• Start
V-Hub by Vodafone BusinessSecuritySicherheitBotnets und Botnet-Angriffe: Das steckt dahinter und so können Sie sich davor schützen
Schmuckbild
Security

Botnets und Botnet-Angriffe

Das steckt dahinter und so können Sie sich davor schützen

Portrait von Ulrich SchmitzUlrich Schmitz
Portrait von Clemens Förster Clemens Förster
28.11.2025
11 Min.

    Ihr Unternehmens-Computer als Teil eines Cybercrime-Netzes: Ein Botnet ist ein Netzwerk infizierter Rechner, das Kriminelle für Spam, Malware-Verbreitung und DDoS-Angriffe nutzen. Solche Angriffe betreffen oft ganze Netzwerke, darunter sogar länderübergreifende Wide Area Networks (WAN).

    Durch neue KI-Methoden nimmt die Bedrohung für Firmen und Privatpersonen stetig zu. Laut der Bitkom-Studie „Wirtschaftsschutz und Cybercrime 2025“ gibt es immer mehr Angriffe auf Unternehmen und die Schäden steigen. Wie Sie sich und Ihre Unternehmens-Computer vor Botnetzen schützen, erfahren Sie hier.

    Inhaltsverzeichnis

    Was ist ein Botnet? Definition und BedeutungWie wird ein Botnet erstellt und gesteuert?Arten von BotnetsPhishing und Botnets: Wie Kampagnen zusammenspielen

    Was ist ein Botnet? Definition und Bedeutung

    Zunächst einmal sind Botnetze nicht grundlegend illegal. Es handelt sich im Wesentlichen um einen Begriff für gemeinsam arbeitende Rechner mit einem bestimmten Ziel. Es gibt zwei unterschiedliche Arten von Botnets:

    Legale Botnetze

    Diese Netze dienen als sogenanntes Distributed Computing Network, also als verteiltes Netzwerk. Dabei kommunizieren zusammengeschlossene Computer unabhängig voneinander und erledigen umfangreiche Rechenaufgaben im Hintergrund, ohne den einzelnen Rechner zu stark zu belasten. Dieses Prinzip kommt vor allem in der Forschung bei rechenintensiven Projekten zum Einsatz. Auch im Bereich Data-Mining gibt es legale Botnet-Programme, die jedoch oft als Basis für illegale Weiterentwicklungen dienen.
    Durch die wachsenden Anforderungen an das Thema Datenschutz und das Bemühen, schädliche Botnetze frühzeitig zu erkennen, ist der legale Einsatz jedoch kaum noch möglich. Entsprechend sensibel reagieren Schutzprogramme, auch wenn verwendete Bots keinem illegalen Zweck dienen. Im gesicherten Unternehmen führt die unbeabsichtigte Installation eines Bots oftmals zu einem schwerwiegenden Security-Alarm. Entstehen durch den Bot Schäden für das Unternehmen und seine Partner oder Kundinnen, hat das entsprechende Folgen für die Verursacher:innen.

    Kriminelle Botnetze

    Hier entsteht ein Botnet durch den Verbund mehrerer Rechner, den sogenannten Bots, also Robotern. Manchmal ist hierbei auch von „Zombie-Rechnern“ die Rede, da sie weitgehend fremdgesteuert agieren und ausschließlich das Ziel haben, andere IT-Systeme zu beschädigen oder lahmzulegen.
    Jeder beliebige Rechner, jeder Router und jedes IoT-Gerät im Netzwerk kann grundsätzlich durch Schadcode zu einem Bot und damit Bestandteil eines Botnets werden. Wesentliches Merkmal eines Botnetzes ist, dass Angreifer:innen die betroffenen Systeme durch eine eingeschleuste Software fernsteuern können.
    Von einem kriminellen Botnet ist also immer dann die Rede, wenn mehrere miteinander vernetzte Rechner gemeinsam mit dem Ziel agieren, Schaden anzurichten. Alternativ bezeichnet man solch ein Netz auch als „Zombie-Armee“.
    Microsoft Defender für Unternehmen

    Microsoft Defender for Business

    Mittelständische Unternehmen sind anfällig für Cyber-Bedrohungen. Sie haben weniger Ressourcen und meist wenige IT-Fachkräfte. Hybrides Arbeiten vergrößert diese Angriffsfläche. Wir helfen Ihnen – mit dem Microsoft Defender für Unternehmen.

