Ja, grundsätzlich können alle Geräte, die mit dem Internet verbunden sind, Teil eines Botnetzes sein. Oft fokussieren sich Botnetzfamilien auf bestimmte Gerätetypen beziehungsweise auf bestimmte Betriebssysteme, beispielsweise auf Rechner mit einer bestimmten Windows-Version oder Smartphones, die über Android laufen. Gerade veraltete Versionen von Betriebssystemen sind ein beliebtes Ziel, weil dort oft Sicherheitslücken bekannt sind, die für eine Infektion ausgenutzt werden können.

Es gibt auch Botnetzfamilien welche sich teilweise oder ausschließlich auf IoT Geräte fokussieren. Daher sollten bei einer Warnung durch Ihren Provider immer auch solche Geräte bei der Überprüfung auf Schadsoftware berücksichtigt werden.

Schadprogramme können auf unterschiedlichen Wegen auf Geräte gelangen: zum Beispiel per Dateianhang einer scheinbar vertrauenswürdigen E-Mail, als versteckte "Zugabe" bei einem Gratis-Download oder als bösartiges Makro innerhalb eines Office-Dokuments. Manchmal genügt der bloße Aufruf einer Webseite mit einem präparierten Werbebanner – und schon ist der Computer oder das Smartphone mit einem Schadprogramm infiziert. Bekannte und nicht durch ein Update geschlossene Sicherheitslücken in Betriebssystemen können ebenfalls zur Infektion mit Schadprogrammen genutzt werden. Moderne Schadsoftware-Varianten bestehen zumeist aus mehreren Komponenten, die unterschiedliche Funktionen erfüllen – darunter auch die Möglichkeit, nach der Erstinfektion eines Systems weitere Programmmodule mit zusätzlichen Funktionen nachzuladen. Sind Geräte infiziert, können sie von Cyberkriminellen in der Regel zum Aufbau eines Botnetzes verwendet werden. Dies geschieht üblicherweise, ohne dass Nutzerinnen und Nutzer dies bemerken.

Es gibt auch Fälle, in denen bereits entsprechende Schadsoftware auf internetfähigen Produkten vorinstalliert ist. Dies ist insbesondere bei IT-Produkten mit veralteten Firmware-Versionen möglich.

Die Infektion des Computers, Smartphones oder anderer smarter Geräte mit Schadsoftware führt oft dazu, dass das System zum Teil eines Botnetzes wird. Mit dem Begriff Bot ist dabei ein Schadprogramm gemeint, welches einem Angreifer die Fernsteuerung des infizierten Gerätes ermöglicht. Von Botnetzen spricht man, wenn sehr viele Geräte (meist mehrere Tausend) per Fernsteuerung zusammengeschlossen werden. Botnetze werden dazu eingesetzt, vertrauliche Daten wie Passwörter, Online-Banking-Daten oder Geschäftsinformationen zu stehlen. Botnetze dienen auch dazu, verteilte Angriffe auf die Verfügbarkeit von Internetsystemen (sogenannte Distributed Denial of Service oder kurz DDoS-Angriffe) durchzuführen. Aufgrund ihrer vielfältigen Einsatzmöglichkeiten und der wirtschaftlich motivierten kriminellen Energie, welche die Täter aufbringen, stellen Botnetze derzeit eine der größten Gefahren im Internet dar.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält Informationen zu identifizierten Botnetzinfektionen aus verschiedenen Quellen, die überwiegend aus Sinkhole-Systemen stammen. Verbindungsversuche infizierte Systeme werden auf diese Sinkhole-Server umgeleitet und aufgezeichnet. Auf diesem Weg erhält das BSI die IP-Adressen dieser infizierten Systeme. Da den Internetserviceprovidern feste Adressbereiche zugeordnet sind, kann das BSI die in ihrem Adressbereich befindlichen IP-Adressen gezielt an die Provider melden. Diese sind dann in der Lage, die betroffenen Kunden zu identifizieren und zu warnen. Dies ist notwendig, da die Identifizierung der Kunden technisch ausschließlich durch die Internetserviceprovider erfolgen kann. Dem BSI liegen keine Kundendaten vor, eine direkte Warnung durch das BSI kann daher nicht erfolgen.

Ein gängiges Verfahren zur Identifikation mit Schadprogrammen infizierter Systeme ist die Umleitung von Steuerungsdomänennamen auf sogenannte "Sinkholes". Dabei werden die durch Analyse von Schadprogrammen ermittelten Domainnamen, mit denen die Schadprogramme kommunizieren, in Zusammenarbeit mit den zuständigen Domain-Registrierungsstellen auf Sinkhole-Server umgeleitet. Die Sinkholes protokollieren anschließend die Zugriffe auf die schädlichen Domainnamen mit Zeitstempel und der Quell-IP-Adresse sowie Quell-Port, von welcher der Zugriff erfolgte. Solche Sinkholes werden von zahlreichen Analysten und IT-Sicherheitsdienstleistern weltweit betrieben.

