{"id":6283,"date":"2019-08-14T13:05:11","date_gmt":"2019-08-14T11:05:11","guid":{"rendered":"https:\/\/blog.rwth-aachen.de\/itc\/?p=6283"},"modified":"2023-08-18T08:57:40","modified_gmt":"2023-08-18T06:57:40","slug":"was-ist-eigentlich-ein-botnetz","status":"publish","type":"post","link":"https:\/\/blog.rwth-aachen.de\/itc\/en\/2019\/08\/14\/was-ist-eigentlich-ein-botnetz\/","title":{"rendered":"Was ist eigentlich ein Botnetz?"},"content":{"rendered":"<div class=\"twoclick_social_bookmarks_post_6283 social_share_privacy clearfix 1.6.4 locale-en_US sprite-en_US\"><\/div><div class=\"twoclick-js\"><script type=\"text\/javascript\">\/* <![CDATA[ *\/\njQuery(document).ready(function($){if($('.twoclick_social_bookmarks_post_6283')){$('.twoclick_social_bookmarks_post_6283').socialSharePrivacy({\"txt_help\":\"Wenn Sie diese Felder durch einen Klick aktivieren, werden Informationen an Facebook, Twitter, Flattr, Xing, t3n, LinkedIn, Pinterest oder Google eventuell ins Ausland \\u00fcbertragen und unter Umst\\u00e4nden auch dort gespeichert. N\\u00e4heres erfahren Sie durch einen Klick auf das <em>i<\\\/em>.\",\"settings_perma\":\"Dauerhaft aktivieren und Daten\\u00fcber-tragung zustimmen:\",\"info_link\":\"http:\\\/\\\/www.heise.de\\\/ct\\\/artikel\\\/2-Klicks-fuer-mehr-Datenschutz-1333879.html\",\"uri\":\"https:\\\/\\\/blog.rwth-aachen.de\\\/itc\\\/en\\\/2019\\\/08\\\/14\\\/was-ist-eigentlich-ein-botnetz\\\/\",\"post_id\":6283,\"post_title_referrer_track\":\"Was+ist+eigentlich+ein+Botnetz%3F\",\"display_infobox\":\"on\"});}});\n\/* ]]> *\/<\/script><\/div>\r\n<p>Im Blogbeitrag letzte Woche zur <a href=\"https:\/\/blog.rwth-aachen.de\/itc\/2019\/08\/07\/spam-welle-rwth-2019\/\">SPAM-Welle<\/a> haben wir kurz das Thema \u201eBotnetz\u201c angeschnitten. Was sich hinter diesem Begriff genau verbirgt und wie ein \u201eBotnetz\u201c funktioniert, erkl\u00e4ren wir in diesem Beitrag.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p><!--more--><\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<h4 class=\"wp-block-heading\">Was ist ein Bot und wie entsteht ein Botnetz?<\/h4>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Rechner, die durch eine sch\u00e4dliche Software (\u201eMalware\u201c) von externen Nutzenden ganz oder teilweise kontrolliert werden, bezeichnet man als \u201eBot\u201c. Dies ist der Fall, wenn ein Rechner mit der Malware infiziert wird. Oft geschieht die Infizierung mit der sch\u00e4dlichen Software durch <a href=\"https:\/\/www.verbraucherzentrale.de\/wissen\/digitale-welt\/phishingradar\/spam-emailmuell-im-internet-10757\">SPAM-E-Mails<\/a> mit einem Link oder E-Mail-Anhang. Wer einen solchen Link oder Anhang \u00f6ffnet, infiziert seinen Rechner. Nutzende bemerken die Infizierung f\u00fcr gew\u00f6hnlich nicht, da die Belastung f\u00fcr den Rechner nicht allzu hoch ist und es somit zun\u00e4chst augenscheinlich keine gro\u00dfartigen Ver\u00e4nderungen gibt.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>B\u00f6swillige User machen sich dadurch die Rechner anderer verf\u00fcgbar. \u00dcber einen Command and Control-Server kann der Angreifer den infizierten Rechner so steuern, dass weitere sch\u00e4dliche E-Mails versendet werden. Durch den Schneeball-Effekt werden nun weitere Rechner infiziert, die wiederum andere Rechner infizieren. Ein Bot allein kann nicht viel Schaden anrichten. Das Problem besteht darin, dass sich eine hohe Zahl an Bots aufbaut.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Das Ergebnis: Es entsteht ein regelrechtes Netz aus infizierten Rechnern, das \u201eBotnetz\u201c. Dies besteht dann nicht nur aus ein paar Hundert, sondern meist aus Millionen von Rechnern. Auf diese Weise breitet sich die Infektion immer weiter aus.