IoT-Geräte als Botnetze

Botnetze: So schützen Sie Ihre Unternehmensdaten

| Autor / Redakteur: Guido Schaffner / Redaktion IoT

Botnetze bedrohen Unternehmen und Behörden. Ziel ist häufig Erpressung, Missbrauch von Daten oder gezielte Wettbewerbsschädigung.
Botnetze bedrohen Unternehmen und Behörden. Ziel ist häufig Erpressung, Missbrauch von Daten oder gezielte Wettbewerbsschädigung. (Photo by Lucas Gallone on Unsplash)

Cyberkriminelle schließen missbräuchlich IoT-Geräte zusammen, um diese für massive Angriffe auf die IT von Unternehmen, Staaten und Organisationen zu nutzen. Besonders häufig werden solche Botnetze verwendet, um hochvolumige DDoS-Attacken auszuführen. Ein häufiges Motiv der Kriminellen ist neben Erpressung auch gewollte Wettbewerbsschädigung.

Spätestens mit der Mirai-Schadsoftware vor zwei Jahren erreichten Botnetze fragwürdige Prominenz und sind nicht mehr länger nur IT-Profis ein Begriff. 

Anfangs nutzen IT-Experten Botnetze noch als legale Werkzeuge zur Automatisierung von Routineaufgaben. So wurde im Jahr 1993 beispielsweise „eggdrop“, als eines der ersten dokumentierten Botnetze, eingesetzt, um IRC-Channels, rein textbasierte Chatsysteme, gegen Übernahmeversuche zu schützen. Es dauerte nicht lange, bis Hacker diese Methode für sich entdeckten und missbräuchlich nutzten. Und heutige Botnet-Malware umfasst verschiedene Angriffstechniken, die zeitgleich über mehrere Vektoren ausgeführt werden können. Ähnlichkeiten ergeben sich allerdings in der Funktionsweise: Cyberangreifer kompromittieren Rechner, mobile Endgeräte und auch IoT-Devices und übernehmen dadurch deren Steuerung. Die Besitzer bekommen im Normalfall nichts von der Übernahme mit, sodass Angreifer oft in der Lage sind, in sehr kurzer Zeit eine Vielzahl an Geräten zu infizieren, unbemerkt in einem Rechnerverbund, auch Cluster oder Netz genannt, zusammenzuschließen und für ihre Zwecke zu verwenden.

Zusammenschluss von IP-basierten Geräten

Das bereits angesprochene Mirai-Botnetz brachte es nach Schätzungen auf bis zu 500.000 vernetzten Endgeräten, darunter vor allem unzureichend gesicherte IP-Sicherheitskameras. Im Falle des Telekom-Ausfalls im November 2016 wurde hingegen versucht Router für die Erstellung eines Botnetzes zu missbrauchen, wodurch mehr als eine Millionen Kunden betroffen waren.

IoT-Geräte werden zweckentfremdet

Trotz eines gesteigerten Gefahrenbewusstseins seitens der Hersteller, werden IoT-Devices noch viel zu häufig mit Standard-Anmeldeinformationen, einfachen Passwörtern oder bereits bekannten Sicherheitslücken ausgeliefert. Somit eignen sich diese Geräte hervorragend, um von Kriminellen in Botnetzen zusammengeschlossen zu werden. Besonders die steigende Anzahl und die breiteren Einsatzgebiete von IoT-Geräten begünstigen dabei das Wachstum der Cluster. Das Analystenhaus IDC rechnet bis zum Jahr 2025 mit mehr als 75 Milliarden im IoT vernetzten Geräten. Auch Rechner, wie beispielsweise Computer von Privatpersonen, können betroffen sein: Der Internet-Verband eco stellte fest, dass von 175.000 überprüften Rechnern knapp 40 Prozent mit Bots infiziert waren. Den Hackern bietet sich also ein konsequent wachsender Markt voll offener Einfallstore, um ihre Botnetze auszuweiten.

Werden Botnetze für DDoS-Angriffe verwendet, dann meist mit der Intention, Internet-Services, IT-Komponenten oder die IT-Infrastruktur eines attackierten Unternehmens oder einer Organisation lahmzulegen. Hierzu werden Komponenten des Netzwerks, beispielsweise Server, solange mit Datenverkehr in Form von Anfragen überlastet, bis diese nicht mehr verfügbar sind. Ein einzelnes zweckentfremdetes IoT-Device kann zwar nur wenig Datenverkehr erzeugen, doch ein großes Cluster von ihnen kann sogar Ausmaße im dreistelligen GbpS-Bereich (Gigabit pro Sekunde) erreichen.

