VERANSTALTUNGEN

DAHO.AM
24.07.18 - 24.07.18
In München

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Botnet

Botnetze gehören inzwischen zu den alltäglichen Gefahren aus dem Cyberraum, die Unternehmen und Privatleute gleichermaßen betreffen. Dieser Beitrag beschreibt, wie illegale Botnetze entstehen und wie man sich auf die lauernde Gefahr der Zombies vorbereiten kann.

Sogenannte Botnetze waren auch im Jahr 2016 wieder prominent in den Medien vertreten. Im Juli wurde bekannt, dass ein Botnetz bestehend aus über 25.000 Internet of Things-Geräten (hier insbesondere mit dem Internet verbundene Überwachungskameras) Online-Auftritte lahmlegte. Im Oktober war eine Vielzahl beliebter Websites von einem Angriff des Mirai-Botnetzes betroffen. Seiten wie Twitter, Amazon, Netflix aber auch der Musikdienst Spotify waren über längere Zeit nicht erreichbar. Aber auch die massiven Zugangsprobleme im November 2016 für zahlreiche Internetnutzer der Deutschen Telekom – verursacht durch den Versuch eines Botnetz-Betreibers bis zu 5 Prozent der Telekom-Router zu kapern – sind auf dieses Angriffsszenario zurückzuführen. Letzteres brachte gar Bundeskanzlerin Merkel zu der Aussage: „Cyber-Angriffe gehören zum Alltag“.

Was ist ein Botnetz?

Ein Botnetz ist eine Ansammlung von im Internet kommunizierenden Systemen, die durch Kriminelle mittels Schadsoftware unter ihre Kontrolle gebracht wurden. Über sogenannte Command and Control-Server sind sie zu einem Schattennetzwerk zusammengefasst und warten als Bots (kurz für Roboter) oder auch „Zombies“ auf die Befehle ihrer Meister. Bots sind heute nicht mehr nur PCs und andere klassische IT-Systeme, sondern auch Webcams, Kühlschränke und andere „Smart“-Geräte – und ja, sogar Toaster. Durch die große Anzahl von gekaperten Systemen kann ein Botnetz auf Befehl auch hochfrequentierte Webseiten über eine Flut von Anfragen (Distributed Denial of Service-Attacke) lahmlegen. In manchen Fällen geht mit dem Angriff ein Erpressungsversuch einher, in wieder anderen geht es „nur“ um die Lust an der Zerstörung oder um eine politische Motivation.

Komplize oder Opfer?

Dabei gilt es für Unternehmen, unterschiedliche Facetten des Angriffs im Auge zu behalten. Einmal können sie zum Opfer werden, in anderen Fällen unwillentlich und unwissentlich zum Komplizen der Botnetz-Betreiber.

Teilweise geht den Angriffen eine Erpressung voraus, oft wird der Erpressungsversuch vom Opfer aber nicht einmal erkannt. Wer reagiert schon auf eine Mail mit dem Betreff „ION CANNON WILL DESTROY YOU!!!!!!“? Es empfiehlt sich, Erpressungsversuche in jedem Fall zu erfassen und ernst zu nehmen. In anderen Fällen lässt sich nicht aufklären, warum es zu einem Angriff durch ein Botnetz kam. Vermutet werden Zerstörungswut, aber auch eine Beauftragung durch Wettbewerber – zum Beispiel dann, wenn eine Online-Handelsplattform mehrmals zu Stoßzeiten lahmgelegt wird.

In den Reihen der virtuellen „Zombie“-Armeen stehen aber auch von Unternehmen selbst betriebene Systeme – diese werden so zu Komplizen der Botnetz-Betreiber. Besonders bedroht sind von Mitarbeitern genutzte PCs. Ähnlich wie bei der Bedrohung durch Verschlüsselungstrojaner (Ransomware) reicht bereits ein unbedachtes Ausführen eines schadhaften E-Mail-Anhangs und schon ist der PC Teil eines Botnetzes. Zwar lassen sich viele Versuche durch einen angemessenen technischen Schutz (vor allem durch das Filtern schadhafter E-Mails) verhindern, ein Restrisiko bleibt aber insbesondere bei neuen Schadsoftware-Varianten, die noch nicht als solche erkannt werden. Die letzte Verteidigungslinie ist hier der Mensch. Mitarbeiter sollten regelmäßig zum Thema geschult werden (Awareness), damit sie Angriffs- und auch Täuschungsversuche erkennen können.

Wenn smarte Geräte ihr Eigenleben führen

Immer häufiger schließen sich IT-Systeme auch ohne aktives Zutun der Eigentümer und Nutzer einem Botnetz an. Das Internet-of-Things (IoT) birgt viele Chancen, durch die Vielzahl an unterschiedlichen – und nicht immer sicher entwickelten oder konfigurierten – Geräten aber auch große Risiken. Neben den bereits erwähnten Überwachungskameras und Routern sind auch immer mehr Industrielle Steuersysteme, Point-of-Sale-Systeme und „Smarte“ Geräte in der Büroküche gegenüber Botnetzbetreibern exponiert. Unternehmen sollten daher eine strukturierte Herangehensweise an die Verwaltung der im geschäftlichen Umfeld eingesetzten IT-Systeme anlegen. So muss ihnen klar werden, dass auch der Smart-TV in der Empfangshalle oder die zum Jahreswechsel vom Bereichsleiter spendierte interaktive Kaffeemaschine Risiken mit sich bringen. Genau wie auch ein E-Mail-Server oder Geschäftshandys Teil des Informationssicherheits-Managements sind, sollten es auch diese neuen Systeme sein. Ob der Einsatz von verbundenen Geräten unterbunden und überwacht wird oder aber mit einer ausgearbeiteten Bring-Your-Own-Device-Strategie (BYOD) in gelenkte Bahnen geführt wird, sollten die Unternehmen im Rahmen ihrer Risikoabwägung sorgfältig prüfen.

