Cybersecurity Rating: Botnetze – Funktionsweise, Wirkung, den Gefahren begegnen

​veröffentlicht am 23. Februar 2021

von Martin Gärthöffner

 

Nachrichten über sogenannte Botnetze finden heute nahezu täglich Einzug in die allgemeine Berichterstattung. Längst sind die Zeiten vorbei, in denen man nur in dedizierter Fachpresse entsprechende Meldungen fand. Von „Twitterbots” zur Verstärkung von Meinungsbildern über „Klickbots” zur Generierung von Geldern durch Aktivierung von Werbeflächen, das Versenden von Spam-Mails hin zu DDoS-Attacken, eine Liste kann nur unvollständig bleiben. Immer wird es einen kreativen Kopf geben, ein bisher unbekanntes Nutzungsszenario. Eine direkte Bedrohung Ihres Unternehmens durch z. B. Verschlüsselung kritischer IT-Systeme zur Erpressung von Geldern für einen zur Entschlüsselung notwendigen Schlüssel darf hier nicht verschwiegen werden. Leider ist im Schadensfall die Zahlung eines Lösegeldes oftmals die einzig wirtschaftliche Alternative.
 

Funktionsweise von Bots

Botnetz bestehen aus einzelnen Rechnern, welche miteinander kommunizieren. Davon hat die Geschäftsleitung als der Eigentümer des Systems keine Kenntnis, es findet ohne das Einverständnis des Managements statt. Jeder einzelne Bot ist ein eigenes, kompromittiertes System. Dieses System kommuniziert mit anderen kompromittierten Systemen, um Befehle auszuführen. Gesteuert werden diese Systeme von einem zentralen System, in der Regel als Command-and-Control-Server benannt. Ziel dieser Befehle können Daten, Schnittstellen und weitere Computersysteme innerhalb Ihrer Organisation sein, aber auch Ziele außerhalb Ihrer Organisation. Bei diesen treten Sie dann als Angreifer auf. Beachtenswert ist, dass jedes - wie auch immer geartete - System ein Bot sein kann. Nicht nur die klassischen Computer wie wir diese im ersten Moment annehmen, auch IoT-Geräte wie z. B. Überwachungskameras können schnell Teil eines Botnetzes werden. Nicht immer stehen solche Geräte im gleichen Fokus bezüglich IT-Sicherheit, wie es bei Servern oder den Userendgeräten üblich ist. Dabei ist die Entwicklung von Botnetzen mit einem eindeutigen Nutzungszweck hin zu Multifunktions-Botnetzen feststellbar.

 

Wie können wir erkennen, ob in unserem Netzwerk solche Bots aktiv sind?

Grundsätzlich ist das Erkennen von Bots als sehr schwierig einzustufen. Nicht immer werden Bots und damit verbundene Schadsoftwarekomponenten als solche erkannt und zeitnah in Virendefinitionen eingepflegt. Bots können auf infizierten Systemen über Wochen und Monate ruhen. Eine Kommunikation findet nicht oder nur sehr selten statt und kann somit ebenfalls nicht oder nur schwer identifiziert werden.

Eine Methodik, um infizierte Systeme zu erkennen ist, die Kommunikation von bekannten, infizierten Systemen - sogenannten Sinkholes oder Honeynets - zu überwachen. Bei diesen Systemen ist die erwartete Kommunikation eindeutig von unerwarteter Kommunikation abgrenzbar. Dies erlaubt zum einen das Finden neuer, bisher unbekannter Botnetze, die Analyse der Arbeitsweise und (Weiter-)Entwicklungen in diesen Bereichen, aber auch das Auffinden von Bots in z. B. Ihrer Verantwortung durch die ständig bewusst überwachte Kommunikation nach außen. Eine solch erfasste Kommunikation kann dann darauf geprüft werden, ob fragliche Systeme einen Anteil in dieser Kommunikation hatten.

Wie kann ich mich und mein Unternehmen schützen?

Im Rahmen unseres Angebots eines Cybersecurity-Ratings können wir Ihnen aufzeigen, ob oder in welchem Maße eine solche Kommunikation mit IP-Adressen in Ihrer Verantwortung stattgefunden haben. In Zusammenarbeit mit Ihrem Netzwerkteam können damit die kompromittierten Systeme schnell ermittelt und bereinigt werden.

 

 

 

Abbildung 1: Quelle: BitSight

Mit der Information, welche Systeme betroffen waren und welcher Botnetz-Typ auf Ihrem System aktiv war, kann zudem eine Schadensanalyse erfolgen. Dies kann zur Ableitung von weiteren Schritten für Sie und Ihr IT-Management dienen, aber auch die externe Darstellung Ihres Unternehmens verbessern. Niemand möchte in der morgigen Tagespresse lesen, dass Systeme aus dem eigenen Netz beteiligt an einem Cyberangriff waren.

Die regelmäßige Durchführung eines Cybersecurity-Ratings kann nicht nur der Abwendung eines solchen Szenarios dienen, sondern auch als Nachweis über die Wahrnehmung der Sorgfaltspflicht. Gerne unterstützen wir Sie mit der Erstellung eines Cybersecurity-Ratings. Bitte senden Sie uns hierzu eine entsprechende E-Mail. Wir setzen uns unverzüglich mit Ihnen in Verbindung.