Botnetz.

Ein Botnetz ist eine Ansammlung kompromittierter Endpunkte — PCs, Server, Router, IoT-Geräte —, die sich mit einem oder mehreren Command-and-Control-Servern (C2) verbinden und Befehle des Botnetz-Betreibers (des „Botmasters") ausführen. Botnetze werden für DDoS-Angriffe, Spam, Credential Stuffing, Klickbetrug, Krypto-Mining, Malware-Verteilung und als Proxy-Netze für weitere Einbrüche eingesetzt. Sie nutzen zentralisierte C2, Peer-to-Peer oder Fast-Flux-DNS, um Takedowns zu widerstehen.

Das prägende Merkmal ist die Größe. Das Mirai-Botnetz (2016) rekrutierte hunderttausende IoT-Kameras und Router mithilfe einer Liste von Standard-Zugangsdaten und richtete dann rund 1 Tbit/s Traffic gegen den DNS-Anbieter Dyn, wodurch Twitter, Reddit und Spotify offline gingen. Das Residential-Proxy-Botnetz „911 S5" — im Mai 2024 vom FBI und internationalen Partnern mit der Verhaftung des Administrators YunHe Wang zerschlagen — hatte fast 19 Millionen IP-Adressen in nahezu 200 Ländern infiziert, vermietete die Geräte der Opfer an Betrüger und verursachte Schäden in Milliardenhöhe. Banking-Botnetze wie Emotet und Qakbot wurden auf ähnliche Weise durch koordinierte Sinkholing-Operationen der Strafverfolgungsbehörden gestört.

flowchart TD
  M[Malware-Infektion<br/>Standard-Zugangsdaten / Exploit / Phishing] --> B1[Bot 1]
  M --> B2[Bot 2]
  M --> B3[Bot N]
  B1 --> C[C2-Server / P2P / Fast-Flux]
  B2 --> C
  B3 --> C
  C --> O[Botmaster erteilt Befehle]
  O --> A[DDoS / Spam / Proxy / Mining]

Schutzmaßnahmen umfassen Endpoint-Hygiene, IoT-Firmware-Updates, das Blockieren bekannter C2, Sinkholing, Egress-Filterung, Netzwerk-Anomalieerkennung sowie behördlich geführte Takedowns.