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Die Betreiber der Botnetze und IT-Security-Entwickler k\u00e4mpfen st\u00e4ndig gegeneinander \u2013 vergleichbar mit einem biologischen Virus und dem Immunsystem: W\u00e4hrend sich die Infektion ausbreitet, analysieren Sicherheitsexperten die sch\u00e4dliche Software und beheben Sicherheitsl\u00fccken, durch die die Angreifer ins System eindringen konnten. Die Administratoren bereinigen im Zuge dessen infizierte Rechner zur Bek\u00e4mpfung der Infektion. Es wird jedoch immer irgendwo einen infizierten Rechner geben, der wieder andere Rechner ansteckt.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Ein zus\u00e4tzliches Problem besteht daran, dass die Schadsoftware st\u00e4ndig modifiziert wird. Dadurch werden neue Sicherheitsl\u00fccken aufgetan und \u201egesunde\u201c Rechner angegriffen. Botnetze sind sehr dynamisch und wachsen beziehungsweise schrumpfen daher wie Krankheiten in ihrer Ausbreitung es auch tun. Es ist ein niemals endendes \u201eKatz und Maus\u201c-Spiel. Die Angriffe sind schwer zur\u00fcckzuverfolgen, weil willk\u00fcrlich per Zufallsprinzip Infizierer aus dem Botnetz ausgew\u00e4hlt werden, die die Viren via SPAM-E-Mail versenden sollen. Ein weiterer Grund daf\u00fcr, weshalb die Schwachstellen f\u00fcr die IT-Security so schwer zu ermitteln sind.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<figure class=\"wp-block-image\">\r\n<div id=\"attachment_6284\" style=\"width: 1034px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6284\" class=\"wp-image-6284\" src=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2019\/08\/Botnetz_modifiziert-1-1024x918.png\" alt=\"Das System des Botnetz: Aus vielen einzelnen Rechner wird gro\u00dfe Kraft erzeugt.\" width=\"1024\" height=\"918\" srcset=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2019\/08\/Botnetz_modifiziert-1-1024x918.png 1024w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2019\/08\/Botnetz_modifiziert-1-300x269.png 300w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2019\/08\/Botnetz_modifiziert-1-768x688.png 768w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2019\/08\/Botnetz_modifiziert-1.png 1544w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6284\" class=\"wp-caption-text\">Das System des Botnetz: Aus vielen einzelnen Rechner wird gro\u00dfe Kraft erzeugt. <br \/>Quelle: Eigene Darstellung<\/p><\/div>\r\n<\/figure>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<h4 class=\"wp-block-heading\">Wie geht die RWTH Aachen mit Botnetzen um?<\/h4>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Die <a href=\"https:\/\/www.rwth-aachen.de\/\">RWTH Aachen<\/a> hat ein Filtersystem, damit so viele SPAM-E-Mails wie m\u00f6glich im Vorfeld abgefangen werden und somit gar nicht erst in das Netzwerk gelangen. Das Filtersystem basiert auf Reputationswerten. Diese Werte geben an, ob ein Sender als vertrauensw\u00fcrdig eingestuft werden kann. Wenn ein Absender bereits viele SPAM-E-Mails versendet hat, sinkt der Reputationswert. Ab einem gewissen Wert wird eine E-Mail gar nicht mehr vom E-Mail-Server der RWTH angenommen, sondern direkt abgewiesen nach dem Prinzip \u201eReturn to Sender\u201c um die RWTH-Nutzenden zu sch\u00fctzen.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Dieser Schutzmechanismus wird von den Konzipierenden\/Entwickelnden der SPAM-E-Mails umgangen, indem die infizierten Rechner immer wieder in kurzen Zeitabst\u00e4nden ihre <a href=\"https:\/\/de.ryte.com\/wiki\/IP-Adresse\">IP-Adresse<\/a> \u00e4ndern. Die IP-Adresse funktioniert wie eine Postadresse und macht einen Rechner eindeutig zuordenbar. Wenn ein Rechner also seine IP-Adresse \u00e4ndert, ist er f\u00fcr die Filtersysteme wieder unbekannt und hat einen g\u00fcltigen, unbedenklichen Reputationswert. Die Nachrichten des Absenders mit der scheinbar unbelasteten IP-Adresse werden regul\u00e4r angenommen. Somit k\u00f6nnen wieder SPAM-E-Mails versendet werden.