Millionen Nutzer betroffen: Hacker erklärt, wie du dein Gerät vor Botnetzen schützt

Das Handy in deiner Tasche oder der Laptop auf deinem Schreibtisch könnte ein Zombie-Gerät sein, denn Millionen von Rechnern und Geräten sind Teile von Botnetzen. Das heißt, sie sind übers Internet miteinander zu einem Schwarm vernetzt und führen im Hintergrund Aufgaben aus. Das Heimtückische: Meist bemerken wir das nicht. Doch Kriminelle nutzen dadurch unsere Geräte, um Spam zu versenden oder Server lahmzulegen.

Auf diesem Weg werden zum Beispiel Viren verbreitet sowie Menschen und Unternehmen um hohe Geldsummen erpresst. Mit DDos-Attacken durch Botnetze lassen sich potenziell auch Krankenhäuser sabotieren. Dem Bundesamt für Sicherheit in der Informationstechnik zufolge werden in Deutschland täglich bis zu 60.000 Systeme neu infiziert.

Die gute Nachricht: Wenn deine Geräte unbemerkt Teil eines Botnetzes wurden, kannst du dich wehren. Und du kannst mit ein paar Tricks verhindern, überhaupt in ein solches Botnetz hineinzukommen. Wie das geht, weiß Felix Freiling. Er ist Professor an der Friedrich-Alexander-Universität in Erlangen-Nürnberg und forscht zu IT-Sicherheit und Hacking.

Motherboard: Wie wahrscheinlich ist es eigentlich, dass ich als normale Nutzerin ein Problem mit Botnetzen habe?
Felix Freiling: Es gibt keine verlässlichen, globalen Zahlen, wie viele Prozent der Rechner infiziert sind oder nicht, weil keiner einen Überblick über alle Rechner im Internet hat. Microsoft, dessen Windows-Betriebssysteme weiterhin auf einer großen Zahl aller Rechner weltweit laufen, veröffentlicht regelmäßig Statistiken aus ihrer eingebauten Antiviren-Software. Bestimmte Botnetze wie Gamarue können demnach bis zu 17 Millionen Rechnern umfassen und es gibt Hunderte verschiedene Bot-etze. Prozentzahlen gab es 2017 für Erpressungssoftware, also Ransomware wie Wannacry: Weltweit sollen zwischen 0,03 und 0,48 Prozent aller Rechner befallen gewesen sein. Die Gefahr ist also groß und wenn man selbst nicht aufpasst, ist der eigene Rechner schnell dabei.

Wie verwandelt sich mein Rechner zu einem Zombie-Gerät?
Mittlerweile muss der Nutzer fast immer selbst einen Fehler machen, damit Schadsoftware installiert werden kann. Früher waren Rechner viel leichter direkt aus dem Netz angreifbar als heute. Kriminelle haben aus der Ferne Sicherheitslücken genutzt, um immer mehr Geräte zu Bots zu machen. Je mehr Rechner sie kontrolliert haben, umso mehr konnten sie in lokalen Netzwerken nach Sicherheitslücken suchen.

Heute haben Windows-Rechner standardmäßig ihre lokale Firewall eingeschaltet und viele Privatrechner sind durch einen Router am Internet, der sie schützt. Das hat dazu beigetragen, dass es zuletzt keine großen Ausbrüche von Schadsoftware mehr gab, die sich von alleine verbreitet haben.

Welchen Fehler sollte ich auf keinen Fall machen?
Bots vermehren sich hauptsächlich durch Spam, durch den sich die Nutzer selbst infizieren. Du erhältst eine ausführbare Datei per E-Mail und klickst darauf. Schadsoftware kann auch durch Office-Dokumente in E-Mail-Anhängen auf dein Gerät gelangen, wenn sie sogenannte Makros enthalten. Öffnest du die Dokumente und lässt zu, dass diese Miniprogramme ausgeführt werden, hast du dir die Schadsoftware eingefangen. Auch veraltete Versionen von Programmen wie dem Adobe Reader sind Einfallstore, wenn man damit PDFs aus Spam-Mails öffnet.

Eine andere Möglichkeit zur Infektion sind Links, die in den Mails enthalten sind. Wenn du auf die Links klickst und einen veralteten Browser mit bekannten Sicherheitslücken nutzt, kann der Angreifer auf diesem Weg gezielt Schadsoftware auf deinen Rechner spielen. Die Faustregel lautet also: Öffne keine E-Mail-Anhänge und klicke auf keine Links in E-Mails, außer du bist dir absolut sicher, dass der Absender vertrauenswürdig ist.

