. Infektion: Malware (Bot) infiziert Geräte über Phishing, Exploits oder Brute-Force schwacher Passwörter
  2. Kommunikation: Infiziertes Gerät verbindet sich mit Command & Control (C2) Server des Angreifers
  3. Kontrolle: Botmaster kann tausende oder Millionen Geräte gleichzeitig steuern
  4. Missbrauch: Koordinierter Einsatz für verschiedene Angriffsziele

Häufige Verwendungszwecke

DDoS-Angriffe: Gleichzeitige Anfragen von Millionen IPs überlasten Ziel-Server.

Spam-Kampagnen: Millionen von Phishing-E-Mails von tausenden verschiedenen IPs - schwerer zu blockieren.

Credential Stuffing: Automatisiertes Testen gestohlener Passwort-Listen gegen Login-Portale.

Krypto-Mining: Rechenleistung der infizierten Geräte für Mining ohne Wissen des Eigentümers.

Proxy-Netzwerke: Verschleierung des echten Ursprungs von Angriffen.

Ransomware-Verteilung: Botnet als Infrastruktur für initiale Zugänge (Initial Access Broker).

Bekannte Botnets

  • Mirai (2016): Infizierte IoT-Geräte mit Standard-Passwörtern, 620 Gbps DDoS-Angriff auf Krebs on Security
  • Emotet: Banking-Trojaner, der sich zu einem der gefährlichsten Botnet-Netzwerke entwickelte (2021 zerschlagen, 2022 zurück)
  • Qakbot: Long-runner, regelmäßige Takedowns durch Strafverfolgungsbehörden

Erkennung und Schutz

Erkennung auf Endpunkt: Ungewöhnliche Netzwerkverbindungen, hohe CPU-Last ohne erklärbaren Prozess, EDR-Alerts.

Netzwerkerkennung: Verbindungen zu bekannten C2-Server-IPs (Threat Intel Feeds), ungewöhnliche Kommunikationsmuster (regelmäßige Beacon-Verbindungen).

Prävention: Starke Passwörter (besonders IoT!), regelmäßige Updates, Netzwerk-Segmentierung, EDR-Lösung.

Botnet-Takedowns erfolgen durch Strafverfolgungsbehörden in Zusammenarbeit mit Internet-Service-Providern und Sicherheitsforschern (z.B. Europol, FBI, BSI).

AWARE7 Leistungen zum Thema

Penetrationstest

Ausführlicher Wiki-Artikel

DDoS-Angriffe: Typen, Abwehr und aktuelle Bedrohungslage

10 min Lesezeit

Incident Response

9 Min. Lesezeit

Ransomware

8 Min. Lesezeit

Verwandte Begriffe

APT (Advanced Persistent Threat) DDoS (Distributed Denial of Service) IOC (Indicator of Compromise) Malware
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung