Mit Awareness gegen zunehmende Gefahr von Botnetzen wappnen

Botnetz

„Ein Botnetz besteht aus einem Netz gekaperter Rechner, deren Besitzer in der Regel nichts davon ahnen. Zunächst wird der Zielrechner, der in das Botnetz eingebunden werden soll, mit Malware infiziert. Mit dieser Schadsoftware kann der Angreifer die Kontrolle über das System übernehmen“, erklärt Patrycja Tulinska, Geschäftsführerin der PSW GROUP. Gekaperte Rechner lassen sich über sogenannte Command-and-Control-Server (C&C-Server) steuern und werden für unterschiedliche Aktivitäten verwendet: Spamming, für die Speicherung illegaler Dateien, das Verteilen von Schadsoftware oder auch für DDoS-Attacken.

„Es sind aber nicht nur Rechner gefährdet, Teil von Botnetzen zu werden, sondern jedes vernetzte Gerät mit einem Zugang zum Internet. Häufig sind IoT-Geräte, insbesondere im privaten Umfeld, sehr weit vom Schutzniveau gängiger Computer entfernt sind. Aber auch Mobilgeräte wie Smartphones oder Tablets können gekapert und Botnets hinzugefügt werden“, verweist die IT-Sicherheitsexpertin auch auf IoT-Geräte.

Zwar ist es mit einigem Aufwand verbunden, ein Botnetz zu erstellen, seine Vielseitigkeit ist es jedoch, was seine Attraktivität ausmacht. Denn moderne Bots sind multifunktional. Sie können nach der Infektion eine Zeitlang schlummern und erst später aktiv werden, sie können sofort Daten ausspähen oder aber als Erpressungstrojaner Einsatz finden. Über Botnetze werden auch Spam- oder Phishing-Mails versendet. So kann es dem Botnet auch gelingen, sich selbstständig zu vergrößern: Die hauseigene Schadsoftware wird auf immer mehr Rechnern implementiert und so vergrößert sich das Netzwerk. Auch der Einsatz von Ransomware über Botnetze ist äußerst beliebt – ein negativer Trend, der leider anhält. „Eine insbesondere von Unternehmen gefürchtete Angriffsart sind DDoS-Angriffe. Das Botnetz bombardiert das Opfer-System mit der gebündelten Rechnerleistung sowie Netzwerk-Bandbreite all der angeschlossenen Geräte solange, bis das Zielsystem unter dieser Last in die Knie geht und nicht mehr erreichbar ist“, erklärt Tulinska und fährt fort: „Indem Botnetze Sniffer oder Passwort-Grabber nachladen, können sie ebenfalls gewaltigen Schaden anrichten. Es lassen sich nämlich private Daten einschließlich Web-Formulare, womöglich auch Bank-Zugangsdaten, auslesen, sodass diese Daten an die Hintermänner weitergeleitet und zu Barem gemacht werden können.

Verbreitung vernetzter Geräte

„Aufgrund der immensen und immer weiter steigenden Verbreitung vernetzter Geräte müssen wir davon ausgehen, dass auch die Verbreitung von Botnetzen steigen wird“, mahnt Patrycja Tulinska und ergänzt „Mit einer Kombination aus Awareness sowie technischen Maßnahmen können Anwender das Risiko aber senken, ungewollt zum Teil eines Botnetzes zu werden. Denn die Übernahme eines Rechners zu einem Botnetz ist auch Resultat eines schlecht gesicherten Computers, denn der Angreifer kann dann die Rolle des Administrators übernehmen. Daten lassen sich dann einsehen, missbrauchen und manipulieren, außerdem kann der Rechner mit allen seiner Funktionen und Leistungen zu kriminellen Zwecken missbraucht werden. Somit werden die Anwender gekaperter Rechner ungewollt zu einem Teil dieser kriminellen Aktivitäten.“

Das zeitnahe oder automatisierte Einspielen von Updates auf allen Geräten zum Schutz gegen offene Sicherheitslücken in Software oder Betriebssystem, eine Firewall zum Schutz eines Netzwerks vor unerwünschten Zugriffen von außen und eine aktuelle Antiviren-Software – idealerweise mit zusätzlicher signatur- und verhaltensbasierter Schadsoftware-Erkennung – sind obligatorische technische Schutzmaßnahmen. Zudem deckt eine regelmäßige Überprüfung von Systemen und Netzwerkverkehr mögliche Infektionen schneller auf. „Ungewöhnlich hohe Internet- und Netzwerkbelastungen, extrem hohe Aufkommen ausgehender E-Mails, ein deutlich verzögerter E-Mail Versand verbunden mit verzögerter Rechenleistung sowie massives Scannen eines oder mehrerer Ports von außen können Anzeichen dafür sein, dass das Gerät zu einem Botnetz gehört“, informiert Tulinska.

Virtual Patching

Es ist für Unternehmen sinnvoll, sich grundsätzlich gegen DDoS-Attacken und Spamming zu schützen und, das gilt auch für Privatpersonen, die eingesetzten IoT-Geräte unter die Lupe zu nehmen. „Anti-Malware-Lösungen, die lokal auf dem jeweiligen IoT-Gerät gespeichert werden, existieren kaum. Also muss dafür eine Lösung her, die in der Lage ist, Schadsoftware zu erkennen, bevor sie auf dem Gerät ankommen kann, und die darüber hinaus Schwachstellen von außen abschirmt. Hier bietet sich beispielsweise Virtual Patching an“, so Tulinska. Mittels Web Application Firewall (WAF) lässt sich regeln, wer wie auf die entsprechende Applikation zugreifen darf – oder anders gesagt: Die zu schützenden Applikationen werden gegen ungewollte oder bösartige Zugriffe abgeschirmt. Grundsätzlich ist jedoch Patching, also das Flicken von Schwachstellen, besser, als Virtual Patching, bei dem unbefugte Dritte lediglich ausgesperrt werden.

Aufklärung und Awareness sind wichtige Bausteine im Kampf gegen Cyberkriminelle im Allgemeinen und Botnetze im Besonderen. So hat zum Beispiel das israelische Unternehmen Guardicore nun eine Botnetz-Enzyklopädie gestartet. Die Informationen dieser Wissensdatenbank sollen fortlaufend aktualisiert werden, sodass aktuelle und vergangene Botnetz-Kampagnen bestens dokumentiert werden. „Die Botnetz-Enzyklopädie kann von IT-Abteilungen, Sicherheitsteams, Forschern oder der Cybersecurity-Community zum besseren Verständnis und Schutz der Bedrohungen genutzt werden. Interessierte können Botnetze per Freitextsuche finden oder die Einträge über Kompromittierungsindikatoren durchsuchen, beispielsweise nach IP-Adresse, Dateiname oder Service-Bezeichnung“, empfiehlt Patrycja Tulinska die Botnetz-Enzyklopädie.

www.psw-group.de