Was machen die Botnetz-Betreiber, wenn sie mein Gerät gekapert haben?
Botnetze sind das Schweizer Taschenmesser der Cyberkriminalität. Alles, was man in der Cyberkriminalität machen kann, lässt sich mit Bots machen. Das ist wie ein illegaler Supercomputer, mit dem man wahnsinnig viele Ressourcen befehligen kann. Die Betreiber können den Bots sogar von heute auf morgen neue Aufgaben geben. Wenn ein Bot heute noch darauf spezialisiert ist, Bankdaten abzugreifen, könnte er morgen schon Spam versenden.

Selbst wenn man nur ein kleines Netz aus 5.000 Rechnern hat, hat man eine wahnsinnige Rechenkapazität. Das nutzen die Betreiber zum Beispiel, um Bitcoins zu minen oder Passwörter zu knacken. Man kann mit den Rechnern aber auch DDoS-Angriffe machen. Mit einem kleinen Botnetz lässt sich eine Unmenge an Anfragen an einen beliebigen Webserver auf der Welt schicken. Wenn der nicht gerade gut gegen solche Angriffe geschützt ist, wird er dadurch lahmgelegt.

Wie kann ich vorsorgen, damit mein Rechner nicht zum Bot wird?
Das Zauberwort heißt Prävention. Du solltest immer deine Software aktuell halten und dir ein Antivirenprogramm besorgen. Bei Windows-Betriebssystem ist der Windows Defender schon dabei, dann musst du nicht unbedingt etwas extra installieren. Manchmal lohnt es sich aber trotzdem, ein kommerzielles Antiviren-Produkt zu haben, damit bekommt man oft umfangreichere Informationen darüber, was für eine Schadsoftware das ist.

Prävention heißt auch, dass man nicht auf alles klickt, was blinkt. Du solltest vorsichtig sein, welche Software du auf deinen Geräten installierst – egal ob auf dem Rechner oder bei Smartphone-Apps. Wenn du auf diese Punkte achtest, bist du schon relativ gut gegen Schadsoftware geschützt. Man kann aber nicht davon ausgehen, dass der eigene Rechner sein Leben lang gesund bleibt.

Wie merke ich, wenn man Gerät ein Zombie ist?
Normalerweise merkst du das, wenn das Antiviren-Programm angeht und sagt: Du bist infiziert. Oder dein E-Mail-Account wird gesperrt, weil er Spam versendet. Das größte Problem hast du, wenn die Malware sich selbst bemerkbar macht und wie bei Erpressungssoftware den Rechner sperrt und Geld für die Freigabe der eigenen Daten verlangt. Dann ist es gut, wenn man Back-ups hat.

Es wird oft gesagt, bei Bot-Befall sind der Rechner oder die Internetverbindung langsamer. Aber ein langsamer Rechner kann viele andere Ursachen haben, da steckt nicht immer eine Schadsoftware dahinter. Dann muss man genauer hinschauen und einen Antiviren-Scan machen oder einen Experten fragen, der den Rechner mit zusätzlicher Technik scannt. Ansonsten hast du als Nutzerin wenig Möglichkeiten, eine verlässliche Aussage zu bekommen, ob dein Gerät infiziert ist.

Kann ich nicht auch im Taskmanager sehen, ob mein Gerät zum Bot geworden ist?
Das ist komplizierter. Bots versuchen, sich zu tarnen und benutzen ganz unverdächtig klingende Prozessnamen. Sie kommunizieren natürlich mit einem Rechner, der sie kontrolliert – dem Command-and-Control-Server. Aber auch das versuchen sie zu verschleiern, indem sie sich beispielsweise in den Windows-Prozess namens "svchost" einklinken, über den viel regulärer Netzwerkverkehr geht.

Ebenfalls auf Motherboard: Waffen, Drogen, Dissidenten: Eine Dokumentation über das Darknet

Man muss eine Erkennungsmethode verwenden, auf die der Bot nicht vorbereitet ist. Mit dem Taskmanager rechnen viele Bots, externe Programme wie GMER oder Rootkit Revealer haben eher Chancen, Malware zu entdecken. Diese Programme greifen aber selbst wieder tief in den Rechner ein und können Software kaputtmachen.

