• Start
V-Hub by Vodafone BusinessSecuritySicherheitBotnets und Botnet-Angriffe: Das steckt dahinter und so können Sie sich schützen
Security

Botnets und Botnet-Angriffe

Das steckt dahinter und so können Sie sich schützen

Jetzt Endgeräte schützen
Portrait von Ulrich SchmitzUlrich Schmitz
Portrait von Clemens Förster Clemens Förster
02.04.2026
10 Min.

    Unbemerkt Teil eines Cybercrime-Netzwerks werden – genau das passiert, wenn ein Botnet Computer, Router oder IoT-Geräte übernimmt. Für Unternehmen kann dies gravierende Folgen haben. Cyberkriminelle steuern diese „Zombie-Rechner“ aus der Ferne und nutzen sie für Spam-Kampagnen, Datendiebstahl oder groß angelegte DDoS-Angriffe. Wie Botnets entstehen, welche Risiken sie für Unternehmen bedeuten und wie Sie Ihre Systeme davor schützen, erfahren Sie hier.

    Inhaltsverzeichnis

    Botnets: Das Wichtigste in KürzeWas ist ein Botnet? Definition und Funktionsweise einfach erklärtWie wird ein Botnet erstellt und gesteuert?Arten von Botnets

    Botnets: Das Wichtigste in Kürze

    • Ein Botnet ist ein Netzwerk aus infizierten Computern, Servern oder IoT-Geräten, die Cyberkriminelle aus der Ferne steuern.
    • Die Infektion erfolgt häufig über Phishing-Mails, Schadsoftware oder ungepatchte Sicherheitslücken.
    • Botnets dienen vor allem dazu, Spam zu versenden, Daten zu stehlen oder DDoS-Angriffe auf Unternehmenssysteme auszuführen.
    • Besonders kritisch: Infizierte Geräte können unbemerkt Teil eines Botnets werden und weitere Systeme im Unternehmensnetzwerk kompromittieren.
    • Unternehmen schützen sich am besten mit aktueller Sicherheitssoftware, konsequentem Patch-Management und professioneller Überwachung ihrer IT-Systeme.
    Microsoft Defender für Unternehmen

    Microsoft Defender for Business

    Mittelständische Unternehmen sind anfällig für Cyber-Bedrohungen. Sie haben weniger Ressourcen und meist wenige IT-Fachkräfte. Hybrides Arbeiten vergrößert diese Angriffsfläche. Wir helfen Ihnen – mit dem Microsoft Defender für Unternehmen.

    Neu: Jetzt mit Vodafone Managed Endpoint Security Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.

    • Schutz vor Ransomware, Phishing und anderen Bedrohungen
    • In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten
    Jetzt wirksam schützen

    Was ist ein Botnet? Definition und Funktionsweise einfach erklärt

    Zunächst einmal sind Botnetze nicht grundsätzlich illegal. Der Begriff beschreibt ein Netzwerk aus miteinander verbundenen Rechnern, die gemeinsam ein bestimmtes Ziel erreichen sollen.
    In der Praxis spielen jedoch vor allem kriminelle Botnets eine Rolle. Darunter versteht man ein Netzwerk aus mit Schadsoftware infizierten Computern oder internetfähigen Geräten, die Cyberkriminelle aus der Ferne steuern. Die Angreifende nutzen diese Geräte beispielsweise für Spam-Kampagnen, Datendiebstahl oder DDoS-Angriffe.
    Man unterscheidet also zwei Arten von Botnets:
    Zweck der kombinierten Rechenleistung
    Forschung oder Datenanalysen
    Cyberangriffe
    Funktionsweise
    Rechner bearbeiten offiziell gemeinsam Aufgaben.
    Angreifende steuern infizierte Geräte heimlich.
    Typische Nutzung
    Wissenschaftliche Projekte oder komplexe Berechnungen
    Spam-Versand, Datendiebstahl oder DDoS-Angriffe
    Legale Botnets
    Kriminelle Botnets

    Legale Botnetze

    Legale Botnetze werden als sogenannte Distributed-Computing-Netzwerke eingesetzt. Dabei arbeiten viele miteinander verbundene Computer parallel an rechenintensiven Aufgaben, ohne einzelne Systeme stark zu belasten. Dieses Prinzip kommt vor allem in der Forschung bei komplexen Berechnungen zum Einsatz. Auch im Bereich Data-Mining existieren Programme, die auf diesem Ansatz basieren.
    Mit zunehmenden Anforderungen an Datenschutz und IT-Sicherheit ist der legale Einsatz solcher Botnetze heute jedoch selten geworden. Sicherheitssoftware reagiert oft sensibel auf entsprechende Aktivitäten – selbst wenn diese keinen schädlichen Zweck verfolgen. In Unternehmensnetzwerken kann die unbeabsichtigte Installation eines Bots daher schnell einen Security-Alarm auslösen. Entstehen daraus Schäden für das Unternehmen oder seine Partner, kann dies entsprechende Konsequenzen nach sich ziehen.

