Wenn der PC zum Zombie wird: So funktionieren Botnets

Botnets sind eine wesentliche Säule des „sozioökonomischen Systems“ der Cyberkriminalität. Viele Angriffsformen wie Spam und DDoS-Angriffe lassen sich überhaupt nur dann ausführen, wenn man über eine ganze Armada von Zombie-PCs verfügt. Wenige hundert Rechner zum Spamversand würden von heutigen Antispam-Maßnahmen schnell erkannt und geblockt.

Technisch ähneln Botnets Distributed-Computing-Networks, wie sie heute in modernen Cloud-Computing-Szenarien eingesetzt werden. Viele Botnet-Clients und Command-and-Control-Server sind durch in guter Absicht entwickelte Open-Source-Software inspiriert.

Da die übernommenen Zombie-PCs oft für den Versand von Spam eingesetzt werden, kann man sie leicht erkennen. Eine einfache Firewall-Regel für ausgehenden Verkehr auf TCP-Port 25 reicht aus. Trotzdem bestehen viele Botnets aus mehr als 100.000 Zombie-PCs, was ausreicht, um großen Schaden zu verursachen. Netze mit über einer Million Rechner sind wegen verbesserter Erkennung durch Antivirenprogramme nicht mehr verbreitet. Dafür erhöht sich die Anzahl der Botnets stetig.

Dadurch, dass Botnet-Clients prinzipbedingt her fern steuerbar sein müssen, sind sie angreifbar, indem man ihnen einen Command-and-Control-Sever vorgaukelt. In der letzten Zeit konnten Wissenschaftler dabei viele Erfolge vorweisen. Um diese Art der effektiven Bekämpfung von Botnets zu nutzen, sind allerdings in den meisten Ländern Gesetzesänderungen erforderlich. Auch in guter Absicht darf man fremde Computer nicht ungefragt benutzen.