beebright - stock.adobe.com
Die Gefahr durch Botnetze nicht unterschätzen
Botnetze sind für Cyberkriminelle ein Werkzeug für unterschiedlichste Einsatzzwecke. Die Bedrohung für Unternehmen ist daher anhaltend groß und erfordert entsprechende Maßnahmen.
Im Lagebericht 2019 des BSI wird die Gefahr durch Botnetze, zusammengesetzt vor allem aus infizierten mobilen oder IoT-Geräten, ausdrücklich beschrieben: „Die Bedrohungslage durch Botnetze (Verbünde von Rechnern oder Systemen, die von einem fernsteuerbaren Schadprogramm [Bot] befallen sind) ist wie in den Vorjahren anhaltend hoch. Wie die aktuellen Entwicklungen zeigen, ist das Risiko, Teil eines Botnetzes zu werden, vor allem bei mobilen Endgeräten und Internet-of-Things-Systemen (IoT-Systemen) hoch.“
Cyberkriminelle haben es wegen schwach abgesicherter Software einfach, ihre Botnetze mit neuer CPU-Leistung zu versorgen. Wieder und wieder gelingt es den verschiedenen Strafverfolgungsbehörden aus aller Welt zwar, Botnetze zu zerschlagen – beispielsweise Retadup bestehend aus 850 000 PCs, Avalanche mit 50.000 PCs oder Dorkbot. Doch jedes dieser aufgelösten Netzwerke wird schnell wieder aufgebaut, denn das Geschäftsmodell ist viel zu lukrativ, um es fallen zu lassen.
Malware-as-a-Service als Geschäftsmodell
Den Betreibern der Botnetze geht es nicht einfach nur darum, Daten zu sammeln, sondern Kryptowährungen wie Monero zu schürfen, oder aber DDoS-Attacken auszuführen. Angeboten werden Botnetze inklusive einer Anleitung und weiterer Services im Darknet – aber auch offen über Social-Media-Plattformen. Diese Malware-as-a-Service-Infrastrukturen bieten einen höchst professionellen rund-um-die-Uhr-Service. Botnetze sind zudem für Malware-Kampagnen ein elementarer Teil, denn sie sorgen dafür, dass die Angriffe weit gestreut und mit der nötigen Rechenleistung ausgeführt werden.
Das BSI hat im Jahr 2018 täglich bis zu 110.000 Botinfektionen registriert. Vor allem im Bereich der Heimelektronik konnte ein Anstieg der sogenannten Zombie-Geräte festgestellt werden. Doch auch Mobiltelefone mit Android-Betriebssystem wurden befallen.
Sogar ab Werk treten einige dieser Infizierungen auf, die Geräte sind also bereits bei der Auslieferung aus der Fabrik an die Vertriebsorganisation infiziert. Nicht nur deshalb warnt die Behörde sowohl Privatanwender als auch Unternehmen davor, dass die von ihnen genutzten Geräte übernommen und missbraucht werden könnten. Letztlich begnügen sich die Cyberkriminellen nicht mehr mit dem Diebstahl von Daten. Die modernen Infektionen ermöglichen vielfach einen kompletten Zugriff auf die Geräte.
Emotet schlimmer als eine Universalwaffe
Von allen bekannten Botnetzen ist vor allem eines für deutsche Nutzer gefährlich: die Malware Emotet. Bei diesem Schädling handelt es sich um einen fortschrittlichen, sich selbst verbreitenden und darüber hinaus auch noch modular einsetzbaren Trojaner.
Emotet wurde 2014 entdeckt und früher als Banking-Trojaner eingesetzt. Mittlerweile dient er jedoch als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Dabei nutzt Emotet verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten. Nicht zuletzt deshalb gab das BSI selbst wiederholt Warnungen vor dieser Cyberbedrohung heraus.
„Besonders Unternehmen sollten so früh wie möglich geeignete Maßnahmen ergreifen, um sich zu wappnen und die Auswirkungen von Schäden gering zu halten.“
Dietmar Schnabel, Check Point
Im Oktober bezeichnete BSI-Präsident Arne Schönbohm die Malware Emotet als den „König der Schadsoftware“. Die Sicherheitsforscher von Check Point teilen diese Auffassung. Sie stellten über die Auswertung verschiedener Quellen im Rahmen ihres Global Threat Index fest, dass Emotet monatelang die erfolgreichste Malware in Deutschland war.
Im Juni legte das berüchtigte Botnetz eine Pause ein, jedoch nur für kurze Zeit, um verbessert zu werden. Danach, und besonders im späten August, nahm Emotet seine Arbeit mit alter Intensität wieder auf und verbreitete zahlreiche Spam-Kampagnen.
Fast täglich tauchen nun neue Varianten auf. Zahlreiche Angriffe, die in Deutschland unter anderem das Berliner Kammergericht, Krankenhäuser und einen Juwelier getroffen haben, waren die Folge. Einige der Spam-Kampagnen enthielten E-Mails, die einen Link zum Herunterladen einer infizierten Word-Datei enthielten. Andere enthielten das betrügerische Dokument sogar selbst. Beim Öffnen der Datei werden die Opfer aufgefordert, die Makrofunktionen im Dokument zu starten, die daraufhin das Schadprogramm automatisch installierten.
Fazit
Die Strafverfolgungsbehörden geben ihr Bestes, um die Bedrohung durch Botnetze, wie Emotet, zu unterbinden. Darüber hinaus verstehen allmählich auch die Hersteller von internetfähigen Geräten, dass sie neue Konzepte wie Security-by-Design, also die Einflechtung der Schutzmaßnahmen bereits bei der Produktentwicklung, angehen sollten.
Außerdem lassen sich Schwachstellen in offenen Systemen natürlich niemals völlig verhindern, auch wenn die Community weltweit zunehmend besser zusammenarbeitet und den Behörden wie der ENISA, Europol oder Interpol ihre Informationen mitteilt. Doch das kann dauern.
Besonders Unternehmen sollten so früh wie möglich geeignete Maßnahmen ergreifen, um sich zu wappnen und die Auswirkungen von Schäden gering zu halten. Investitionen in Security Awareness zur Schulung der Mitarbeiter, aber auch die Segmentierung des Netzwerks sind dringend geboten.
Internet of Things (IoT) und überhaupt mobile Geräte sollten vom Rest des Firmennetzwerks konsequent getrennt werden. Auf diese Weise erhalten IT-Mitarbeiter einen klaren Blick über den Netzwerkverkehr, und können ungewöhnliche Bewegungen erkennen, die auf einen Verstoß oder eine Beeinträchtigung der Geräte hinweisen könnten.
Die Segmentierung verhindert, dass sich Angriffe wie Datendiebstahl oder Verschlüsselung durch Ransomware unkontrolliert im Netzwerk ausbreiten und isoliert letztlich die Bedrohung auf einen Bereich. Diese bewährte Methode befähigt die IT-Fachkräften, neue Lösungen schnell einzubinden und schafft gleichzeitig eine weitere Sicherheitsebene für den Netzwerk- und Datenschutz – ohne die Nutzerfreundlichkeit oder Leistung zu beeinträchtigen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.