    Kriminelle Botnetze

    Bei kriminellen Botnetzen schließen Cyberkriminelle zahlreiche infizierte Geräte zu einem Netzwerk zusammen. Die einzelnen Computer, Server oder IoT-Geräte werden dabei zu sogenannten Bots – manchmal auch „Zombie-Rechner“ genannt –, weil sie unbemerkt von Angreifenden ferngesteuert werden.
    Grundsätzlich kann nahezu jedes Gerät im Netzwerk durch Schadcode zu einem solchen Bot werden. Angreifende schleusen dafür eine spezielle Software ein, über die sie die betroffenen Systeme kontrollieren und Befehle aus der Ferne ausführen können.
    Ein kriminelles Botnet entsteht also, wenn viele infizierte Geräte zentral oder dezentral gesteuert werden, um gemeinsam Cyberangriffe auszuführen – etwa Spam-Kampagnen, Datendiebstahl oder DDoS-Attacken (DDoS = Distributed Denial of Service).
    Um solche Angriffe zu verhindern, müssen infizierte Geräte möglichst früh erkannt und isoliert werden. Moderne Sicherheitslösungen für Endgeräte helfen dabei, Schadsoftware aufzuspüren, verdächtige Aktivitäten zu erkennen und Botnet-Infektionen frühzeitig zu stoppen.
    Microsoft Defender für Unternehmen

    Microsoft Defender for Business

    Mittelständische Unternehmen sind anfällig für Cyber-Bedrohungen. Sie haben weniger Ressourcen und meist wenige IT-Fachkräfte. Hybrides Arbeiten vergrößert diese Angriffsfläche. Wir helfen Ihnen – mit dem Microsoft Defender für Unternehmen.

    Neu: Jetzt mit Vodafone Managed Endpoint Security Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.

    • Schutz vor Ransomware, Phishing und anderen Bedrohungen
    • In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten
    Jetzt wirksam schützen

    Wie wird ein Botnet erstellt und gesteuert?

    Bots funktionieren ähnlich wie klassische Netzwerkprogramme, die miteinander kommunizieren. Aufbau und Einsatz eines Botnets folgen meist einem mehrstufigen Muster:
    • Sicherheitslücken identifizieren: Cyberkriminelle suchen gezielt nach Schwachstellen in Software, Betriebssystemen oder Netzwerken. So versuchen sie, unbemerkt Zugriff auf Computer oder andere Geräte zu erhalten.
    • Computer infizieren: Über offene Ports, infizierte E-Mail-Anhänge oder ungepatchte Sicherheitslücken schleusen Angreifende Schadcode ein. Diese Malware verbreitet sich dann häufig selbstständig und kann weitere Systeme im Netzwerk infizieren.
    • Infizierte Systeme kontrollieren: Die kompromittierten Geräte werden anschließend in ein Botnet integriert. Die Steuerung erfolgt meist über einen sogenannten Command-and-Control-Server (C&C-Server), der Befehle an die Bots sendet.
    • Botnet für Angriffe nutzen: Sobald genügend Geräte infiziert sind, können Cyberkriminelle das Botnet aktivieren. Typische Einsätze sind Spam-Kampagnen, Datendiebstahl oder groß angelegte DDoS-Angriffe
    Infografik
    Rechner im Botnetz können sowohl Ziel des Angriffs als auch angreifender Bestandteil des Netzwerkes sein.