    Neu: Jetzt mit Vodafone Managed Endpoint Sercurity Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.

    • Schutz vor Ransomware, Phishing und anderen Bedrohungen
    • In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten
    Das kann der Microsoft Defender

    Wie wird ein Botnet erstellt und gesteuert?

    Generell funktionieren Bots wie klassische Netzwerkprogramme, die miteinander kommunizieren. Der Aufbau und Einsatz einer klassischen Botnet-Attacke läuft nach einem mehrstufigen Muster ab:
    • Sicherheitslücken identifizieren: Cyberkriminelle suchen aktiv nach Sicherheitslücken in Software, Betriebssystemen und Netzwerken. So wollen sie Zugriff auf Computer erlangen, ohne dass deren Benutzer:innen es bemerken.
    • Computer infizieren: Durch einen offenen Port in der Firewall, das unbedachte Öffnen eines E-Mail-Anhangs oder eine nicht geschlossene Systemlücke gelingt es Cyberkriminellen, Bot-Schadcode unbemerkt einzuschleusen. Diese Schadprogramme verbreiten sich selbständig und infizieren weitere Computer.
    • Infizierte Systeme kontrollieren: Die Kriminellen nutzen Fernsteuerungsbefehle, um die infizierten Computer in ein Botnetz zu integrieren. Die Befehle kommen über einen sogenannten Command-and-Control-Server (C&C-Server). Er dient als zentrale Schnittstelle zur Steuerung der Bots.
    • Botnetze für kriminelle Aktivitäten nutzen: Einmal im System, wartet der Bot auf seine Aktivierung. Diese kann beispielsweise durch einen Timer oder ein Aktivierungssignal über das Netzwerk erfolgen. Manche Bots haben auch nur die Aufgabe, wesentlich komplexere Schadprogramme nachzuladen oder sich im Netzwerk zu verteilen. Sobald das Botnetz eingerichtet ist, können die Kriminellen es für illegale Aktivitäten nutzen, beispielsweise um Spam-E-Mails zu versenden, DDoS-Angriffe (Distributed Denial of Service) auszuführen oder um vertrauliche Informationen zu sammeln.
    Infografik
    Rechner im Botnetz können sowohl Ziel des Angriffs als auch angreifender Bestandteil des Netzwerkes sein.

    Arten von Botnets

    Botnets unterscheiden sich vor allem hinsichtlich ihrer Architektur und Steuerungsweise. Die wichtigsten Arten von Botnets sind:
    • Zentralisierte Botnets: Sämtliche infizierten Geräte kommunizieren mit einem zentralen Server, der sie steuert – dem sogenannten Command-and-Control-Server (C&C-Server). Kriminelle können die Bots auf diese Weise einfach verwalten und kontrollieren, verlieren aber bei der Ausschaltung des Servers die Kontrolle über das gesamte Botnet.
    • Dezentralisierte Botnets: Hierbei kommunizieren einzelne Bots ohne zentrale Instanz untereinander, also wie in einem Peer-to-Peer-Netzwerk (P2P). Diese Botnets sind schwer zu zerstören, da es keine zentrale Steuerungseinheit gibt. Dafür lassen sie sich schwieriger implementieren und weisen eine höhere Latenz auf als zentralisierte Botnetze.
    • Hybride Botnets: Die Kombination aus zentralisierten und P2P-Elementen nutzt in der Regel einen zentralen Server für globale Updates, verteilt Befehle aber dezentral. Diese Form bietet Kriminellen einen Ausgleich zwischen Flexibilität und Ausfallsicherheit, sodass sie ihre Angriffe besonders effizient umsetzen können.
    Um Botnetze zu etablieren und zu steuern, können die Angreifer:innen auch Cloud-Instanzen kapern und als Bots einsetzen. So können sie deren hohe Rechenleistung und Bandbreite nutzen.

