Auf dieser Webseite finden Sie Informationen zu den von CERT-Bund an deutsche Netzbetreiber gesendeten Benachrichtigungen zu Schadprogramm-Infektionen.

Schadprogramme und Kontrollserver

Die meisten Schadprogramme nehmen nach der Infektion eines Systems Kontakt zu einem Kontrollserver (C&C-Server) der Angreifer im Internet auf, um von dort weiteren Schadcode nachzuladen, Instruktionen zu empfangen oder auf dem infizierten System ausgespähte Informationen (wie Benutzernamen und Passwörter) an diesen Server zu übermitteln. Die Kontaktaufnahme erfolgt häufig unter Verwendung von Domainnamen, welche von den Tätern speziell für diesen Zweck registriert wurden.

Sinkholes

Ein gängiges Verfahren zur Identifikation mit Schadprogrammen infizierter Systeme ist die Umleitung solcher schädlicher Domainnamen auf sogenannte "Sinkholes". Dabei werden die durch Analyse von Schadprogrammen ermittelten Domainnamen in Zusammenarbeit mit den zuständigen Domain-Registrierungsstellen auf Sinkhole-Server umgeleitet. Die Sinkholes protokollieren anschließend die Zugriffe auf die schädlichen Domainnamen mit Zeitstempel und der Quell-IP-Adresse, von welcher der Zugriff erfolgte. Solche Sinkholes werden von zahlreichen Analysten und IT-Sicherheitsdienstleistern weltweit betrieben.

Da sich unter den Domainnamen keine legitimen Internetangebote befinden, werden diese von Nutzern üblicherweise nicht angesteuert. Ein Zugriff auf einen solchen Domainnamen ist daher ein gutes Indiz, dass sich unter der Quell-IP-Adresse, von welcher ein Zugriff erfolgt, mit hoher Wahrscheinlichkeit ein mit einem entsprechenden Schadprogramm infiziertes System befindet.

Als nationales CERT erhält CERT-Bund täglich Protokolldaten von verschiedenen internationalen Sinkhole-Betreibern. Diese enthalten Informationen zu Zugriffen auf umgeleitete schädliche Domainnamen, welche von IP-Adressen deutscher Netzbetreiber erfolgten. Nationale CERTs in anderen Ländern erhalten die Daten entsprechend für das jeweilige Land.

Die von den Sinkhole-Betreibern gelieferten Daten enthalten üblicherweise zu jedem protokollierten Zugriff einen Zeitstempel, die Quell-IP-Adresse, den aufgerufenen schädlichen Domainnamen und eine Bezeichnung des damit verbundenen Schadprogramms, welches den Domainnamen für die Kontaktaufnahme zu einem Kontrollserver verwendet. Häufig sind auch die IP-Adresse der Sinkhole sowie die Quell- und Ziel-Portnummern der Verbindung in den Daten enthalten.

Benachrichtigung von Netzbetreibern / Providern

Die von den Sinkhole-Betreibern an CERT-Bund gelieferten Daten werden automatisiert ausgewertet und anhand der Quell-IP-Adressen der Zugriffe den zuständigen Netzbetreibern zugeordnet. Die Netzbetreiber werden anschließend über die potenziellen Schadprogramm-Infektionen in ihren Netzbereichen informiert. Dabei werden die vorgenannten Informationen zu den von den Sinkholes protokollierten Zugriffen an die Netzbetreiber weitergeleitet.

Falls es sich bei dem Netzbetreiber um einen Internet-Provider handelt, wird dieser gebeten, seine betroffenen Kunden entsprechend zu informieren. Eine Identifikation von Provider-Endkunden seitens CERT-Bund ist nicht möglich, da nur der Provider zuordnen kann, von welchem Kunden eine IP-Adresse aus seinem Netzbereich zu dem angegebenen Zeitpunkt genutzt wurde.

Weitere Informationen

Weitere Informationen zum Thema Schadprogramme und Infektionsbeseitigung finden Sie auf unseren Seiten für Verbraucherinnen und Verbraucher.

Statistik

Jahr 2020

Im Jahr 2020 hat CERT-Bund aus Sinkhole-Daten verschiedener Quellen insgesamt Informationen zu 16 Millionen Tagesinfektionen abgeleitet, welche IP-Adressen deutscher Netzbetreiber betrafen (Provider, Unternehmen, andere Organisationen) und mit den täglichen Reports von CERT-Bund an diese gemeldet wurden.