    Arten von Botnets

    Botnets unterscheiden sich vor allem in ihrer Architektur und der Art der Steuerung. Die wichtigsten Varianten sind:
    • Zentralisierte Botnets: Alle infizierten Geräte kommunizieren mit einem zentralen Server, dem sogenannten Command-and-Control-Server (C&C-Server). Über ihn können Angreifer das gesamte Botnet steuern. Wird der Server abgeschaltet, verliert das Botnet jedoch meist seine Funktionsfähigkeit.
    • Dezentralisierte Botnets: Hier kommunizieren die einzelnen Bots direkt miteinander, ähnlich wie in einem Peer-to-Peer-Netzwerk (P2P). Da es keine zentrale Steuerungsinstanz gibt, sind solche Botnets schwerer zu erkennen und abzuschalten.
    • Hybride Botnets: Diese Variante kombiniert beide Ansätze: Ein zentraler Server verteilt Updates oder grundlegende Befehle, während die Kommunikation teilweise dezentral erfolgt. Dadurch sind solche Botnets besonders flexibel und widerstandsfähig.
    Cyberkriminelle nutzen inzwischen auch kompromittierte Cloud-Systeme oder Server als Bots. Deren hohe Rechenleistung und Bandbreite können Angriffe zusätzlich verstärken.
    Je komplexer Botnetze aufgebaut sind, desto schwieriger ist es für Unternehmen, sie frühzeitig zu erkennen und zu stoppen. Professionelle Security-Lösungen helfen dabei, verdächtige Aktivitäten im Netzwerk schnell zu identifizieren.
    Eine junge Frau betrachtet lächelnd ein Tablet.

    Vodafone Business Security Services

    Unsere Expert:innen überwachen Ihre Sicherheit. Und sie übernehmen das Management Ihrer Vodafone Security-Lösung: Von der Ersteinrichtung bis zum Betrieb und der Wartung unterstützen wir Sie.

    • Rund um die Uhr
    • Immer aktuell
    • Alles auf einen Blick via Cyber Hub
    Jetzt hier informieren
    Je nach Aufbau können Cyberkriminelle Botnetze sehr unterschiedlich steuern. Für Unternehmen entscheidend ist jedoch vor allem, welche Schäden solche Netzwerke anrichten können.

    Welchen Schaden können Botnetze anrichten?

    Botnetze können für Unternehmen erhebliche Schäden verursachen. Cyberkriminelle nutzen die infizierten Geräte häufig, um gezielte Angriffe auf Webseiten, Server oder komplette Unternehmensnetzwerke durchzuführen. In der Folge können Online-Dienste ausfallen, Geschäftsprozesse unterbrochen werden und sensible Daten in falsche Hände geraten.
    Besonders kritisch sind sogenannte DDoS-Angriffe (DDoS = Distributed Denial of Service). Dabei überlasten Tausende kompromittierter Geräte gleichzeitig Server oder Webseiten, bis diese nicht mehr erreichbar sind. Für Unternehmen kann das stunden- oder sogar tagelange Ausfälle bedeuten.

    Die häufigsten Botnet-Angriffe

    DDoS-Angriffe
    Server oder Webseiten durch massenhafte Anfragen überlasten
    Ausfall von Diensten, Nichterreichbarkeit von Webseiten
    Spam- und Phishing-Kampagnen
    Millionen E-Mails über kompromittierte Geräte versenden
    Verbreitung von Malware, Betrug oder Datendiebstahl
    Datendiebstahl
    Passwörter, Zugangsdaten oder Finanzinformationen ausspähen
    Verlust sensibler Unternehmensdaten
    Verbreitung von Malware
    Weitere Systeme im Netzwerk infizieren
    Ausbreitung von Schadsoftware im Unternehmen
    Ziel
    Folgen für Unternehmen
    Je größer ein Botnet ist, desto stärker können die Auswirkungen eines Angriffs sein – von finanziellen Verlusten bis hin zu langfristigen Reputationsschäden.
    Um solche Angriffe frühzeitig zu erkennen und zu verhindern, sollten Unternehmen ihre IT-Systeme kontinuierlich überwachen und auf professionelle Sicherheitslösungen setzen.
    Jetzt IT-Systeme schützen

    Phishing und Botnets: Wie Kampagnen zusammenspielen

    Phishing und Botnets sind bei Cyberangriffen oft eng miteinander verbunden. Häufig dient Phishing als Einstiegspunkt: Über gefälschte E-Mails oder Webseiten bringen Kriminelle ihre Opfer dazu, schädliche Links oder Anhänge zu öffnen. Dadurch gelangt Malware auf das Gerät, die es in ein Botnet einbindet.
    Umgekehrt nutzen Angreifende Botnets, um große Phishing-Kampagnen durchzuführen. Die infizierten Geräte versenden massenhaft Phishing-E-Mails oder hosten gefälschte Webseiten. So entsteht ein gefährlicher Kreislauf: Phishing infiziert Geräte – und Botnets verbreiten anschließend neues Phishing.
    Für Cyberkriminelle hat dieses Vorgehen einen entscheidenden Vorteil: Botnets ermöglichen es, Angriffe stark zu skalieren. So können sie Millionen E-Mails innerhalb kürzester Zeit oder gezielt in Intervallen verschicken. Gleichzeitig sind die Täter:innen schwerer zu identifizieren, da die Angriffe über kompromittierte Systeme laufen.

