Ein Botnet ist ein Verbund aus vielen kompromittierten Geräten („Bots“), die über Command-and-Control (C2) zentral oder verteilt ferngesteuert werden. Es dient Angreifern dazu, koordinierte Aktionen wie DDoS-Attacken, Spam-Versand, Credential-Stuffing oder Kryptomining auszuführen. Botnets umfassen längst nicht nur PCs, sondern auch IoT-Geräte und Server in Unternehmensnetzen.
Hintergrund und Entstehung von Botnets
Frühe Botnets nutzten in den 2000er-Jahren IRC-Kanäle zur Steuerung und dienten vor allem dem Spam-Versand und Click-Fraud. Später setzten Betreiber auf HTTP/S, Peer-to-Peer und Fast-Flux-Techniken, um Resilienz und Tarnung zu erhöhen. Der Trend kulminierte 2016 mit Mirai, das millionenfach unsichere IoT-Geräte missbrauchte und rekordhafte DDoS-Spitzen verursachte.
Im DACH-Kontext dokumentieren Behörden regelmäßig Botnet-Aktivitäten und Gegenmaßnahmen. Das BSI definiert Botnetze als groß angelegte, ferngesteuerte Zusammenschlüsse infizierter Systeme und warnt explizit vor der Einbindung von Smartphones, Routern und IoT-Geräten. [Q1] ENISA beschreibt Botnets als von kriminellen Akteuren organisierte Netze zur Begehung vielfältiger Online-Delikte.
Aktuelle Strafverfolgungsaktionen – etwa Operation „Endgame“ unter Beteiligung deutscher Behörden und Europol – zeigen die Bedeutung von Botnets für Ransomware-Ökosysteme und die Wirksamkeit internationaler Kooperationen.
Botnet: wichtigste Merkmale und Kernelemente
Struktur und Steuerung (C2). Ein Botnet verbindet kompromittierte Endpunkte mit einer Steuerkomponente. C2 kann zentral (Server/Cloud), dezentral (P2P) oder mehrstufig (Proxys, Fast-Flux) ausgestaltet sein. Ziel ist die verlässliche, schwer zu unterbindende Befehlsübermittlung.
Einsatzspektrum. Typische Zwecke sind DDoS, Spam/Phishing, Datendiebstahl, Credential-Stuffing, Kryptomining und der Missbrauch als Proxy-Infrastruktur. Angriffe werden zeitlich koordiniert, um Skaleneffekte und Verschleierung zu erreichen.
Infektionswege. Die Verbreitung erfolgt über Phishing-Anhänge und -Links, Exploits (Drive-by), Supply-Chain-Kompromittierungen, schwache IoT-Passwörter oder unsichere Default-Konfigurationen. Ungepatchte Systeme und exponierte Dienste erhöhen das Risiko.
Zielumgebungen. Neben klassischen Arbeitsplatzrechnern sind Server, OT-/IoT-Komponenten, Heimrouter und Mobilgeräte betroffen. IoT-Botnets nutzen häufig automatisierte Scans nach Standard-Credentials und bekannten Schwachstellen.
Bekämpfung. Technische Maßnahmen umfassen Sinkholing, Domain- und Server-Beschlagnahmen, Provider-Benachrichtigungen sowie Härtung und Patch-Management. Europäische Behörden koordinieren regelmäßig internationale Takedowns.
Bedeutung für Unternehmen und Praxisrelevanz
Für Unternehmen im DACH-Raum stellen Botnets ein operatives Risiko (Verfügbarkeitsverlust durch DDoS), ein Compliance-Risiko (z. B. Meldepflichten nach Vorfällen) und ein Reputationsrisiko dar. Besonders mittelständische Betriebe sind betroffen, wenn IoT- oder OT-Geräte schlecht gehärtet sind oder Shadow-IT entsteht. [Q1]
Ein Praxisbeispiel ist das Schweizer NCSC, das 2024 das Botnet „Gorilla“ dokumentierte. Das Botnet wurde über Telegram vermarktet und gegen kritische Infrastrukturen eingesetzt und steht damit exemplarisch für die Industrialisierung des Angreiferökosystems. [Q4]
Relevanz hat auch die Strafverfolgung. Internationale Maßnahmen stören Botnet-Infrastrukturen, reduzieren Dropper-Ökosysteme und erschweren Ransomware-Einbrüche. Unternehmen profitieren mittelbar, müssen aber weiterhin eigene Hygienemaßnahmen (Härten, Monitoring, Incident-Response-Pläne) konsequent umsetzen. [Q5], [Q1]
Abgrenzung zu verwandten Begriffen
Botnet vs. Malware-Infektion. Eine einzelne Malware kompromittiert ein Gerät. Ein Botnet ist der koordinierte Verbund vieler kompromittierter Geräte unter gemeinsamer Steuerung. [Q2] Weitere Informationen: Malware.
