Der Begriff „Botnet“ setzt sich aus zwei Wörtern zusammen: Roboter und Netzwerk. Grundsätzlich ist ein Botnet eine Gruppe oder ein Netzwerk von Computern oder anderen Geräten, die über das Internet verbunden sind. Mithilfe von Malware infiziert ein Hacker diese Geräte und verwandelt sie in eine Armee von Untergebenen, die dann willenlos ihre Befehle ausführen.
Botnet-Angriffe werden immer häufiger und komplexer. Aber was genau sind sie? Wie funktionieren sie, was können sie bewirken, und vor allem, wie kann man sie verhindern? In diesem Artikel werden diese und andere Fragen zu Botnet-Angriffen geklärt.
Botnet-Angriffe verwenden ein Befehls- und Kontrollmodell, das es einem oder mehreren Hackern ermöglicht, die Aktionen dieser Geräte (oft als „Zombie-Bots“ bezeichnet) von einem entfernten Standort aus zu steuern. Je mehr Geräte mit der Malware des Angreifers infiziert wurden, desto stärker ist wahrscheinlich der Angriff.
Jedes Gerät, das auf das Internet zugreifen kann, könnte als Zombie-Bot in einem Botnet-Angriff verwendet werden, der Unternehmen in Gefahr bringt. Dies gilt insbesondere dann, wenn das Gerät nicht regelmäßig mit Antiviren-Softwares aktualisiert wird.
Alle fünf Hauptkategorien von Internet-of-Things (IoT)-Anwendungen können Sicherheitsrisiken bergen, einschließlich Bereiche von Verbrauchern, Handel, Industrie, Smart-City-Infrastruktur und Militär. In jedem dieser Bereiche ist der Markt mit IoT-Geräten überschwemmt, von denen viele Sicherheitslücken haben.
Zu den anfälligen Geräten können gehören:
Computer
Handys
Tablets
Netzwerk-Router
Web-Server
Wearables wie Smartwatches und Fitness-Tracker
Web-fähige Smart-Home-Geräte
Sicherheitskameras
Türklingel-Kameras
Fernsehapparate
Thermostate
Lautsprecher
Was ist das Problematische von Botnet-Angriffen?
Cyber-Kriminelle können allein oder mit einem kleinen Team erheblichen Schaden anrichten. Viele sind jedoch bereit, nur ein wenig Zeit und Geld zu investieren, um einen Botnet-Angriff zu entwickeln, der ihre Bemühungen um ein Vielfaches verstärkt.
Botnet-Angriffe sind weitaus gefährlicher als einzelne Malware-Angriffe, da Botnets nicht nur ein einzelnes Gerät infizieren, sondern Hunderte, Tausende oder sogar Millionen von verbundenen Geräten auf einmal. Dies stellt eine exponentielle Bedrohung dar, die viel schwieriger zu stoppen ist.
Da der Angreifer eingehende Software-Updates von infizierten Geräten nutzen kann, um seinen Angriff umzuleiten oder zu erweitern, bekommt man ihn noch schwieriger zu fassen. Damit sind Angreifer den Gegenmaßnahmen ihrer Opfer einen Schritt voraus.
Mit einer großen Zahl von Zombie-Bots kann ein einzelner Angreifer mehr tun, als ganze Netzwerke zu kompromittieren. Sie können ihre Malware schnell vervielfältigen und verbreiten, indem sie immer mehr Geräte als unfreiwillige Rekruten kapern.
Botnet-Angriffe können von einer einzelnen Person oder einem Team durchgeführt werden. In jedem Fall wird eine Gruppe von Zombie-Bots von einem Bot-Hirten kontrolliert, d. h. von einer Person oder Gruppe, die den Angriff durchführt. Der Bot-Herder kann sein eigenes Botnetz von Grund auf neu aufbauen oder es von anderen bösartigen Akteuren mieten (manchmal auch als „Malware-as-a-Service“ oder MaaS bezeichnet).
Einmal infiziert, werden Zombie-Bots anonym über ein zentrales Client-Server-Modell oder ein dezentrales Peer-to-Peer-Modell (P2P) gesteuert.
Ein zentralisierter Botnet-Angriff wird von einem einzigen Server ausgeführt, der als Bot-Herder fungiert. Darunter kann eine Hierarchie aus Proxy- oder Sub-Herding-Servern eingerichtet sein, aber die Befehle stammen vom Sserver des Bot-Herder.
Der zentralisierte Ansatz ist ein wenig veraltet. Wie Sie sich vorstellen können, ist es viel einfacher, einen zentralisierten Server zu identifizieren und abzuschalten, als einen Angriff zu lokalisieren und zu stoppen, wenn die Befehle von mehreren Zombie-Bots ausgeführt werden.
