Ein internationaler Polizeieinsatz hat die Steuerungsinfrastruktur von vier der gefährlichsten IoT-Botnetze der Welt zerschlagen. Die Aktion schaltet digitale Waffen aus, die zu Rekord-Angriffen mit bis zu 31,4 Terabit pro Sekunde fähig waren.
Die US-Justizbehörden gaben die Operation am Donnerstag gemeinsam mit Partnern in Deutschland und Kanada bekannt. Ziel waren die vernetzten Schadnetzwerke Aisuru, Kimwolf, JackSkid und Mossad. Sie hatten weltweit über drei Millionen Geräte gekapert – von Webcams bis zu Routern. Diese Armee wurde für erpresserische Distributed-Denial-of-Service-Angriffe (DDoS) auf kritische Infrastruktur genutzt.
Da Botnetze wie Kimwolf gezielt Android-Systeme und private Router angreifen, ist ein proaktiver Schutz der eigenen Geräte unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritten, wie Sie Ihre Daten und Anwendungen wirksam vor dem Zugriff durch Hacker schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Die zerschlagenen digitalen Armeen
Im Fokus der Ermittler stand eine hoch entwickelte Familie von Schadnetzen, die vor allem Consumer-Elektronik ins Visier nahm. Laut Gerichtsdokumenten bestand die infizierte Hardware größtenteils aus simplen Alltagsgeräten: digitale Videorekorder, Überwachungskameras, Streaming-Boxen und WLAN-Router.
Das älteste und aktivste Netzwerk, Aisuru, hatte sich im vergangenen Jahr zur primären Bedrohung entwickelt. Es gab über 200.000 Angriffsbefehle an seine gekaperten Geräte aus. Als Nachfolger entwickelten die Betreiber Kimwolf. Diese Android-fokussierte Variante nutzte neuartige, aggressive Verbreitungsmechanismen.
„Kimwolf markierte einen fundamentalen Wandel in der Botnetz-Architektur“, so die Analyse beteiligter Cybersicherheitsfirmen. Statt nur das offene Internet nach Schwachstellen abzusuchen, nutzte Kimwolf aktiv residential Proxy-Netzwerke. So drang die Malware in Geräte hinter privaten Firewalls ein. Die Kommunikation verschleierte sie mit Techniken wie DNS over TLS.
Auch die weniger bekannten, aber hochaktiven Netze JackSkid und Mossad spielten eine bedeutende Rolle. JackSkid startete über 90.000 Angriffsbefehle. Allein in den ersten zwei März-Wochen 2026 verzeichnete es durchschnittlich 150.000 tägliche Opfer.
Das Ausmaß der Bedrohung: Angriffe in Rekord-Dimension
Die kombinierte Kraft dieser Botnetze führte zu den heftigsten jemals gemessenen DDoS-Angriffen. Anbieter wie Cloudflare und Akamai meldeten Attacken von über 30 Terabit pro Sekunde mit bis zu 14 Milliarden Datenpaketen pro Sekunde.
Analysten vergleichen die maximale Angriffs-Last damit, dass die gesamte Bevölkerung Deutschlands, Großbritanniens und Spaniens gleichzeitig eine einzige Webadresse aufrufen würde.
Diese Traffic-Tsunamis wurden von Cyberkriminellen genutzt, um hochrangige Ziele lahmzulegen. Betroffen waren auch IP-Adressen des US-Verteidigungsministeriums. Während anhaltende Angriffe auf Militärinfrastruktur vermieden wurden, um nicht aufzufallen, litten Breitbandanbieter und Unternehmen unter massiven Ausfällen.
Die Opfer berichteten von Schäden in Zehntausenden Euro für Wiederherstellung und entgangene Umsätze. Oft nutzten die Täter die Botnetze für Erpressungs-Kampagnen. Sie forderten hohe Kryptowährungs-Zahlungen von Unternehmen, um die lähmenden Angriffe zu stoppen.
So lief die globale Zerschlagung ab
Die erfolgreiche Ausschaltung der vier Netzwerke erforderte eine beispiellose internationale Zusammenarbeit. In den USA übernahmen FBI und Militärermittler die Kontrolle über Internet-Domains und Server, die der Botnetz-Steuerung dienten.