Botnet vs. DDoS. DDoS ist eine Angriffsart (Überlastung). Ein Botnet ist häufig das Werkzeug, um DDoS skalierbar auszuführen. [Q2] Weitere Informationen: Distributed Denial of Service (DDoS).
Botnet vs. C2-Infrastruktur. C2 bezeichnet die Steuerungs- und Kommunikationsschicht eines Angriffs. Das Botnet ist die Masse der ferngesteuerten Endpunkte, die C2-Befehle empfangen.
Beispiele aus der Praxis
Beispiel 1: Energieversorger (200 MA, DE)
Mehrwöchige DDoS-Störungen durch ein IoT-Botnet führten zu Ausfällen im Kundenportal eines mittelständischen Energieversorgers. Abhilfe schafften Segmentierung, WAF- und DDoS-Mitigation sowie ein Härtungsprogramm für Edge-Geräte. Die Zeit bis zur Wiederherstellung sank von Tagen auf Stunden. [Q1], [Q5]
Beispiel 2: Gesundheitsdienstleister (180 MA, CH)
Nach wiederholten Überlastungsangriffen führte ein Gesundheitsdienstleister ein Playbook für Incident Response ein, einschließlich Kontaktketten zu Telkos und CERTs sowie Botnet-Traffic-Erkennung. Die Reaktionszeit sank messbar, ein erneuter Angriff der „Gorilla“-Infrastruktur blieb ohne langanhaltende Wirkung. [Q4]
Häufig gestellte Fragen
Was ist ein Botnet?
Ein Botnet ist ein Netzwerk infizierter Geräte, die ferngesteuert Befehle erhalten und ausführen. Es wird unter anderem für DDoS, Spam und Datendiebstahl genutzt. [Q1], [Q2]
Wie funktioniert ein Botnet?
Nach der Infektion verbindet sich der Bot mit einem C2-Server oder einem P2P-Mesh und holt periodisch Anweisungen ab. Betreiber orchestrieren Tausende Geräte für koordinierte Aktionen. [Q2], [Q3]
Wie erkenne ich, ob mein Gerät Teil eines Botnetzes ist?
Anzeichen sind ungewöhnlicher ausgehender Traffic, Blacklist-Einträge, Provider-Hinweise oder Warnungen von Sicherheitslösungen. Das BSI empfiehlt umgehend Säuberung, Patching und Passwortwechsel. [Q1]
Wie kann man sich vor Botnetzen schützen?
Wesentlich sind konsequente Updates, starke und eindeutige Passwörter, MFA, Segmentierung, das Deaktivieren unnötiger Dienste (z. B. UPnP) und Monitoring. Behörden raten zusätzlich zur Teilnahme an Provider-Benachrichtigungen und zur Härtung von IoT-Geräten. [Q1], [Q2]
Quellen
[Q1] Bundesamt für Sicherheit in der Informationstechnik: „Botnetze – Auswirkungen und Schutzmaßnahmen“, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Botnetze/botnetze_node.html, Abrufdatum: 10.11.2025.
[Q2] European Union Agency for Cybersecurity (ENISA): „Botnets“, https://www.enisa.europa.eu/activities/identity-and-trust/library/past-work-areas/botnets/botnets, Abrufdatum: 10.11.2025.
[Q3] Wikipedia (de): „Botnet“, https://de.wikipedia.org/wiki/Botnet, Abrufdatum: 10.11.2025.
[Q4] Nationales Cybersicherheitszentrum Schweiz (NCSC/BACS): „Technische Kurzanalyse zum Botnetz ‹Gorilla›“, https://www.ncsc.admin.ch/ncsc/de/home/aktuell/im-fokus/2024/gorilla_bericht.html, Abrufdatum: 10.11.2025.
[Q5] Europol: „Largest ever operation against botnets hits dropper malware ecosystem (Operation Endgame)“, https://www.europol.europa.eu/media-press/newsroom/news/largest-ever-operation-against-botnets-hits-dropper-malware-ecosystem, Abrufdatum: 10.11.2025.