Eine Tagesinfektion entspricht dabei einer Kombination von IP-Adresse und Schadprogramm-Familie pro Tag. Die Anzahl voneinander verschiedener individueller Infektionen und betroffener Systeme kann nicht beziffert werden. Einerseits handelt es sich größtenteils um dynamische IP-Adressen, welche nur vorübergehend einem bestimmten Kundenanschluss zugeordnet sind. Ein infiziertes System wird daher häufig unter mehreren verschiedenen IP-Adressen an den Provider gemeldet, bis das System bereinigt wurde. Andererseits befinden sich unter einer einzelnen IP‑Adresse (z. B. Proxy oder NAT-Gateway) häufig auch zeitgleich mehrere mit demselben Schadprogramm infizierte Systeme.

Die folgende Grafik zeigt die Top 20 Schadprogramm-Familien, die im Jahr 2020 gemeldet wurden.

Diese Statistik spiegelt jedoch nicht die tatsächliche Verbreitung von Schadprogrammen in Deutschland wider, da nicht für alle Schadprogramm-Familien in gleichem Umfang bzw. überhaupt Sinkhole-Daten vorliegen. Ebenfalls weit verbreitete Schadprogramme wie beispielsweise Emotet oder Trickbot sind in der Statistik nicht aufgeführt, da diese Schadprogramme direkt über IP-Adressen und nicht über Domainnamen, die auf eine Sinkhole umgeleitet werden könnten, mit Kontrollservern kommunizieren. Infektionen mit diesen Schadprogrammen sind daher schwer zu ermitteln.

Wie im Vorjahr wurden am häufigsten Infektionen mit dem Schadprogramm Andromeda gemeldet. Hierbei handelt es sich um einen Downloader, welcher weitere Schadprogramme wie Online-Banking-Trojaner nachlädt und installiert.

Den dritten Platz belegt wie im Vorjahr das Schadprogramm QSnatch, welches von Angreifern auf unsicher konfigurierten NAS-Geräten installiert wurde.

Bei vielen weiteren häufig gemeldeten Schadprogrammen wie Gootkit, Nymaim, Tinba oder Zeus handelt es sich um Online-Banking-Trojaner.

Auch das über 10 Jahre alte Schadprogramm Conficker ist in Deutschland noch immer weit verbreitet. Bei den hiermit infizierten Systemen handelt es sich fast ausschließlich um Geräte, welche noch mit dem veralteten Betriebssystem Windows XP laufen.

Mit ArrkiiSDK, Cooee, GinkgoSDK, Bauts, PrizeRAT, Teleplus, PushIran und Uupay wurden in diesem Jahr zusätzlich viele Infektionen mit Schadprogrammen für das Betriebssystem Android gemeldet.

2. Halbjahr 2019

Im zweiten Halbjahr 2019 hat CERT-Bund 17 Milliarden Rohdatensätze von Sinkholes verarbeitet, welche von verschiedenen Quellen zugeliefert wurden. Daraus wurden insgesamt Informationen zu 3,8 Millionen Tagesinfektionen abgeleitet, welche IP-Adressen deutscher Netzbetreiber betrafen (Provider, Unternehmen, andere Organisationen) und mit den täglichen Reports von CERT-Bund an diese gemeldet wurden.

Eine Tagesinfektion entspricht dabei einer Kombination von IP-Adresse und Schadprogramm-Familie pro Tag. Die Anzahl voneinander verschiedener individueller Infektionen und betroffener Systeme kann nicht beziffert werden. Einerseits handelt es sich größtenteils um dynamische IP-Adressen, welche nur vorübergehend einem bestimmten Kundenanschluss zugeordnet sind. Ein infiziertes System wird daher häufig unter mehreren verschiedenen IP-Adressen an den Provider gemeldet, bis das System bereinigt wurde. Andererseits befinden sich unter einer einzelnen IP‑Adresse (z. B. Proxy oder NAT-Gateway) häufig auch zeitgleich mehrere mit demselben Schadprogramm infizierte Systeme.

Die folgende Grafik zeigt die Top 20 Schadprogramm-Familien, die im zweiten Halbjahr 2019 gemeldet wurden.

