Thought Leadership
Botnetze gehören inzwischen zu den alltäglichen Gefahren aus dem Cyberraum, die Unternehmen und Privatleute gleichermaßen betreffen. Dieser Beitrag beschreibt, wie illegale Botnetze entstehen und wie man sich auf die lauernde Gefahr der Zombies vorbereiten kann.
Sogenannte Botnetze waren auch im Jahr 2016 wieder prominent in den Medien vertreten. Im Juli wurde bekannt, dass ein Botnetz bestehend aus über 25.000 Internet of Things-Geräten (hier insbesondere mit dem Internet verbundene Überwachungskameras) Online-Auftritte lahmlegte. Im Oktober war eine Vielzahl beliebter Websites von einem Angriff des Mirai-Botnetzes betroffen. Seiten wie Twitter, Amazon, Netflix aber auch der Musikdienst Spotify waren über längere Zeit nicht erreichbar. Aber auch die massiven Zugangsprobleme im November 2016 für zahlreiche Internetnutzer der Deutschen Telekom – verursacht durch den Versuch eines Botnetz-Betreibers bis zu 5 Prozent der Telekom-Router zu kapern – sind auf dieses Angriffsszenario zurückzuführen. Letzteres brachte gar Bundeskanzlerin Merkel zu der Aussage: „Cyber-Angriffe gehören zum Alltag“.
Was ist ein Botnetz?
Ein Botnetz ist eine Ansammlung von im Internet kommunizierenden Systemen, die durch Kriminelle mittels Schadsoftware unter ihre Kontrolle gebracht wurden. Über sogenannte Command and Control-Server sind sie zu einem Schattennetzwerk zusammengefasst und warten als Bots (kurz für Roboter) oder auch „Zombies“ auf die Befehle ihrer Meister. Bots sind heute nicht mehr nur PCs und andere klassische IT-Systeme, sondern auch Webcams, Kühlschränke und andere „Smart“-Geräte – und ja, sogar Toaster. Durch die große Anzahl von gekaperten Systemen kann ein Botnetz auf Befehl auch hochfrequentierte Webseiten über eine Flut von Anfragen (Distributed Denial of Service-Attacke) lahmlegen. In manchen Fällen geht mit dem Angriff ein Erpressungsversuch einher, in wieder anderen geht es „nur“ um die Lust an der Zerstörung oder um eine politische Motivation.
Komplize oder Opfer?
Dabei gilt es für Unternehmen, unterschiedliche Facetten des Angriffs im Auge zu behalten. Einmal können sie zum Opfer werden, in anderen Fällen unwillentlich und unwissentlich zum Komplizen der Botnetz-Betreiber.
Teilweise geht den Angriffen eine Erpressung voraus, oft wird der Erpressungsversuch vom Opfer aber nicht einmal erkannt. Wer reagiert schon auf eine Mail mit dem Betreff „ION CANNON WILL DESTROY YOU!!!!!!“? Es empfiehlt sich, Erpressungsversuche in jedem Fall zu erfassen und ernst zu nehmen. In anderen Fällen lässt sich nicht aufklären, warum es zu einem Angriff durch ein Botnetz kam. Vermutet werden Zerstörungswut, aber auch eine Beauftragung durch Wettbewerber – zum Beispiel dann, wenn eine Online-Handelsplattform mehrmals zu Stoßzeiten lahmgelegt wird.
In den Reihen der virtuellen „Zombie“-Armeen stehen aber auch von Unternehmen selbst betriebene Systeme – diese werden so zu Komplizen der Botnetz-Betreiber. Besonders bedroht sind von Mitarbeitern genutzte PCs. Ähnlich wie bei der Bedrohung durch Verschlüsselungstrojaner (Ransomware) reicht bereits ein unbedachtes Ausführen eines schadhaften E-Mail-Anhangs und schon ist der PC Teil eines Botnetzes. Zwar lassen sich viele Versuche durch einen angemessenen technischen Schutz (vor allem durch das Filtern schadhafter E-Mails) verhindern, ein Restrisiko bleibt aber insbesondere bei neuen Schadsoftware-Varianten, die noch nicht als solche erkannt werden. Die letzte Verteidigungslinie ist hier der Mensch. Mitarbeiter sollten regelmäßig zum Thema geschult werden (Awareness), damit sie Angriffs- und auch Täuschungsversuche erkennen können.