    Phishing und Botnets: Wie Kampagnen zusammenspielen

    Phishing und Botnets ergänzen sich oft in Cyberangriffen: Phishing dient meist als Einstiegspunkt. Damit bringen Kriminelle die Opfer dazu, über gefälschte E-Mails oder Webseiten schädliche Links oder Anhänge zu öffnen. Dadurch gelangt Malware auf einen Computer, die ihn in ein Botnet einbindet.
    Umgekehrt nutzen Botnets ihre verteilte Infrastruktur, um massenhaft Phishing-Mails zu versenden oder gefälschte Webseiten zu hosten. So entsteht ein schädlicher Kreislauf: Phishing infiziert Geräte, Botnets verbreiten Phishing – und beide zusammen ermöglichen groß angelegte Datendiebstähle und Betrugsaktionen.
    Botnets machen Phishing zudem für Kriminelle genau skalierbar: Millionen E-Mails können zu bestimmten Zeitpunkten oder in bestimmten Intervallen innerhalb kurzer Zeit oder stattdessen zeitversetzt verschickt werden. Sie bieten darüber hinaus Anonymität, da diese breit angelegten Angriffe ausschließlich über kompromittierte Systeme laufen.
    Eine junge Frau betrachtet lächelnd ein Tablet.

    Vodafone Business Security Services

    Unsere Expert:innen überwachen Ihre Sicherheit. Und sie übernehmen das Management Ihrer Vodafone Security-Lösung: Von der Ersteinrichtung bis zum Betrieb und der Wartung unterstützen wir Sie.

    • Rund um die Uhr
    • Immer aktuell
    • Alles auf einen Blick via Cyber Hub
    Jetzt hier informieren

    Welchen Schaden können Botnetze anrichten?

    Botnetze sind in der Lage, die unterschiedlichsten Angriffe auf Unternehmensnetzwerke auszuführen. Dabei kann es zu irreparablen Schäden kommen. Betroffene Unternehmenswebseiten sind hierbei stunden- oder sogar tagelang nicht erreichbar. Von den Servern abhängige Transaktionen und Geschäftsbereiche sind blockiert und stehen still.
    Die daraus resultierenden finanziellen Verluste und Reputationsschäden können erheblich sein. Daneben besteht das Risiko, dass im Rahmen von DDoS-Angriffen ein Virus oder Ransomware eindringt – sodass zusätzlicher Schaden durch Datendiebstahl oder Datenverlust entsteht.
    Folgende Aktionen gehören zu den am häufigsten ausgeführten Schadcode-Aktivitäten:
    • DDoS-Attacken: Distributed-Denial-of-Service-Angriffe (DDoS) stehen häufig in Verbindung mit Botnet-Aktivitäten. Kriminelle versuchen mithilfe des Botnets manchmal Tausende von Geräten zu schädigen. Je mehr Geräte an der Attacke beteiligt sind, desto effektiver ist der Angriff.
    • Systemdaten lesen/schreiben: Dazu gehört es, die Systemdaten des „Zombie-Computers“ auszulesen und Nutzdaten zu verändern und zu verschlüsseln sowie Fremddaten abzuspeichern.
    • Persönliche Daten abgreifen: Der Bot kann Dateien auf dem Zielcomputer durchsuchen und sensible persönliche Daten wie Passwörter und Finanzinformationen stehlen.
    • Rechner ausspionieren: Durch den Zugriff ist es möglich, Systemaktivitäten zu überwachen und Daten zu entwenden.
    • Daten senden: Viele Botnets dienen für illegale E-Mail-Kampagnen. Spam-Botnets verbreiten unerwünschte Werbung und andere Arten von Daten, indem sie massenhaft E-Mails versenden.
    • Apps installieren: Ransomware kann die erste Stufe eines Angriffs sein, um mehrere Computer mit Malware zu infizieren. Replikationsmechanismen sorgen im zweiten Schritt häufig dafür, dass sich Botnets bilden und nachgeschaltete Attacken ausführen.
    • Geräte im Netzwerk infizieren: „Zombie-Computer“ können die Netzwerke, in denen sie sich befinden, nach potenziellen Opfern durchsuchen und sich so im gesamten Netzwerk verbreiten.
    • Filesharing: Ein Botnetz verfügt über ausreichend Speicherplatz, um illegales Datenmaterial abzuspeichern und zu verteilen.

    Wie erkenne ich ein Botnet?