Am verlässlichsten bei der Bot-Erkennung sind meist Methoden, die den eigenen Rechner von außen untersuchen: Wenn Du den Netzwerkverkehr des infizierten Rechners mitschneiden kannst, beispielsweise mit dem Programm Wireshark, dann kann man dort die Kommunikation mit dem Kontroll-Rechner sehen.

Können auch andere Geräte als PCs Teil eines Bot-Netzwerks werden?
Ja. Mit dem Internet verbundene Geräte mit relativ schwachen Sicherheitseinstellungen sind ein zunehmend großes Problem, zum Beispiel smarte Haushaltsgeräte oder Überwachungskameras. Cyberkriminelle sind darauf aber noch nicht so sehr angesprungen, weil die Technologien sich ständig ändern. Im Jahr 2016 gab es das Mirai-Botnetz, das aus Überwachungskameras bestand. Es gab auch noch ein Problem mit angreifbaren Telekom-Routern, mit denen ein Botnetz aufgebaut werden sollte.

Am Anfang war die Angst, dass Smartphones für Botnetze missbraucht werden würden. Aber dieser Fall ist noch nicht in dem Maße eingetreten. Gerade die großen Smartphone-Hersteller beheben Schwachstellen relativ schnell und die Geräte aktualisieren sich standardmäßig automatisch. Da tappt man nicht in die gleichen Fallen wie vor zehn oder zwanzig Jahren bei Desktop-PCs.

Warum kann es mir nicht einfach egal sein, ob mein Gerät zu einem Botnetz gehört?
Auf die Frage gibt es zwei Antworten: eine rechtliche und eine ethische. Aus ethischer Sicht sind wir alle dafür verantwortlich, das Internet sicherer zu machen und andere nicht zu schädigen. Du willst ja auch nicht in deinem eigenen Haus Verbrechern Unterschlupf bieten, die von dort aus Raubzüge starten.

Aus rechtlicher Sicht ist es eine strafbare Handlung, wenn der eigene Rechner andere Rechner angreift. Es ist meines Wissens aber noch niemand verurteilt worden wegen Angriffen, die aus einer unerkannten Infektion herrühren. Wenn du aber weißt, dass dein Rechner infiziert ist und längerfristig billigend in Kauf nimmst, dass andere Rechner Teil eines Botnetzes oder durch Erpressungstrojaner infiziert werden, leistest du meiner Einschätzung nach Beihilfe zu Cyberkriminalität.

Wieso kann die Polizei diese Botnetze nicht einfach ausschalten?
Früher waren Botnetze wie ein Spinnennetz organisiert. Der Command-and-Control-Server war in der Mitte positioniert und die Bots saßen an den Rändern. Ermittler haben sich dann gezielt Bots auf ihre Rechner geholt. Sie haben Programme benutzt, die Links in Spam-E-Mails anklicken und sich Schadsoftware von Antiviren-Herstellern geben lassen. So haben sie das Verhalten der Bots untersucht und zu den zentralen Servern zurückverfolgt. Dann konnten Strafverfolger diesen Rechner vor Ort vom Netz nehmen und das Botnetz war tot.

Die modernen Botnetze sind nicht mehr zentral strukturiert. Die Bots geben die Befehle meist von einem Bot zum nächsten weiter, wie Kuriere in der analogen Welt. Ermittler müssten erst aufwendig den Punkt finden, an dem der Bot-Master sitzt und die Befehle eingibt.

Wie finden Ermittler heute die Betreiber von Botnetzen?
Hier führen viele Wege zum Ziel. Erst mal müssen sie herausfinden, wie die Schadsoftware genau funktioniert. Sie schleusen einen speziell präparierten Bot in das Netz ein, der beobachtet, wie die Befehle verteilt werden und wie das Bot-Netzwerk miteinander kommuniziert.

So können sie schrittweise herausfinden, wie die Rechner die Kommandos weitergeben und dann die Rechner finden, hinter denen die Drahtzieher des Botnetzwerks sitzen. Wichtig sind aber auch Erkenntnisse aus anderen Strafverfahren, denn Kriminelle sind heute weltweit vernetzt. Wenn beim Betrieb eines Botnetzes beispielsweise die gleichen Tools zum Einsatz kommen wie bei einem anderen Botnetz, dann könnten auch die gleichen Personen dahinter stecken.

Folgt Anna auf Twitter und Motherboard auf Facebook, Instagram, Snapchat und Twitter