Als Botnetz wird ein Verbund miteinander vernetzter Rechner bezeichnet, die unter der Kontrolle eines sog. Botmasters stehen und ohne das Wissen und die Zustimmung der Besitzer der einzelnen Rechner durch den Botmaster ferngesteuert werden können. Die infizierten Rechner bezeichnet man als Zombies.

 

Der Botmaster kann die unter seiner Kontrolle stehenden gekaperten Opferrechner für eine Vielzahl unterschiedlicher Zwecke missbrauchen. Da er so auf die einzelnen Rechner zugreifen kann, als säße er selbst physikalisch vor dem jeweiligen System, ist sowohl der Zugriff auf die auf den jeweiligen Systemen gespeicherten Daten, als auch die unbemerkte Verwendung der Netzwerkverbindung der Rechner möglich.

 

Hieraus ergeben sich vielfältige Möglichkeiten. Neben Datendiebstahl ermöglicht der Zugriff auf die gekaperten Rechner auch das Verschleiern der Identität des Angreifers, indem die Opferrechner (Bots) als Proxy verwendet werden. Je nach Größe des Botnetzes kann der Täter im Extremfall im Sekundentakt seine IP-Adresse wechseln und über die Netzwerkverbindung des Opfers weitere illegale Aktionen starten. Darüberhinaus eignen sich die ferngesteuerten Rechner ebenso zur Weiterverbreitung des Bot-Schadcodes oder zum massenhaften Spamversand.

 

Betrachtet man die Größe typischer Botnetze, die von einigen hundert bis zu mehreren hunderttausend infizierten Maschinen reichen kann, offenbart sich ein weiteres Einsatzgebiet der Botnetz-Armeen Nämlich deren Einsatz als Waffe zur Durchführung einer sog. DDoS-Attacke (Distributed Denial of Service). Hierbei werden „ungeliebte“ Web- oder Mailserver mit massenhaften Anfragen überhäuft. Mit der entsprechenden Anzahl an Zombies lässt sich damit im schlimmsten Fall der Server aufgrund von Überlastung komplett außer Betrieb setzen. Kriminellen Folgedelikten wie Schutzgelderpressung öffnet diese Methode Tür und Tor.

 

Populär ist darüber hinaus der Einsatz der Zombie-Rechner als Web- oder FTP-Server. Dies kann unterschiedlichen Zielen dienen. Einerseits der Bereitstellung verseuchter Webseiten zum Zwecke weiterer Informationen, andererseits können die Systeme der ahnungslosen Opfer als Ablage für Pornographie, Raubkopien etc. dienen.

 

Die Administration und Koordination der möglicherweise weltweit verteilten Zombie-Rechner kann auf unterschiedliche Art und Weise erfolgen. Während bei den ersten Botnetzen noch zentrale Command- and Control-Server verwendet wurden, setzt man mittlerweile zunehmend auf dezentrale Kommunikationsstrukturen, die den aus dem Tauschbörsenbereich bekannten P2P (Peer-to-Peer)-Netzen gleichen. Dieser Umstand erschwert die Stilllegung eines Botnetzes, da kein zentraler Server vorhanden ist, dessen Abschaltung das gesamte Botnetz zum Erliegen bringen könnte. Stattdessen kommunizieren alle Zombies direkt untereinander, was dem Botnetz eine wesentlich höhere Stabilität verleiht.

 

Botnetze können auf verschiedene Art und Weise neue Zombies rekrutieren. Neben Weiterverbreitung per infizierter E-Mail können auch populäre, von Hackern übernommene Webseiten, zum Wachstum eines Botnetzes beitragen, indem Sicherheitslücken im Betriebssystem oder in Anwendungssoftware ausgenutzt werden und die Infektion quasi „im Vorbeigehen (sog. Drive-by-infection)“ erfolgt. Es genügt bereits ein Besuch der mit Schadcode versehenen Webseite, um sich zu infizieren.

 

Botnetze haben sich zu einer der größten illegalen Einnahmequellen des Internets entwickelt. Einerseits durch die schiere Masse der erbeuteten Daten aus den Opferrechnern, andererseits durch Vermietung von Botnetz-Kapazitäten an Dritte auf Stunden- oder Monatsbasis oder zu Festpreisen, z. B. an Hand der Zahl der über das Botnetz versendeten Spam-Mails.