    Um Bots und andere Malware-Aktivitäten zu erkennen, ist ein gutes System-Monitoring unverzichtbar. Um die Wirkungsweise von Botnetzen zu analysieren, arbeitet die IT-Security mit sogenannten Honigtöpfen (englisch: Honeypots). Honeypots sind Systeme, die absichtlich über Sicherheitslücken verfügen, um Schadcode kontrolliert einzufangen.
    Einmal isoliert, können Expert:innen so die Angriffs-, Verteilungs- und Aktionsmechanismen analysieren und Schutzmaßnahmen entwickeln. Dabei helfen professionelle Cyber-Security-Lösungen, Botnetze zu erkennen und die Sicherheit im Unternehmen zu gewährleisten.
    Eine verlangsamte Internet-Verbindung oder die scheinbar grundlose Auslastung von Rechnern im Leerlauf sind Symptome, die auf Botnet-Tätigkeit hinweisen – aber auch andere Ursachen haben können. Fortgeschrittene Anwender:innen und Administrator:innen sollten sich routinemäßig die Liste der laufenden Prozesse (Tasks) ansehen und darauf achten, welche Programme automatisch gestartet werden.
    Verdächtige Prozesse lassen sich durch gezielte Internet-Recherche oder mithilfe von Schutz-Software recht einfach zuordnen und gegebenenfalls als Schadsoftware identifizieren. Um sie zu entfernen, sollten Unternehmen eine entsprechende Security-Lösung bereithalten – und nicht auf eigene Faust die Systemeinstellungen ändern.
    Übrigens: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Institut für Internet-Sicherheit der Westfälischen Hochschule in Gelsenkirchen sind zwei der Stellen, die ständig Botnet-Analysen betreiben. Sie veröffentlichen über eigene Sicherheits-Bulletins aktuelle Warnungen sowie Sicherheitstipps.
    Stadtansicht mit Symbolen für Verkehrsmittel

    Mobile Cyber Security für Ihr Business

    Mit unseren Sicherheitslösungen schützen Sie Ihr Unternehmen vor Viren, Industrie-Spionage, Cyber-Angriffen und unautorisiertem Zugriff auf Ihre Netze.

    • Sichere Kommunikation
    • Für Homeoffice und Büro
    • Globales, sicheres Log-in-Verfahren
    Jetzt informieren

    Beispiele für große Botnet-Angriffe

    Die nachfolgend beschriebenen Botnet-Angriffe zählen zu den bekanntesten Cybercrime-Aktionen weltweit:

    Mirai

    Mirai ist eine auf ARC-Prozessoren von Smart Devices ausgerichtete Malware. Einmal im System, infiziert diese Schadsoftware alle im Netzwerk vorhandenen Systeme, die über ARC-Prozessoren verfügen. Sie kommen oft im Internet of Things (IoT) zum Einsatz, wobei man dann von „Mirai IoT“ als Risikofaktor spricht. Das Mirai-Botnet wird häufig verwendet, um DDoS-Angriffe zu starten.

    Necurs

    Necurs ist ein variabel einsetzbares Botnetz. Ist es installiert, lässt es sich durch Nachladen von Malware um neue Fähigkeiten erweitern. Necurs kommt in erster Linie über E-Mail-Anhänge auf Rechner und infiziert diese sowie damit verbundene IP-Netze.

    Avalanche

    Hinter dem Avalanche-Botnet steht nach Erkenntnissen des BSI eine international agierende Gruppe von Cyberkriminellen. Dieses Netzwerk betreibt mehrere Botnetze, um damit Spam- und Phishing-E-Mails sowie Schadprogramme wie Ransomware und Trojaner zu verbreiten. Die Cyberkriminellen haben es in erster Linie auf Bankkonten und Zugangsdaten zum Online-Banking abgesehen.

    Mariposa

    Mariposa (spanisch: Schmetterling) ist eines der größten bisher aufgedeckten Botnetze. Insgesamt soll das Botnet mehr als 13 Millionen Computer in mehr als 190 Ländern infiziert haben. Entwickelt wurde es mit einem Toolkit, das Expert:innen als Butterfly-Toolkit bezeichnen.

    Conficker

    Conficker ist der Name einer Gruppe von Computerwürmern, deren Varianten ab November 2008 mehrere Millionen Windows-Rechner weltweit infizierten. Conficker ist für das bislang größte jemals aktive Botnet verantwortlich, das vermutlich neun bis zehn Millionen Rechner umfasste. Der Wurm unterdrückte Sicherheits- sowie Anti-Malware-Updates und verwischte seine Spuren sehr gut.
    Den Namen verdankt die Malware den Microsoft-Mitarbeiter:innen, die den Wurm analysierten. Die Software-Entwickler:innen verbanden das Wort „con“ mit einem deutschen Vulgärbegriff, was die Medien in den News direkt übernahmen.