Die „Bot-Ökonomie“ ist für Kriminelle durchaus attraktiv

Diese Form der Cyberkriminalität stellt für Hacker eine lohnenswerte Einnahmequelle dar. Da sie auf fremde IP-basierte Geräte zurückgreifen, fallen für sie keine weiteren Infrastrukturkosten an, um Angriffe zu starten. Für sie ergeben sich durch die Anonymität des Darknets und dem intransparenten Handel mit Kryptowährungen viele Vorteile: So können bestehende Botnetze auch einfach an Dritte vermietet werden, die dann in der Lage sind, einen Angriff gegen Bezahlung ausführen. Für 7.500 US-Dollar wurde beispielsweise der Zugriff auf das Mirai-Botnetz gewährt. Ein kurzzeitiger Angriff über ein vergleichsweise kleines Botnetz lässt sich heute schon für weniger als 5 US-Dollar im Darknet akquirieren.

Und für Cyberkriminelle sind Botnetze eine, aus ökonomischer Sicht, durchaus attraktive Plattform. Denn neben der Ausführung von DDoS-Attacken bieten sich Botnetze auch für weitere kriminelle Szenarien an. So können die Nutzer:

    • Spam oder Malware schnell und kaum nachvollziehbar per E-Mail verschicken
    • Klickbetrug durchführen
    • groß angelegte Phishing-Angriffe für die Verbreitung von Malware hosten
    • Software-Lizenzdaten abgreifen
    • persönliche Informationen und Identitäten stehlen
    • Kreditkarten- und anderen Kontoinformationen, einschließlich PIN-Nummern oder Passwörter ausspionieren
    • Keylogger installieren
    • Offene Proxies für einen anonymen Internetzugang bereitstellen
    • Brute-Force-Attacken auf andere Ziele im Internet ausführen

Vereinfachter Zugang zu Botnetzen

Ein weiterer Faktor, der die starke Verbreitung von Botnetzen begünstigt hat, ist der Umstand, dass die einzelnen Komponenten relativ einfach zusammengestellt, ausgetauscht und aktualisiert werden können. Einen wahren Sprung in der Szene gab es nach der Veröffentlichung vom Quellcode des LizardStresser Anfang 2015. Dieser Quellcode war frei zugänglich, einfach zu verwenden und enthielt einige komplexe DDoS-Angriffsmethoden. So war er beispielweise in der Lage, TCP-Verbindungen offen zu halten, eine zufällige Reihe von Junk-Zeichen an einen TCP- oder UDP-Port zu senden oder wiederholt TCP-Pakete mit bestimmten Flags zu senden. Die Malware enthielt ebenso einen Mechanismus, um beliebige Shell-Befehle auszuführen – etwa um aktualisierte Versionen des LizardStressers mit neuen Command-and-Control-Geräten oder ganz neuer Malware herunterzuladen. Generell wurde der Zugang zu Botnetzen und ihrer Infrastruktur immer weiter vereinfacht, sodass auch wenig technikaffine Menschen diese zu ihrem Zweck missbräuchlich nutzen konnten. Dies wurde auch dadurch begünstigt, dass Hacker den lukrativen Markt erkannten und sich immer weiter professionalisierten.

Es wird immer wahrscheinlicher, selber zum Opfer zu werden

Diese Professionalisierung, gepaart mit der wachsenden Anzahl anfälliger IoT-Geräte und dem vereinfachten Zugang für Dritte, machen Botnetze zu einem Risikofaktor für jedes Unternehmen. Dieser Trend wird nach Einschätzungen von Experten in absehbarer Zukunft auch keinen Abriss finden. Unternehmen müssen sich also der Gefahrenlage bewusst sein und sich entsprechend vorbereiten. Da Botnetze vor allem für DDoS-Attacken genutzt werden, ist eine geeignete DDoS-Abwehrlösung unabdingbar. Diese Lösung sollte, laut übereinstimmender Meinung von Sicherheitsexperten, mehrstufige Abwehrfunktionen enthalten – und sich etwa aus einer vor Ort installierten Komponente und einem cloudbasierten Element zusammensetzen. Die Komponente vor Ort ermöglicht dabei ein sofortiges Erkennen und Bekämpfen von Angriffen, etwa auf Applikationsebene, bevor es zu Auswirkungen auf die Dienste eines Unternehmens kommt. Allerdings ist sie nicht in der Lage, die besonders hochvolumigen Angriffe, etwa durch Botnetze, abzuwehren, die dazu führen können, dass die Internetkonnektivität nicht mehr gewährleistet ist. Hier kommt die cloudbasierte Komponente ins Spiel. Übersteigt die Größe eines vor Ort erkannten Angriffs einen definierten Schwellenwert, können automatisch cloudbasierte Gegenmaßnahmen aktiviert werden, um das Unternehmen zu schützen.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.