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Eine Reputation ist jedoch nicht in Stein gemei\u00dfelt. Wenn eine IP-Adresse mit einer schlechten Reputation f\u00fcr eine gewisse Zeit keine SPAM-E-Mails verschickt, steigt die Reputation langsam wieder. Die schlechte Reputation verf\u00e4llt. Wenn man also lange genug wartet, werden von einem ehemals blockierten Absender wieder E-Mails entgegengenommen und ins Netzwerk gelassen. W\u00e4re die Reputation nicht variabel, w\u00e4re es nach einer kurzen Zeit generell nicht mehr m\u00f6glich E-Mails zu verschicken. Der komplette E-Mail-Verkehr k\u00e4me zum Stillstand.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<h4 class=\"wp-block-heading\">Was machen Botnetze sonst noch so?<\/h4>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Botnetze verschicken allerdings nicht nur SPAM-E-Mails, um die Internetznutzenden der Weltbev\u00f6lkerung mit vollen Postf\u00e4chern zu nerven.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Sie nutzen die Rechenleistung der angegriffenen Rechner zum Beispiel dazu, an <a href=\"https:\/\/de.wikipedia.org\/wiki\/Kryptow%C3%A4hrung\">Kryptow\u00e4hrung<\/a> heranzukommen. Bekanntestes Beispiel f\u00fcr eine Kryptow\u00e4hrung ist der Bitcoin.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Die vermutlich bekanntesten Risiken von SPAM-E-Mails sind der Diebstahl und Missbrauch privater Daten und Passw\u00f6rter. Hier hat die einzelne Person den Schaden. In der Wirtschaft geschehen Angriffe meist auf Firmen und deren Webseiten um einen sogenannten \u201e<a href=\"https:\/\/www.computerweekly.com\/de\/definition\/Distributed-Denial-of-Service-DDoS-Angriff\">Distributed Denial of Service<\/a>\u201c (\u201everteilte-Verweigerung-des-Dienstes\u201c) herbeizuf\u00fchren. Das Prinzip dahinter: Durch eine hohe Anzahl kleinerer Angriffe soll das gro\u00dfe System zum Einsturz gebracht werden. Hierbei tritt ein wirtschaftlicher Verlust f\u00fcr das Unternehmen auf.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Sie haben Angst, dass Ihr Rechner infiziert ist? Lesen Sie <a href=\"https:\/\/blog.rwth-aachen.de\/itc\/2019\/08\/07\/spam-welle-rwth-2019\/\">hier<\/a>, was Sie bei einem Verdacht tun k\u00f6nnen.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Verantwortlich f\u00fcr die Inhalte dieses Beitrags sind <a href=\"http:\/\/www.itc.rwth-aachen.de\/cms\/IT-Center\/IT-Center\/Team\/~epvp\/Mitarbeiter-CAMPUS-\/?gguid=0xE5BF8096B4B2884C82D68917E03C4899&amp;allou=1\">Jakob Dulian<\/a> und <a href=\"http:\/\/www.itc.rwth-aachen.de\/cms\/IT-Center\/IT-Center\/Team\/~epvp\/Mitarbeiter-CAMPUS-\/?gguid=0x0EC9C01F8EFF104B810E20F8F5820CD8&amp;allou=1\">Linda J\u00f6rres<\/a>.<\/p>","protected":false},"excerpt":{"rendered":"<p>Sorry, this entry is only available in Deutsch.<\/p>\n","protected":false},"author":2051,"featured_media":6289,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"c2c_always_allow_admin_comments":false,"footnotes":""},"categories":[314],"tags":[],"class_list":["post-6283","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-sicherheit"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/en\/wp-json\/wp\/v2\/posts\/6283","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/en\/wp-json\/wp\/v2\/users\/2051"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/en\/wp-json\/wp\/v2\/comments?post=6283"}],"version-history":[{"count":8,"href":"https:\/\/blog.rwth-aachen.de\/itc\/en\/wp-json\/wp\/v2\/posts\/6283\/revisions"}],"predecessor-version":[{"id":16786,"href":"https:\/\/blog.rwth-aachen.de\/itc\/en\/wp-json\/wp\/v2\/posts\/6283\/revisions\/16786"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/en\/wp-json\/wp\/v2\/media\/6289"}],"wp:attachment":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/en\/wp-json\/wp\/v2\/media?parent=6283"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/en\/wp-json\/wp\/v2\/categories?post=6283"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/en\/wp-json\/wp\/v2\/tags?post=6283"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}