1.4.3.4 Botnetze

Mit dem Begriff Botnetz sind Rechner (Bots) gemeint, in die Angreifer unbemerkt eingebrochen sind und die nun für Angriffe mißbraucht werden können. Der Nutzer eines Bots ahnt nicht, dass sein Rechner unterwandert wurde, da sich der Rechner unauffällig verhält. Das BSIBundesamt für Sicherheit in der Informationstechnik schätzt im Lagebericht 2014, dass 1 Mio. internetfähige Geräte in Deutschland zu Botnetzen gehören. Neben dem Ausführen von DoSDenial of Service-Angriffen ist der Versand von Spam die typischte Verwendung von Botnetzen. Eine weitere Verwendung ist das Bitcoin Mining, bei der Währungseinheiten der Internetwährung Bitcoins von den Bots errechnet werden. Außerdem können angebliche Klicks auf Werbeanzeigen erzeugt werden (sog. Click Fraud). Im Bundestagswahlkampf 2013 wurde ein Unterstützer-Blog für Peer Steinbrück mit solchen Methoden lahmgelegt und daraufhin nicht weiter betrieben (siehe Meldung der Agentur).

Botnetze waren in der Vergangenheit hierarchisch strukturiert. Von Rechnern an der Spitze der Hierarchie (Command & Control Server) konnten Kommandos an die Bots versandt werden, die diese dann ausgeführt haben. Die Hierarchie konnte auch mehrstufig organisiert sein, so dass Bots die Kommandos an weitere Bots weiterleiteten. Um das Jahr 2011 konnte mehrere große hierarchische Botnetze zerschlagen werden. Der signifikanteste Fall war dabei das Rustock Botnet, welches eine in die Millionen gehende Zahl von Microsoft Windows PCs befallen hatte. Die Beseitigung des Botnetzes im März 2011 hatte eine wesentliche Auswirkung auf den weltweiten Spam-Versand.

Aus der allgemeinen Netzwerkforschung ist bekannt, dass Peer-to-Peer-Netzwerke eine deutlich robustere Struktur aufweisen und auch dann noch funktionieren, wenn Teile des Netzwerkes beseitigt sind. Diese Erkenntnisse machten sich nach 2011 auch die Betreiber von Botnetzen zunutze, so dass schwer zu entfernende Netze mit Millionen von Bots gefunden wurden (siehe z.B. Artikel über versuchte Zerschlagungen des ZeroAccess Netzes oder Seite 4 und 5 im Sophos-Bericht 2014). Die typische Methode der Beseitigung des Botnetzes ist die Einschleusung von abgesicherten Rechnern in die Liste der Peers, die jeder Bot für sich verwaltet. Besteht diese Liste schließlich nur noch aus diesen abgesicherten Rechnern, so wurde der Bot erfolgreich vom Botnetz getrennt (die Technik nennt sich Sinkholing). Die Progammierer der Botnetze haben jedoch Methoden entwickelt, um dieses zu verhindern und immer weitere von ihnen kontrollierte Bots in den Peer-Listen zu halten. Außerdem werden sog. Domain Generator Algorithms eingesetzt, mit denen Kandidaten für Domains, unter den das Botnet zu erreichen ist, erzeugt und anschließend ausprobiert werden.

Die Größe von P2P Botnetzen kann zudem schwerer eingeschätzt werden als bei den hierarchischen Botnetzen (siehe Heise.de Meldung).

Im Bereich von der Botnetze hat sich eine organisierte Krimialität entwickelt, bei der Netze mit 10.000 Systemen über 200 Dollar für einen Tag "gemietet" werden können (laut BSI Lagebericht 2011).

Nicht nur Desktop Computer oder Notebooks können Teil eines Botnetzes werden. Viele Geräte, die heutzutage netzwerkfähig sind (Babyphones, Überwachungskameras), wurden auch schon über das Internet angeriffen und so zum Teil eines Botnetzes. Damit bringt das Internet of Things auch neue Gefahren mit sich. Im Jahr 2014 betraf dieses besonders Heim-Router des Herstellers AVM ("Fritzbox") (siehe beispielweise [http://www.heise.de/security/meldung/AVM-Router-Weitere-Luecke-in-der-FritzBox-Fernwartungsfunktion-2296040.html diesen Heise.de-Artikel), bei dem die Fernwartungsfunktion erhebliche Schwächen aufwies.

Im Jahr 2012 wurde ein aufsehenerregender Fall namens Carna Botnet bekannt, welches mit Hilfe von übernommenen fremden Geräten einen kompletten Scan aller IPv4-Adressen durchführte (Artikel bei Spiegel Online). Dieses Botnetz war an sich harmlos und wurde nur zu einer Art von Vermessung des Internets genutzt, bei der die Bots sämtliche IPv4-Adressen nach Geräten absuchten. Das Botnetz war sehr erfolgreich darin unter Verwendung von schwachen Login/Passwort-Kombinationen (etwas "admin"/"admin") in netzwerkfähige Geräte wie DSL Router einzudringen.