Bei einem dezentralen Botnet-Angriff sind alle Bots im Botnet für die Erteilung von Anweisungen verantwortlich. Wenn der Angreifer mit einem der Geräte kommunizieren kann, kann die Malware weiter über die anderen gekaperten Geräte verbreitet werden.
Wie Sie sich vorstellen können, macht es der P2P-Rahmen sehr viel schwieriger, die Person oder Personen zu identifizieren, die die Kontrolle haben. Aus diesem Grund ist das dezentralisierte Modell viel weiter verbreitet.
Die Durchführung eines Botnet-Angriffs erfolgt in drei grundlegenden Schritten.
Eine Schwachstelle finden
Benutzergeräte infizieren
Den Angriff starten
Jede Schwachstelle in einer Website oder Anwendung kann eine Angriffsfläche für Botnets bieten. Manchmal entsteht diese Schwachstelle durch unbeabsichtigtes Benutzerverhalten. Unabhängig von der Quelle der Schwachstelle ist es das Ziel des Angreifers, einen Weg zu finden, sie auszunutzen.
In diesem Fall werden ahnungslose Benutzer durch die Verbreitung von Malware in Zombie-Bots verwandelt. Ein Beispiel für eine Übermittlungsmethode sind Spamming und Social Engineering, bei denen Angreifer E-Mails oder andere Nachrichten verschicken, die den Benutzer dazu verleiten, Malware, z. B. einen Trojaner, herunterzuladen.
Es gibt eine Reihe von Übermittlungsmethoden, die als dreister angesehen werden könnten, aber egal, welche sie wählen, das Ziel der Angreifer ist es, Ihre Sicherheit zu verletzen, indem sie die Sicherheit einiger weniger Benutzer verletzen.
Sobald einige Geräte infiziert sind, kann der Botnet-Angreifer sie miteinander vernetzen, sodass sie aus der Ferne gesteuert werden können. Ihr oberstes Ziel ist es, so viele Geräte wie möglich zu kapern, um so viel Schaden wie möglich anzurichten.
Schauen wir uns an, welche Art von Schaden Botnet-Angriffe anrichten können.
Cyberkriminelle setzen Botnet-Angriffe aus vielerlei Gründen ein, aber Geld und Macht stehen in der Regel im Mittelpunkt ihrer Strategie. Sobald sie die Kontrolle über die Zombie-Geräte haben, können sie auf Vorgänge zugreifen, die normalerweise den Benutzern der Administratorebene vorbehalten sind, wie z. B.:
Überwachung der Nutzeraktivitäten
Sammeln von Nutzerdaten
Installation und Betrieb von Anwendungen
Übermittlung sensibler Daten oder Dateien
Identifizierung von Schwachstellen in anderen Netzwerkgeräten
Lesen und Schreiben von Daten im System
Wenn sie diese Bereiche unter ihre Kontrolle gebracht haben, könnte ein Angreifer sie für Ad-hoc-Verbrechen nutzen, einschließlich:
Unverhohlenes Stehlen von Geld
Erpressung von Zahlungen
Mining für Kryptowährungen
Diebstahl vertraulicher Kontodaten
Verkauf ihres gestohlenen Zugangs an andere
Oftmals werden Botnet-Angriffe genutzt, um ein sekundäres System zu aktivieren. Sobald sie die Kontrolle übernommen haben, gibt es einige Standardtaktiken, die Angreifer je nach ihrem Ziel einsetzen können.
E-Mail-Spam und Phishing-Betrug gehen Hand in Hand. Diese Social-Engineering-Taktik ist eine weitverbreitete Methode, um Benutzer anzulocken und dann dazu zu bringen, ihre Anmeldedaten oder andere sensible Informationen preiszugeben. Wenn das Phishing erfolgreich ist, kann es Zugriff auf das Gerät des Opfers gewähren und es dem Botnet hinzufügen.
DDoS ist eine der häufigsten Arten von Botnet-Angriffen. Bei DDoS überflutet ein Angreifer ein Netzwerk mit hohem Datenverkehr mit dem Ziel, den Dienst zu unterbrechen.
Ein berüchtigtes Beispiel hierfür ist der Mirai-Botnet-Angriff aus dem Jahr 2016, bei dem ein großer Anbieter von Domain-Namen-Diensten lahmgelegt werden konnte. Mirai verursachte Leistungsunterbrechungen und komplette Ausfälle von Diensten wie Netflix, Twitter, CNN und anderen. Sie wirkte sich auch auf ein ganzes Land (Liberia) und mehrere der größten russischen Banken aus.