Diese Statistik spiegelt jedoch nicht die tatsächliche Verbreitung von Schadprogrammen in Deutschland wider, da nicht für alle Schadprogramm-Familien in gleichem Umfang bzw. überhaupt Sinkhole-Daten vorliegen. Ebenfalls weit verbreitete Schadprogramme wie beispielsweise Emotet oder Trickbot sind in der Statistik nicht aufgeführt, da diese Schadprogramme direkt über IP-Adressen und nicht über Domainnamen, die auf eine Sinkhole umgeleitet werden könnten, mit Kontrollservern kommunizieren. Infektionen mit diesen Schadprogrammen sind daher schwer zu ermitteln.

Wie im ersten Halbjahr 2019 wurden am häufigsten Infektionen mit dem Schadprogramm Andromeda gemeldet. Hierbei handelt es sich um einen Downloader, welcher weitere Schadprogramme wie Online-Banking-Trojaner nachlädt und installiert.

Den zweiten und dritten Platz belegten in diesem Halbjahr die Schadprogramme Mirai und QSnatch, welche von Angreifern auf unsicher konfigurierten Netzwerkgeräten wie Routern oder NAS-Geräten installiert wurden.

Bei vielen weiteren häufig gemeldeten Schadprogrammen wie GozNym, Nymaim, Tinba, ZeuS oder Gozi handelt es sich um Online-Banking-Trojaner.

Magecart ist ein Sammelbegriff für Schadprogramme, welche von Cyber-Kriminellen in Online-Shops eingeschleust werden, um Kundendaten (Namen, Adressen und Zahlungsinformationen wie Kreditkartendaten) während eines Bestellvorgangs auszuspähen.

Auch das über 10 Jahre alte Schadprogramm Conficker ist in Deutschland noch immer weit verbreitet. Bei den hiermit infizierten Systemen handelt es sich fast ausschließlich um Geräte, welche noch mit dem veralteten Betriebssystem Windows XP laufen.

1. Halbjahr 2019

Im ersten Halbjahr 2019 hat CERT-Bund 23 Milliarden Rohdatensätze von Sinkholes verarbeitet, welche von verschiedenen Quellen zugeliefert wurden. Daraus wurden insgesamt Informationen zu 3,6 Millionen Tagesinfektionen abgeleitet, welche IP-Adressen deutscher Netzbetreiber bzw. Provider betrafen und mit den täglichen Reports von CERT-Bund an diese gemeldet wurden.

Eine Tagesinfektion entspricht dabei einer Kombination von IP-Adresse und Schadprogramm-Familie pro Tag. Die Anzahl voneinander verschiedener individueller Infektionen und betroffener Systeme kann nicht beziffert werden. Einerseits handelt es sich größtenteils um dynamische IP-Adressen, welche nur vorübergehend einem bestimmten Kundenanschluss zugeordnet sind. Ein infiziertes System wird daher häufig unter mehreren verschiedenen IP-Adressen an den Provider gemeldet, bis das System bereinigt wurde. Andererseits befinden sich unter einer einzelnen IP‑Adresse (z. B. Proxy oder NAT-Gateway) häufig auch zeitgleich mehrere mit demselben Schadprogramm infizierte Systeme.

Die folgende Grafik zeigt die Top 20 Schadprogramm-Familien, die im ersten Halbjahr 2019 gemeldet wurden.

Diese Statistik spiegelt jedoch nicht die tatsächliche Verbreitung von Schadprogrammen in Deutschland wider, da nicht für alle Schadprogramm-Familien in gleichem Umfang bzw. überhaupt Sinkhole-Daten vorliegen. Für ebenfalls weit verbreitete Schadprogramme wie Emotet oder Trickbot liegen z. B. keine Sinkhole-Daten vor, da diese Schadprogramme direkt über IP-Adressen und nicht über Domainnamen, die auf eine Sinkhole umgeleitet werden könnten, mit Kontrollservern kommunizieren.

Mirai und VPNFilter sind Schadprogramme für IoT-Geräte. Hiervon sind in erster Linie Router und andere Netzwerkgeräte betroffen. Bei allen anderen Schadprogrammen handelt es sich um Infektionen von Microsoft-Windows-Systemen.

Nach über 10 Jahren ist das Schadprogramm Conficker auch in Deutschland noch immer weit verbreitet. Hierbei handelt es sich fast ausschließlich um Systeme, welche noch mit dem veralteten Betriebssystem Windows XP laufen.