    Wie erkenne ich ein Botnet?

    Botnetze bleiben häufig lange unbemerkt aktiv. Es gibt jedoch einige typische Hinweise, an denen Unternehmen verdächtige Aktivitäten erkennen können.
    Um Botnet-Aktivitäten oder andere Schadsoftware frühzeitig zu erkennen, ist ein kontinuierliches Monitoring der IT-Systeme wichtig. IT-Sicherheitsteams nutzen dafür unter anderem sogenannte Honeypots. Diese absichtlich verwundbaren Systeme locken Schadsoftware gezielt an, damit IT-Sicherheitsteams deren Funktionsweise analysieren können. Auf diese Weise lassen sich Angriffsmethoden besser verstehen und passende Schutzmaßnahmen entwickeln.
    Für Unternehmen ist jedoch vor allem entscheidend, verdächtige Aktivitäten im eigenen Netzwerk frühzeitig zu erkennen. Auch im Unternehmensalltag gibt es Hinweise darauf, dass ein Gerät Teil eines Botnets sein könnte. Typische Warnsignale sind:
    • Ungewöhnlich hohe Netzwerkauslastung, obwohl keine größeren Datenübertragungen stattfinden
    • Langsame oder instabile Systeme, die ohne erkennbaren Grund stark ausgelastet sind
    • Unbekannte Programme oder Prozesse, die automatisch starten
    • Verdächtige Netzwerkverbindungen zu unbekannten Servern
    Administrator:innen sollten regelmäßig laufende Prozesse und Autostart-Programme prüfen. Verdächtige Aktivitäten lassen sich häufig durch Recherche oder mithilfe von Sicherheitssoftware identifizieren. Wichtig ist jedoch, infizierte Systeme nicht eigenständig zu verändern, sondern geeignete Security-Tools oder IT-Expert:innen einzubeziehen.
    Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichen regelmäßig Warnungen und Analysen zu aktuellen Botnet-Aktivitäten und geben Unternehmen konkrete Sicherheitsempfehlungen.
    Stadtansicht mit Symbolen für Verkehrsmittel

    Cyber Security für Ihr Business

    Mit unseren Sicherheitslösungen schützen Sie Ihr Unternehmen vor Viren, Industrie-Spionage, Cyber-Angriffen und unautorisiertem Zugriff auf Ihre Netze.

    • Sichere Kommunikation
    • Für Homeoffice und Büro
    • Globales, sicheres Log-in-Verfahren
    Jetzt informieren

    So schützen Sie sich vor Botnetzen

    Botnet-Angriffe lassen sich nie vollständig ausschließen. Unternehmen können das Risiko jedoch deutlich reduzieren, wenn sie ihre IT-Systeme konsequent absichern und regelmäßig überwachen. Besonders wichtig sind dabei folgende Maßnahmen:
    Systeme und Software aktuell halten Regelmäßige Updates für Betriebssysteme, Anwendungen und Netzwerkgeräte schließen bekannte Sicherheitslücken, die Angreifende häufig ausnutzen.
    E-Mail-Sicherheit erhöhen Viele Botnet-Infektionen beginnen mit Phishing-E-Mails. Sensibilisieren Sie Mitarbeitende im Umgang mit verdächtigen Anhängen und Links und setzen Sie auf geeignete Schutzlösungen für Ihre E-Mail-Kommunikation.
    Sicherheitssoftware einsetzen Moderne Endpoint-Security erkennt Schadsoftware frühzeitig und kann infizierte Geräte isolieren, bevor sie Teil eines Botnets werden.
    Netzwerke überwachen Kontinuierliches Monitoring hilft dabei, ungewöhnliche Aktivitäten oder verdächtige Datenströme im Netzwerk schnell zu erkennen.
    Downloads und Softwarequellen prüfen Installieren Sie Programme nur aus vertrauenswürdigen Quellen. Illegale Software, manipulierte Installationsdateien oder sogenannte Keygens enthalten häufig Schadcode.
    Jetzt Botnetze abwehren

    Beispiele für große Botnet-Angriffe

    Botnetze haben in den vergangenen Jahren immer wieder für spektakuläre Cyberangriffe gesorgt. Einige besonders bekannte Fälle zeigen, wie groß die Auswirkungen solcher Netzwerke sein können.