    Angriffe auf Energieversorger und Produktionsanlagen

    Eine unter dem Namen „Sandworm“ agierende russische Hackinggruppe soll mehrmals Botnetze zum Angriff auf Kommunikationseinrichtungen, Infrastrukturen und Produktionsanlagen in der Ukraine eingesetzt haben. Über die Botnet-Malware Cyclops Blink, eine Weiterentwicklung der VPNFilter-Malware, erfolgten von anderer Stelle ebenfalls diverse Botnet-Attacken. Dabei wurden tausende Netzwerkgeräte von WatchGuard und Asus mit Malware infiziert.
    Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

    Whitepaper: Cyber Security

    Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

    • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
    • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
    • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
    Jetzt kostenlos downloaden

    So schützen Sie sich vor Botnetzen

    Erfolgreiche Hackingangriffe sind eine ständige Bedrohung für Unternehmen. Ein guter Basisschutz beginnt mit einer aktiven Firewall, aktueller Antivirensoftware und regelmäßigen System-Updates. Dennoch finden Cyberkriminelle oft Umwege: Die meisten Bots gelangen per Phishing über infizierte E-Mail-Anhänge wie Word- oder Excel-Dateien mit Makros ins System. Auch Freeware, Toolkits und Key-Generatoren sind beliebte Träger von Schadcode – daher sollten Downloads nur aus geprüften Quellen erfolgen.
    Gefährlich ist zudem das Spear Phishing, also das gezielte Ansprechen von Führungskräften mit glaubhaften E-Mails und persönlicher Anrede. An die Anhänge solcher E-Mails erinnern sich die Empfänger:innen später häufig kaum noch. Botnetze agieren selten sofort. Und neue Schadsoftware kann Virenscanner umgehen, sodass diese Malware sozusagen im „Schlafmodus“ verbleibt, bis die Angreifer:innen sie aktivieren und der Computer somit zum Bot wird.
    Doch die Gefahr lauert auch im Browser: Selbst harmlose Pop-up-Werbung kann beim Anklicken unbemerkt Dateien installieren. Vermeiden Sie es also, solche Pop-ups anzuklicken – egal wie attraktiv das Angebot sein mag. Ein weiteres Risiko ist JavaScript im Browser. Das Deaktivieren erhöht die Sicherheit, schränkt aber die Funktionalität vieler Webseiten ein.

    Das Wichtigste zum Thema Botnets in Kürze

    • Ein Botnet ist ein Netzwerk aus Computern, das diverse Routineaufgaben erledigt.
    • Botnets von Cyberkriminellen dienen in erster Linie dazu, Spam zu versenden oder Nutzungs- und Profildaten zu kapern. Die Etablierung erfolgt meist über Phishing.
    • Legale Botnets lassen sich für verteilte Berechnungsprozesse und für Krypto-Mining (Bitcoin) einsetzen.
      Intrusion-Detection-Systeme und andere Schutzsoftware unterscheidet jedoch in der Regel nicht zwischen illegalen und legalen Botnets und schlägt in beiden Fällen Alarm.
    • Über Botnets geführte DDoS-Angriffe werden durch neue KI-Methoden immer raffinierter und erfordern proaktive Gegenmaßnahmen
    • Maximale Sicherheit vor Botnets schaffen nur aktuelle Schutzsoftware sowie ein sensibler Umgang mit Kommunikationsmitteln im Internet.
    • Unternehmen sollten auf professionelle Security-Lösungen setzen, um Risiken zu minimieren und den bestmöglichen Schutz vor Schadsoftware zu bekommen.

    Botnets und Botnet-Angriffe: Häufig gestellte Fragen (FAQ)

    Portrait von Ulrich SchmitzUlrich Schmitz
    Portrait von Clemens Förster Clemens Förster
    28.11.2025
      # Tags:SicherheitBusiness BasicsDigitalTippsCybersecurity
      Das könnte Sie auch interessieren:
      Security

      SSL-Verschlüsselung: So trägt sie zur Sicherheit im Web bei

      Secure Sockets Layer (SSL) und Transport Layer Security (TLS) sind die wohl wichtigsten Verschlüsselungsstandards im Internet. Erfahren Sie hier alles Wichtige über diese Technologie und warum SSL/TLS heute Grundlage für sicheres Surfen und sichere Online-Kommunikation ist.

      Weiterlesen

      Digitalisierungsberatung

      Die Beraterinnen und Berater helfen Ihnen kostenlos und unabhängig bei praktischen Fragen und geben konkrete Tipps. Vereinbaren Sie einen unverbindlichen Termin um Ihr Anliegen zu besprechen.

      Termin vereinbaren