Da sich unter den Domainnamen keine legitimen Internetangebote befinden, werden diese üblicherweise nicht angesteuert. Ein Zugriff auf einen solchen Domainnamen ist daher ein gutes Indiz, dass sich unter der Quell-IP-Adresse, von welcher ein Zugriff erfolgt, mit hoher Wahrscheinlichkeit ein mit einem entsprechenden Schadprogramm infiziertes System befindet.
Die von den Sinkhole-Betreibern gelieferten Daten enthalten üblicherweise zu jedem protokollierten Zugriff einen Zeitstempel, die Quell-IP-Adresse, den aufgerufenen schädlichen Domainnamen und eine Bezeichnung des damit verbundenen Schadprogramms, welches den Domainnamen für die Kontaktaufnahme zu einem Kontrollserver verwendet. Häufig sind auch die IP-Adressen der Sinkholes sowie die Quell- und Ziel-Portnummern der Verbindung in den Daten enthalten.

Die Benachrichtigung bedeutet, dass zu dem von Ihrem Provider angegebenen Zeitpunkt an Ihrem Netzwerkanschluss ein Gerät Teil eines Botnetzes war und dies vermutlich immer noch ist.
Das BSI empfiehlt betroffenen Anwendern in diesem Fall, grundsätzlich alle am Netzwerkanschluss genutzten Computer und Geräte auf Befall mit Schadsoftware zu überprüfen und Sicherheitslücken zu schließen, falls entsprechende Updates verfügbar sind.

Sofern Ihr Provider angegeben hat, um welche Schadsoftware es sich handelt, können Sie hier weitergehende Informationen zu den bisher bekannten Botnetzen und einer empfohlenen Vorgehensweise erhalten.

Nach einer Bereinigung der Rechner und Geräte empfiehlt das BSI alle Passwörter zu ändern, die Sie für Ihren Mail-Account und andere Benutzerkonten bei Online-Shops, sozialen Netzwerken oder weiteren Internetdiensten nutzen. Wichtig: Überprüfen und bereinigen Sie zuerst Ihre Systeme und ändern Sie danach Ihre Passwörter! Andernfalls kann eine eventuelle Schadsoftware auch die neuen Passwörter mitlesen.
Achten Sie bei der Änderung darauf, dass Sie ein möglichst sicheres Passwort wählen und nicht für jeden Dienst das gleiche Passwort nutzen.

Zur Prüfung auf Schadsoftwarebefall gibt es eine Reihe von Virenschutzprogrammen. Weitere Informationen rund um die Bereinigung von infizierten Rechnern finden Sie hier. Bleiben Zweifel, dass die Infektion wirksam beseitigt wurde, sollten Sie das Betriebssystem neu installieren beziehungsweise das Smartphone auf Werkseinstellungen zurücksetzen. Bei IoT-Geräten ist dies nicht immer möglich. Insbesondere, wenn diese auf veralteten Firmware-Versionen laufen, bleibt im Zweifelsfall nur die Option, das Gerät ohne Netzwerkeinbindung zu nutzen oder es komplett zu entsorgen..

Um generell zu verhindern, dass Schadsoftware auf Ihren Rechner gelangen kann, beachten Sie bitte die Hinweise und Empfehlungen des BSI.

Die Hersteller von Virenschutzprogrammen benennen Schadsoftware von Botnetzen nicht einheitlich. Eine Zuordnung von Schadsoftware zu Botnetznamen ist zudem sehr aufwändig und nicht immer eindeutig, da manche Schadsoftware als sogenannte Downloader nur zum Nachladen weiterer Schadprogramme genutzt werden. Häufig ist auf infizierten Rechnern zudem Schadsoftware für mehrere Botnetze zu finden. Daher werden bei Funden häufig generische Namen wie z.B. "Downloader.XYZ" angezeigt.

Nein. Sie erhalten nur dann eine Benachrichtigung, wenn Ihr System mit Schadsoftware infiziert ist, die mit dem BSI bekannten Sinkholes kommuniziert. Schadsoftware, die aus anderen Quellen stammt, wird davon nicht erfasst, daher erhalten Sie darüber auch keine Benachrichtigung.

Um generell zu verhindern, dass Schadsoftware auf Ihren Rechner gelangen kann, beachten Sie bitte unsere Hinweise und Empfehlungen.