Parallel führten Behörden in Deutschland und Kanada Operationen gegen die mutmaßlichen Betreiber durch. Das Bundeskriminalamt (BKA) und die Zentralstelle zur Bekämpfung der Cyberkriminalität in Nordrhein-Westfalen arbeiteten mit der kanadischen Bundespolizei RCMP zusammen. Unterstützung kam von Europols spezieller Taskforce PowerOFF.
Unabhängige Cybersicherheits-Journalisten identifizierten einen 22-jährigen Kanadier und einen 15-jährigen Deutschen als Hauptverdächtige hinter dem Kimwolf-Netzwerk. Offizielle Festnahmemeldungen liegen noch nicht vor.
Knapp zwei Dutzend Technologiekonzerne wie Amazon Web Services, Google und Nokia unterstützten die Ermittler mit Intelligence und technischer Expertise. Ihre Teams halfen, die bösartige Architektur zu identifizieren. Netzwerkbetreiber konnten daraufhin Tausende Kommando-Server isolieren und die Verbindung zu den Millionen gekaperten Geräten kappen.
Analyse: Ein Wendepunkt im Cyberkrieg?
Experten sehen in der Zerschlagung einen Beleg für die kritische Evolution moderner Cyber-Bedrohungen. Die Nutzung von Residential-Proxys, wie bei Kimwolf und JackSkid, ermöglicht es Kriminellen, traditionelle Grenzschutzmaßnahmen zu umgehen. Geräte tief innerhalb privater Netzwerke bieten eine perfekte Tarnung.
Die Kommerzialisierung dieser Botnetze als „Cybercrime-as-a-Service“ hat zudem den Zugang zu digitalen Waffen demokratisiert. Personen mit minimalen technischen Kenntnissen konnten die Infrastruktur von Aisuru und Kimwolf mieten, um massive Angriffe zu starten. Diese niedrige Einstiegshürde hat Erpressungsversuche und Sabotage in allen Sektoren befeuert.
Die sofortige Entstehung von Nachahmer-Botnetzen, die Kimwolfs Techniken kopieren, unterstreicht eine systemische Schwachstelle: den Markt für billige, vernetzte Verbrauchergeräte. Viele dieser Geräte haben keine robuste Authentifizierung und erhalten keine automatischen Firmware-Updates. Sie sind ein endloses Reservoir für künftige Botnetze.
Da Kriminelle immer häufiger Sicherheitslücken in vernetzten Alltagsgeräten und Smartphones ausnutzen, sollten Nutzer ihre privaten Einstellungen dringend überprüfen. Erfahren Sie in diesem kompakten Leitfaden, wie Sie Sicherheitslücken schließen und Ihr Android-Gerät ohne teure Zusatz-Apps absichern. Kostenlosen Sicherheits-Ratgeber herunterladen
Was kommt jetzt? Der Kampf geht weiter
Die Zerschlagung im März 2026 bringt zwar eine sofortige Entlastung für die globale Netzinfrastruktur. Doch Cybersicherheitsbehörden rechnen damit, dass die Täter schnell versuchen werden, ihre Fähigkeiten wieder aufzubauen. Die grundlegenden Schwachstellen in Millionen aktiver IoT-Geräte bleiben ungepatcht.
In den kommenden Monaten dürfte der Erfolg dieser Gemeinschaftsoperation regulatorische Debatten beschleunigen. Gesetzgeber in Nordamerika und der Europäischen Union könnten strengere Sicherheitsstandards für Verbraucherelektronik fordern. Hersteller müssten dann „Secure-by-Design“-Prinzipien umsetzen und Standardpasswörter vor dem Verkauf eliminieren.
Der anhaltende Kampf gegen hypervolumetrische Botnetze wird eine anhaltende, Echtzeit-Zusammenarbeit zwischen internationaler Strafverfolgung und privaten Infrastrukturanbietern erfordern. Während Cyberkriminelle ihre Verschleierungstechniken verfeinern, bleiben proaktive Bedrohungsjagd und schneller Informationsaustausch die wirksamste Verteidigung gegen die nächste Generation digitaler Erpressungsnetzwerke.
