Angriffe auf IT-Systeme laufen häufig im Verborgenen ab. Man bemerkt sie oft erst, wenn es eigentlich schon zu spät ist. Das Ziel eines Angreifers ist es, den Rechner des Opfers zu kompromittieren, die Kontrolle über ihn zu erlangen und dabei unentdeckt zu bleiben. Die Angriffe erfolgen über verschiedene Wege, beispielsweise durch E-Mail-Nachrichten mit schädlichen Anhängen, bösartige Webseiten, die eine Schwachstelle im Webbrowser ausnutzen, oder durch Ausnutzung von Sicherheitslücken in Programmen.

	Funktionsprinzhip eines Botnetz-Angriffs © CC-b<-sa 3.0

Rechner unter Fremdkontrolle
Nach einem erfolgreichen Angriff installieren die Angreifer eine Schadsoftware auf dem Rechner des Opfers, die dem Angreifer die Kontrolle über den Rechner erlaubt. Deshalb wird diese Software typischerweise als Bot (Kurzform von Robot) bezeichnet. Der mit einem Bot infizierte Rechner wird dann beispielsweise dazu benutzt, Spam-Nachrichten zu verschicken oder vertrauliche Daten des Nutzers wie etwa Passwörter zu stehlen.

Die Angreifer benutzen die gekaperten Rechner auch zur Durchführung von sogenannten Distributed Denial-of-Service-Angriffen (DDoS-Angriffen), bei denen alle Bots unter der Kontrolle des Angreifers so viele Anfragen an einen Server schicken, dass dieser überlastet und nicht mehr für legitime Anfragen erreichbar ist. Die Möglichkeiten eines Angreifers sind dabei fast unbeschränkt, da er die komplette Kontrolle über das Opfersystem hat.

Aus der Sicht eines Angreifers sind solche Angriffe noch effizienter, wenn er es schafft, eine große Anzahl an Rechnern gleichzeitig zu kompromittieren: Wenn der Angreifer 50.000 Bots kontrolliert, kann er deutlich mehr Spam-Nachrichten versenden, als wenn er nur 500 Bots unter seiner Kontrolle hat. Die „Verwaltung“ von vielen übernommenen Rechnern ist allerdings komplex. Der Angreifer setzt ein sogenanntes Botnetz auf, um alle diese Rechner kontrollieren zu können. Ein Botnetz ist ein Netzwerk aus kompromittierten Maschinen, die unter der Kontrolle eines Angreifers stehen: Der Angreifer kann Befehle zu den einzelnen Bots senden, und diese führen diese Kommandos dann aus, zum Beispiel um Spam-Meldungen zu versenden, Informationen zu stehlen oder DDoS-Angriffe zu starten.

Botnetze kommunizierten erst über IRC, heute aber auch über das http-Protokoll © SXC

Befehle über Chatkanäle oder http
Bei der ersten Generation von Botnetzen verlief die Kommunikation noch über das Internet Relay Chat (IRC)-Protokoll, ein bekanntes Chat-Protokoll. Die Bots bauten eine permanente Verbindung zu einem bestimmten Server, dem den sogenannten Command and Control (C&C)-Server, auf und empfingen von dort neue Befehle. Heute benutzen Angreifer jedoch die Kommunikation per HTTP-Protokoll ohne dauerhafte Verbindung zum C&C-Server: Die Bots kontaktieren diesen nur noch sporadisch und fragen neue Befehle an. Aus Angreifer-Sicht hat dies viele Vorteile, vor allem da HTTP ein weit verbreitetes Protokoll ist und die Anfragen der Bots im normalen Webverkehr schwierig zu entdecken sind.

Zudem existieren heute auch Botnetze mit proprietären Kommunikationsprotokollen. Bei diesen hat der Angreifer ein eigenes Kommunikationsformat entwickelt. Solche Botnetze sind schwieriger zu durchschauen, da man als Verteidiger zunächst das Protokoll analysieren und verstehen muss. Neben Botnetzen mit einem zentralen C&C-Server existieren auch solche, die ein Peer-to-Peer-Protokoll als Kommunikationsmechanismus nutzen: Die einzelnen Bots werden als Teil der Kommunikations-Infrastruktur benutzt. Deshalb ist auch diese Art von Botnetzen schwerer zu bekämpfen.

Forscher der Ruhr-Universität Bochum um Thorsten Holz untersuchen im Rahmen ihrer Arbeit systematisch Botnetze und entwickeln effektive Erkennungs- und Abwehrmethoden. Dafür entwickeln sie spezielle Köder - die Honigtöpfe.