Ja. Erhalten Sie eine erneute Meldung durch Ihren Provider, ist mindestens ein mit dem Internet verbundenes Gerät in Ihrem Heimnetzwerk erneut oder immer noch mit Schadsoftware infiziert. Dies kann beispielsweise folgende Gründe haben:

• Ihre Bereinigung war nicht erfolgreich oder nicht vollständig. Es empfiehlt sich, das System neu aufzusetzen. Im Zweifel sollten Sie einen Computer-Spezialisten hinzuziehen.
• Ihr System wurde erneut mit Schadsoftware infiziert. Bitte beachten Sie unsere Tipps zum Schutz Ihres Systems und unsere Hinweise zum sicheren Surfen im Internet und zum Umgang mit E-Mails.
• Ein anderes System an Ihrem Netzwerkanschluss ist immer noch oder erneut mit Schadsoftware infiziert.

Das ist möglich. Die von Tätern eingesetzte Schadsoftware eröffnet eine Vielzahl von Möglichkeiten, auf das infizierte System zuzugreifen. Etwa zur Ausspähung weiterer Daten auf Ihrem Computer oder zur Manipulation von Online-Transaktionen, die Sie bei Onlineshops oder im Rahmen des Onlinebankings durchführen. Zudem kann das infizierte System als Residental-Proxy-Service fungieren. In diesen Fällen stellt die Schadsoftware die Internetverbindung des Geräts unbekannten Dritten zur Verfügung, die diese dann für kriminelle Aktivitäten wie Cyberangriffe oder die Verbreitung illegaler Inhalte nutzen können. Dadurch kann die IP-Adresse der Betroffenen in Zusammenhang mit Straftaten gebracht werden.

Nein, leider bedeutet es das nicht automatisch.

Falls Sie keine Benachrichtigung durch den Provider erhalten haben, bedeutet dies nur, dass die IP-Adresse Ihres Netzwerkanschlusses bisher in keinem dem BSI bekannten Sinkhole aufgetaucht ist. In den Sinkhole-Daten sieht man nur einen sehr kleinen Ausschnitt der tatsächlichen Infektionen in Deutschland. Viele der im letzten Jahr weit verbreiteten Schadprogramme wie Emotet oder Trickbot kommunizieren IP-basiert mit C2-Servern und nicht über Domainnamen und können daher nicht vom BSI erfasst werden.

Das BSI informiert die Provider über die ihnen zugeordneten IP-Adressen infizierter Systeme. Die Zuordnung, welcher Kunde des Providers betroffen ist, und die Entscheidung, wann dieser informiert wird, erfolgt durch den Internet-Serviceprovider.
Um eine mögliche Infektion zu erkennen, können Sie eine vollständige Untersuchung ihres Systems mit einem Virenschutzprogramm durchführen. Um generell zu verhindern, dass Schadsoftware auf Ihre Geräte gelangen kann, beachten Sie bitte die Empfehlungen des BSI für Computer und Smartphones sowie für Geräte im Smarthome.

Eine 100%-ige Garantie für eine erfolgreiche Bereinigung durch ein Virenschutzprogramm ist nicht möglich, da die Angreifer regelmäßig die eingesetzte Software anpassen. Untersuchungen zeigen, dass befallene Systeme häufig mit mehreren Schadprogrammen infiziert sind. Es ist daher wichtig, nach einer Benachrichtigung durch den Provider Ihre Geräte - falls möglich - anhand eines geeigneten Virenschutzprogramms sorgfältig auf Befall zu prüfen.
Sollten Sie Zweifel haben, dass die Bereinigung erfolgreich war, empfiehlt es sich sicherheitshalber, nach einem Backup der Daten das System zu löschen und neu aufzusetzen. Beachten Sie bitte dabei, dass Sie aus dem Backup keine ausführbaren Programme wiederherstellen, da diese mit der Schadsoftware befallen sein könnten. Ziehen Sie im Zweifel einen Computer-Spezialisten hinzu.
Um generell zu verhindern, dass Schadsoftware auf Ihren Rechner gelangen kann, beachten Sie bitte die Hinweise und Empfehlungen des BSI.

Eine Botnetz-Infrastruktur wird von Kriminellen als redundante Infrastruktur zum Betrieb von Botnetzen angeboten. Sie ermöglicht es den Tätern, ihre auf vielen tausend Geräten verteilten Bots (das Botnetz) zu steuern ohne eine Vielzahl von eigenen Servern betreiben zu müssen.

Wenn eine Botnetz-Infrastruktur ohne zusätzliche Bereinigungsmaßnahmen der Bots abgeschaltet wird, verbleiben die Bots weiterhin auf den Geräten. Falls es den Tätern gelingt, eine alternative Botnetz-Infrastruktur aufzubauen, könnten diese Bots erneut ferngesteuert werden. Daher ist es wichtig, diese Bots zügig von betroffenen Geräten zu entfernen.