Brute Force wird eingesetzt, wenn Angreifer keinen Zugang zu den Anmeldekennwörtern seines Ziels haben. Stattdessen versuchen sie, sie gewaltsam an sich zu reißen. Credential Stuffing und Wörterbuchangriffe können verwendet werden, um schwache Benutzerkennwörter zu knacken und Zugang zu den zugehörigen Daten zu erhalten.
Bevor wir über Prävention sprechen, sollten wir uns die folgenden Statistiken ansehen:
Bis 2023 werden schätzungsweise 43 Milliarden internetfähige Geräte im Einsatz sein (McKinsey).
Im Jahr 2021 stiegen die durchschnittlichen Kosten im Zusammenhang mit Datenschutzverletzungen gegenüber dem Vorjahr um 10% auf 4,24 Millionen US-Dollar (IBM).
Bedenkt man die Kosten einer Datenschutzverletzung, die allein durch die Anzahl der potenziell gefährdeten Geräte noch höher sind, wird die Dringlichkeit des Schutzes Ihres Unternehmens deutlich. Wo sollten Sie also ansetzen, wenn es darum geht, Botnet-Angriffe zu vermeiden?
Diese Liste ist nicht erschöpfend, enthält aber einige bewährte Verfahren, die in Betracht gezogen werden sollten.
Halten Sie alle Systeme auf dem neuesten Stand. Botnets sind darauf ausgelegt, Schwachstellen in Ihrem Netzwerk auszunutzen, wozu auch ungepatchte Sicherheitsrisiken in angeschlossenen Geräten gehören. Sorgen Sie für mehr Sicherheit auf diesen Geräten, indem Sie Antiviren- und andere Software-Updates und Patches installieren, sobald sie verfügbar sind. Auch wenn sie nicht aktiv genutzt werden, sollte die gesamte Hardware und ältere Geräte auf dem neuesten Stand gehalten werden.
Bereitstellung von Schulungen zur Sensibilisierung der Benutzer. Stellen Sie sicher, dass Mitarbeiter und andere Nutzer Ihres Netzwerks wissen, wie sie Spam, Phishing und unsichere Links erkennen und vermeiden können. Ein einziger falscher Klick genügt, um Ihr Netzwerk zu gefährden.
Multi-Faktor-Authentifizierung (MFA). Mit MFA lässt sich die reine Passwort-Anmeldung durch schnellere und sicherere Anmeldevorgänge beim Zugriff auf Anwendungen oder Websites, die mit bestimmten Fast Identity Online (FIDO)-Standards ausgestattet sind, ersetzen.
FIDO2 - Benutzer wählen einen FIDO-Sicherheitsschlüssel oder eine biometrische Authentifizierungsmethode (z. B. Fingerabdruck oder Gesichtserkennung) zur Authentifizierung
Universal Authentication Framework (UAF) - Benutzer wählen eine biometrische Authentifizierungsmethode für ihr Gerät und verwenden diese zur Authentifizierung
Universal Second Factor (U2F) - Der Benutzer steckt einen USB-Schlüssel in einen beliebigen USB-Anschluss und berührt zur Authentifizierung eine Taste
Überwachen Sie den Netzwerkverkehr. Wenn Sie den Verkehrsfluss und das Verkehrsvolumen genau im Auge behalten, können Sie potenzielle Datenlecks und DDoS-Angriffe erkennen, bevor sie sich ausbreiten. PingOne Risk und PingIntelligence für APIs können Ihnen dabei helfen.
Einführung einer passwortlosen Umgebung: Sicherheitsarchitekten müssen die Reibungsverluste (Passwörter, andere Authentifizierungsfaktoren) berücksichtigen, die für eine bestimmte Erfahrung erforderlich sind. Wenn Sie ohne Passwort arbeiten, können Sie die bestmögliche Benutzererfahrung schaffen, ohne auf Sicherheit zu verzichten.
Zero Trust einführen. Dies ist der derzeit fortschrittlichste Ansatz für die Cybersicherheit. Anstelle des bisherigen Standards eines perimeterzentrierten Netzwerks („trust but verify“) geht ein Zero-Trust-Modell davon aus, dass Sicherheitsbedrohungen bereits im Unternehmen vorhanden sind, und erfordert kontinuierliche Vertrauensbewertungen für jedes Gerät, jede Anwendung und jeden Benutzer („never trust, always verify“).
Mit Ping Identity schützen Sie Ihre Mitarbeiter und gleichzeitig Ihr Unternehmen durch reibungslosen Zugang. Klicken Sie auf den Link, um den ultimativen Leitfaden zu erhalten.
Starten Sie jetzt
Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.
Kostenlose Demo anfordern