Wenn smarte Geräte ihr Eigenleben führen
Immer häufiger schließen sich IT-Systeme auch ohne aktives Zutun der Eigentümer und Nutzer einem Botnetz an. Das Internet-of-Things (IoT) birgt viele Chancen, durch die Vielzahl an unterschiedlichen – und nicht immer sicher entwickelten oder konfigurierten – Geräten aber auch große Risiken. Neben den bereits erwähnten Überwachungskameras und Routern sind auch immer mehr Industrielle Steuersysteme, Point-of-Sale-Systeme und „Smarte“ Geräte in der Büroküche gegenüber Botnetzbetreibern exponiert. Unternehmen sollten daher eine strukturierte Herangehensweise an die Verwaltung der im geschäftlichen Umfeld eingesetzten IT-Systeme anlegen. So muss ihnen klar werden, dass auch der Smart-TV in der Empfangshalle oder die zum Jahreswechsel vom Bereichsleiter spendierte interaktive Kaffeemaschine Risiken mit sich bringen. Genau wie auch ein E-Mail-Server oder Geschäftshandys Teil des Informationssicherheits-Managements sind, sollten es auch diese neuen Systeme sein. Ob der Einsatz von verbundenen Geräten unterbunden und überwacht wird oder aber mit einer ausgearbeiteten Bring-Your-Own-Device-Strategie (BYOD) in gelenkte Bahnen geführt wird, sollten die Unternehmen im Rahmen ihrer Risikoabwägung sorgfältig prüfen.
Angriffe in Intervallen
Technisch ist häufig ein Muster von mehreren Angriffswellen zu beobachten, die sich durch wiederholende feste Angriffs- und Ruheintervalle auszeichnen. Die Intensität der Angriffe kann in einigen Fällen mit eigenen Kapazitäten und fachlichen Kompetenzen abgewehrt werden, jedoch in der Überzahl ist oftmals die Nutzung externer (sog. Scrubbing-)Dienstleister notwendig. In den Arten der Angriffsmethoden lässt sich generell eine Kombination von klassischen Angriffen wie SYN- und ICMP-Floods und neueren Methoden wie NTP- und DNS-Reflektionsangriffen sowie Angriffen auf Applikationsebene beobachten. Diese Reflektionsangriffe ermöglichen es dem Angreifer mit einer großen Anzahl von Anfragen ein vielfach größeres Antwort-Volumen zu generieren, das sich gegen das Angriffsziel richtet. Dieses Verhalten wird als Verstärkung (Amplifikation) bezeichnet und begründet sich in den Funktionsweisen der zum Angriff genutzten Protokolle.
Durch geeignete technische Vorkehrungen lässt sich ein Schaden durch eine Distributed Denial of Service-Attacke (DDoS) durch ein Botnetz abwenden oder zumindest abschwächen. Informieren Sie sich daher frühzeitig über Systeme, die einen Lastenausgleich herstellen können, bzw. über sogenannte DDoS Protection-Lösungen.
Der Weg zum Zombie-Jäger
Einen 100-prozentigen technischen und menschlichen Schutz gegen eine Infektion durch Botnetz-Schadsoftware kann es nicht geben, allerdings kann man es den Angreifern etwas schwerer machen. Daher sollten Unternehmen regelmäßig zu Zombie-Jägern werden und sowohl den Netzwerkverkehr, als auch die Systeme selbst proaktiv auf Spuren einer Infektion überprüfen. Speziell dafür entwickelte Erkennungsmuster spüren auch Schadsoftware auf, die (noch) durch das Raster der Antivirenprogramme fällt. Neben Botnetz-Infektionen kann eine proaktive Überprüfung auch einiges anderes an „Beifang“ produzieren und bei den richtigen Folgeaktivitäten das Sicherheitsniveau des Unternehmens nachhaltig verbessern.
Bundeskanzlerin Merkel stellte 2016 nicht nur die Alltagsgegenwart von Bedrohungen aus dem Cyberraum fest, sondern zeigte mit der Aussage „Wir müssen lernen, damit umzugehen.“ auch den richtigen Weg auf. Botnetze und ihre „Zombies“ sind auch im Jahr 2017 weiterhin nicht nur die Geschichte, die wir in den Medien lesen. Sie sind Teil einer komplexen aber beherrschbaren Landschaft unterschiedlichster digitaler Bedrohungen auf die Privatpersonen wie Unternehmen vorbereitet sein sollten.
Michael Sauermann ist Partner bei KPMG Forensic Technology und unterstützt Mandanten bei der Bewältigung von IT-Sicherheitsvorfällen (Incident Response), IT-Forensik sowie Krisenmanagement