    Mirai

    Die Malware Mirai zielte vor allem auf Geräte aus dem Internet der Dinge (IoT) wie Router, Kameras oder Smart-Home-Komponenten. Einmal infiziert, wurden diese Geräte Teil eines Botnets und für massive DDoS-Angriffe eingesetzt.

    Necurs

    Necurs war eines der größten bekannten Spam-Botnets. Kriminelle nutzten es vor allem dazu, um massenhaft E-Mails zu versenden und Malware zu verbreiten. Durch zusätzliche Schadsoftware konnten sie das Botnet immer wieder erweitern.

    Avalanche

    Das Avalanche-Netzwerk bestand aus mehreren miteinander verbundenen Botnets. Cyberkriminelle nutzten es vor allem für Phishing-Kampagnen, Spam-Versand und um Schadsoftware zu verbreiten.

    Mariposa

    Das Botnet Mariposa (Spanisch für „Schmetterling“) infizierte mehr als 13 Millionen Computer in über 190 Ländern. Es wurde unter anderem genutzt, um persönliche Daten auszuspähen und betrügerische Aktivitäten durchzuführen.

    Conficker

    Der Computerwurm Conficker infizierte ab 2008 weltweit Millionen Windows-Rechner und baute eines der größten Botnets überhaupt auf. Die Malware blockierte Sicherheitsupdates und erschwerte so ihre eigene Entfernung.

    Angriffe auf Energieversorger und Produktionsanlagen

    Botnetze werden nicht nur für Spam oder Datendiebstahl genutzt, sondern auch für Angriffe auf kritische Infrastruktur. So soll die unter dem Namen Sandworm bekannte Hackergruppe mehrfach Botnetze eingesetzt haben, um Kommunikationsnetze, Energieversorger und Produktionsanlagen in der Ukraine anzugreifen.
    Auch die Malware Cyclops Blink, eine Weiterentwicklung der Schadsoftware VPNFilter, wurde für Botnet-Attacken genutzt. Dabei infizierten Angreifende tausende Netzwerkgeräte – unter anderem von Herstellern wie WatchGuard und Asus – und banden sie in ein Botnet ein.
    Die Botnet-Beispiele zeigen, wie schnell infizierte Geräte Teil großer Cybercrime-Netzwerke werden können. Umso wichtiger ist es für Unternehmen, ihre IT-Systeme kontinuierlich zu überwachen und verdächtige Aktivitäten frühzeitig zu erkennen.
    Jetzt IT-Systeme sichern

    Unser Fazit: Botnetze frühzeitig erkennen und stoppen

    Computer, Server oder IoT-Geräte unbemerkt Teil eines großen Angriffsnetzwerks werden. Die Folgen reichen von Spam-Kampagnen und Datendiebstahl bis hin zu massiven DDoS-Angriffen auf Unternehmenssysteme.
    Für Unternehmen ist es daher entscheidend, Infektionen von Geräten möglichst früh zu erkennen und Sicherheitslücken schnell zu schließen. Neben regelmäßigen Updates und geschulten Mitarbeitenden spielen dabei professionelle Sicherheitslösungen eine wichtige Rolle.
    Moderne Endpoint-Security schützt Endgeräte vor Schadsoftware, erkennt verdächtige Aktivitäten frühzeitig und verhindert, dass Systeme Teil eines Botnets werden.
    Zu den Endpoint-Security-Lösungen

    Botnets: Häufige Fragen und Antworten (FAQ)

    Portrait von Ulrich SchmitzUlrich Schmitz
    Portrait von Clemens Förster Clemens Förster
    02.04.2026
      # Tags:SicherheitBusiness BasicsDigitalTippsCybersecurity
      Das könnte Sie auch interessieren:
      Security

      Microsoft Entra ID

      Microsoft Entra ID steuert, wer in Ihrem Unternehmen auf welche Anwendungen und Daten zugreift – sicher, zentral und skalierbar. Das Tool ist damit Grundlage für moderne Zero-Trust-Sicherheit. Was es kann, welche Lizenz passt und wie Sie starten: Unser Überblick liefert die Antworten.

      Weiterlesen

      Digitalisierungsberatung

      Die Beraterinnen und Berater helfen Ihnen kostenlos und unabhängig bei praktischen Fragen und geben konkrete Tipps. Vereinbaren Sie einen unverbindlichen Termin um Ihr Anliegen zu besprechen.

      Termin vereinbaren