Angriffe in Intervallen

Technisch ist häufig ein Muster von mehreren Angriffswellen zu beobachten, die sich durch wiederholende feste Angriffs- und Ruheintervalle auszeichnen. Die Intensität der Angriffe kann in einigen Fällen mit eigenen Kapazitäten und fachlichen Kompetenzen abgewehrt werden, jedoch in der Überzahl ist oftmals die Nutzung externer (sog. Scrubbing-)Dienstleister notwendig. In den Arten der Angriffsmethoden lässt sich generell eine Kombination von klassischen Angriffen wie SYN- und ICMP-Floods und neueren Methoden wie NTP- und DNS-Reflektionsangriffen sowie Angriffen auf Applikationsebene beobachten. Diese Reflektionsangriffe ermöglichen es dem Angreifer mit einer großen Anzahl von Anfragen ein vielfach größeres Antwort-Volumen zu generieren, das sich gegen das Angriffsziel richtet. Dieses Verhalten wird als Verstärkung (Amplifikation) bezeichnet und begründet sich in den Funktionsweisen der zum Angriff genutzten Protokolle.

Durch geeignete technische Vorkehrungen lässt sich ein Schaden durch eine Distributed Denial of Service-Attacke (DDoS) durch ein Botnetz abwenden oder zumindest abschwächen. Informieren Sie sich daher frühzeitig über Systeme, die einen Lastenausgleich herstellen können, bzw. über sogenannte DDoS Protection-Lösungen.

Der Weg zum Zombie-Jäger

Einen 100-prozentigen technischen und menschlichen Schutz gegen eine Infektion durch Botnetz-Schadsoftware kann es nicht geben, allerdings kann man es den Angreifern etwas schwerer machen. Daher sollten Unternehmen regelmäßig zu Zombie-Jägern werden und sowohl den Netzwerkverkehr, als auch die Systeme selbst proaktiv auf Spuren einer Infektion überprüfen. Speziell dafür entwickelte Erkennungsmuster spüren auch Schadsoftware auf, die (noch) durch das Raster der Antivirenprogramme fällt. Neben Botnetz-Infektionen kann eine proaktive Überprüfung auch einiges anderes an „Beifang“ produzieren und bei den richtigen Folgeaktivitäten das Sicherheitsniveau des Unternehmens nachhaltig verbessern.

Bundeskanzlerin Merkel stellte 2016 nicht nur die Alltagsgegenwart von Bedrohungen aus dem Cyberraum fest, sondern zeigte mit der Aussage „Wir müssen lernen, damit umzugehen.“ auch den richtigen Weg auf. Botnetze und ihre „Zombies“ sind auch im Jahr 2017 weiterhin nicht nur die Geschichte, die wir in den Medien lesen. Sie sind Teil einer komplexen aber beherrschbaren Landschaft unterschiedlichster digitaler Bedrohungen auf die Privatpersonen wie Unternehmen vorbereitet sein sollten.

Michael SauermannMichael Sauermann ist Partner bei KPMG Forensic Technology und unterstützt Mandanten bei der Bewältigung von IT-Sicherheitsvorfällen (Incident Response), IT-Forensik sowie Krisenmanagement
 

GRID LIST
Tb W190 H80 Crop Int E6b1eed76833e40b6dff0a1070b0694f

Cyber-Kriminelle nutzen Fake-App für Malware

Im vergangenen Monat haben Cyber-Kriminelle mithilfe einer gefälschten App des…
Tb W190 H80 Crop Int Db461ec563234e57f2cba9109df3ec5f

Kryptowährungen im Überblick

Seit 2010 ist der Vormarsch der sogenannten Kryptowährungen nicht mehr aufzuhalten. Dabei…
Ransomware Lösegeld

Ransomware: Warnung vor Lösegeldzahlung

Cyberkriminelle „kidnappen“ Daten und Computer von Organisationen und Einzelpersonen. Der…
Tb W190 H80 Crop Int C47c64413dabc5f83c8af1202d07c3d8

Vernetzung bedeutet höhere Gefährdung für KRITIS-Betreiber

Digitalisierung und die zunehmende Vernetzung aller Versorgungsbereiche stellen den…
Urlaub

Cyber-Security-Checkliste: Tipps für den Sommerurlaub

Der Sommer steht vor der Tür und mit ihm werden für viele die Urlaubspläne konkret. Dabei…
High Voltage Sign

Cyberattacken auf kritische Infrastrukturen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt aus aktuellem Anlass…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security