Es gab am 19. März 2026 international koordinierte Maßnahmen gegen Infrastruktur und mutmaßliche Administratoren der Botnetze von Aisuru und Kimwolf. Dies für Hochlast-DDoS-Angriffe sowie teilweise als Residential Proxys zur Verschleierung von Internetaktivitäten genutzten Botnetze wurden abgeschaltet.
Infrastruktur der Botnetze abgeschaltet
Die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW) und das Bundeskriminalamt (BKA) sind am 19.03.2026 in einer international abgestimmten Aktion gemeinsam mit Strafverfolgungsbehörden aus Kanada und den USA gegen zwei der derzeit weltgrößten Botnetze vorgegangen. Im Zuge der Maßnahmen konnte global verteilte technische Infrastruktur der beiden Botnetze Aisuru und Kimwolf abgeschaltet werden. Sie stellten aufgrund ihrer Größe und damit einhergehenden Angriffskapazität eine erhebliche Bedrohung für IT-Infrastrukturen dar.
Administratoren in Deutschland und Kanada identifiziert
Die Strafverfolgungsbehörden haben zudem zwei mutmaßliche Administratoren identifiziert. Auf die Beschuldigten kommen nun rechtliche Konsequenzen zu. An ihren Wohnorten in Deutschland und in Kanada wurden Durchsuchungen durchgeführt und umfassende Beweismittel sichergestellt. Neben zahlreichen Datenträgern wurden auch Kryptowährungen im fünfstelligen Bereich gesichert. Den Maßnahmen gingen aufwändige mehrmonatige Ermittlungen voraus, die von hohem technischem Anspruch und enger internationaler Koordination geprägt waren.
Hintergrund zu den Botnetzen
Die beiden Botnetze erlangten mit besonders volumenstarken Überlastungsangriffen (sog. DDoS-Attacken) medial Aufmerksamkeit. Dem Aisuru-Botnetz wird ein Zusammenschluss aus mutmaßlich mehreren Millionen kompromittierten Internet-of-Things (IoT)-Geräten wie beispielsweise Routern und Webcams zugerechnet. In direktem Zusammenhang damit steht das Kimwolf-Botnetz. Auch dieses umfasst mehrere Millionen infizierte Geräte, überwiegend bestehend aus Android-TV-Boxen.
Die kompromittierten Geräte (sog. Bots) werden ohne das Wissen ihrer Betreiber von den Botnetz-Administratoren durch Malware kompromittiert und anschließend für DDoS-Angriffe missbraucht. Darüber hinaus wurden Ressourcen des Kimwolf-Botnetzes als sog. Residential-Proxy-Netzwerk vermietet. Dabei konnten Dritte gegen Bezahlung die infizierten Geräte ohne Wissen des eigentlichen Inhabers als Anonymisierungsschicht nutzen.
Infektionen mit der den Aisuru- und/oder Kimwolf-Botnetzen zugrundeliegenden Schadsoftware können ohne aktives zutun der Geschädigten auftreten. Die Malware wird direkt an internetverbundene IoT- und Android-Geräte verbreitet, die geeignete Schwachstellen aufweisen. Besonders gefährdet sind IoT-Geräte ohne ausreichende Sicherheitsfeatures oder ohne aktuelle Sicherheitsupdates. Fehlende oder schwache Passwörter (bspw. nicht veränderte Werks-/Standardpasswörter) erhöhen das Risiko weiter.
Analyse des BKA
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt bei den jetzt durchgeführten Maßnahmen durch technische Analysen und ein Sinkholing der Täterinfrastruktur. Dabei wird der Datenverkehr eines bösartigen Akteurs (z.B. eines Botnetzes) umgeleitet, um ihn von seinem ursprünglichen Ziel abzulenken und zu einem kontrollierten System zu leiten. Das BSI warnt Bürgerinnen und Bürger gezielt über ihre jeweiligen Provider vor einer bestehenden Schadsoftwareinfektion.
Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) sind technische Informationen sowie Hinweise zur Infektionsbeseitigung bei Aisuru und Kimwolf abrufbar. Das BSI informiert Verbraucherinnen und Verbraucher zudem, inwieweit Geräte IoT-Sicherheitsanforderungen einhalten.
MVP: 2013 – 2016
