3 Millionen Geräte, 31 Terabit: Behörden zerschlagen die größten DDoS-Botnetze der Welt

Thomas Kramer enthalten in It

30.03.2026 900 Wörter (ungefähr) 4 Minuten

Inhalt

Am 19. März 2026 haben das US-Justizministerium, das Bundeskriminalamt über die ZAC NRW und kanadische Behörden in einer koordinierten Aktion vier IoT-Botnetze abgeschaltet, die zusammen mehr als drei Millionen kompromittierte Geräte umfassten. Die Netze mit den Namen Aisuru, Kimwolf, JackSkid und Mossad[1] waren für DDoS-Angriffe mit bis zu 31,4 Terabit pro Sekunde verantwortlich. Das ist fast das Dreifache der bisherigen Rekorde.

Was passiert ist

Die Ermittler haben die Kommando- und Kontrollinfrastruktur der vier Botnetze beschlagnahmt und den Datenverkehr auf kontrollierte Server umgeleitet. Das BSI unterstützte das technische Sinkholing. Bei Durchsuchungen an Wohnorten in Deutschland und Kanada wurden Beweismittel sichergestellt und Kryptowährungen im fünfstelligen Bereich beschlagnahmt.

Zwei mutmaßliche Administratoren wurden identifiziert. Laut der Sicherheitsforschung handelt es sich um einen 23-Jährigen aus Ottawa in Kanada und einen 15-Jährigen in Deutschland. Festnahmen wurden bislang nicht bekannt gegeben. Brian Krebs, Sicherheitsjournalist, hatte den Kanadier bereits im Februar identifiziert. Dieser behauptet, seine alten Konten seien kompromittiert worden und jemand habe sich als er ausgegeben.

Wie die Botnetze funktionieren

Alle vier Netze basieren auf dem Quellcode von Mirai, einem IoT-Botnetz, das 2016 zum ersten Mal für massive DDoS-Angriffe bekannt wurde. Seitdem hat Mirai eine ganze Generation von Nachahmern hervorgebracht. Aisuru, Kimwolf und die anderen haben das Prinzip aber weiterentwickelt.

Aisuru infiziert klassische IoT-Geräte: DVRs, Webcams, WLAN-Router. Das Netzwerk ist seit mindestens August 2024 aktiv und hat über 200.000 DDoS-Angriffsbefehle ausgelöst.

Kimwolf ist das eigentliche Novum. Das Netzwerk infiziert günstige Android-Smart-TVs und Set-Top-Boxen und nutzt diese als sogenannte Residential Proxies. Das bedeutet: Die infizierten Geräte sitzen hinter dem Heimrouter und ermöglichen Angreifern den Zugriff auf lokale Netzwerke, die von außen normalerweise geschützt sind.

Tom Scholl von AWS beschreibt das als grundlegenden Wandel: Statt das offene Internet nach verwundbaren Geräten zu scannen, infiltriert Kimwolf bestehende Heimnetzwerke über kompromittierte Streaming-Geräte.

JackSkid und Mossad haben dieselbe Technik übernommen. JackSkid erreichte im März 2026 durchschnittlich 150.000 tägliche Opfer, an manchen Tagen bis zu 250.000.

Die Zahlen dahinter

Die Dimension dieser Angriffe ist schwer zu fassen. Cloudflare hat einen Angriff vom November 2025 dokumentiert, bei dem Aisuru und Kimwolf gemeinsam 31,4 Terabit pro Sekunde erreichten. Der Angriff dauerte nur 35 Sekunden. Zum Vergleich: Das entspricht laut Cloudflare so viel Datenverkehr, als würden die gesamten Bevölkerungen des Vereinigten Königreichs, Deutschlands und Spaniens gleichzeitig eine URL eintippen und Enter drücken.

Die durchschnittliche Angriffsgröße lag bei 4 Tbps, 3 Milliarden Paketen pro Sekunde und 54 Millionen HTTP-Requests pro Sekunde. Akamai spricht von Angriffen, die die Kerninfrastruktur des Internets lahmlegen können.

Das Geschäftsmodell

Die Betreiber haben die Botnetze nach dem Cybercrime-as-a-Service-Prinzip vermietet. Wer genug Geld zahlte, konnte die drei Millionen Geräte für eigene DDoS-Angriffe nutzen. Akamai berichtet von Erpressungsfällen, bei denen Opfer mit den Angriffen erpresst wurden.

Wer beteiligt war

Neben dem US-Justizministerium und dem BKA waren 14 Privatunternehmen an der Operation beteiligt: Akamai, Amazon Web Services, Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud, Synthient, Team Cymru, Unit 221B und QiAnXin XLab. Lumen Black Lotus Labs hat knapp 1.000 C2-Server der Botnetze geroutet. XLab lieferte entschlüsselte C2-Konfigurationen und DDoS-Screenshots als Beweismittel.

Was das für Deutschland bedeutet

Die Beteiligung der ZAC NRW und des BSI zeigt, dass IoT-Botnetze nicht mehr nur ein US-Problem sind. Millionen infizierter Geräte stehen weltweit, ein Teil davon in Deutschland. Das BSI informiert betroffene Nutzer über deren Internetprovider.

Ein konkretes Beispiel für die Auswirkungen: Erst kürzlich waren die Informationsangebote der Deutschen Bahn und die DB-Navigator-App von einer DDoS-Attacke betroffen. Solche Angriffe können durch Botnetze wie Aisuru und Kimwolf ausgelöst werden.

Die Ermittler haben die Kommando- und Kontrollinfrastruktur abgeschaltet, aber die mutmaßlichen Betreiber konnten bislang nicht festgenommen werden. Das Netzwerk Kimwolf ist laut Tagesschau nicht vollständig zerschlagen.

Für Betreiber von IoT-Geräten in Deutschland gilt: Wer einen WLAN-Router, eine IP-Kamera oder ein Smart-TV mit Standardeinstellungen betreibt, liefert potenziell die Eintrittskarte für ein Botnetz. Firmware-Updates, eigene Passwörter und regelmäßige Sicherheitsprüfungen sind kein Overhead, sondern die Mindestanforderung.

Meine Einschätzung

Die 31,4 Tbps sind nicht das eigentlich Besorgniserregende. Angriffe dieser Größenordnung richten sich in der Regel gegen Infrastruktur, nicht gegen Privatpersonen. Was mich mehr beunruhigt: Kimwolf hat gezeigt, dass Heimnetzwerke über kompromittierte Streaming-Geräte infiltriert werden können. Der Smart-TV im Wohnzimmer wird zum Einfallspunkt. Der Router schützt nach außen, aber das Gerät dahinter wird von innen kompromittiert.

Chad Seaman von Akamai bringt es auf den Punkt: „Man fängt eine Maus, und zehn andere verschwinden unter dem Kühlschrank. Die Katzen jagen die fetten Mäuse. Aber das Spiel geht weiter."

Das stimmt. Mirai wurde 2016 zerschlagen. Zehn Jahre später haben wir Aisuru und Kimwolf. Die nächste Generation kommt. Die Frage ist nicht ob, sondern wann.

Quellen:

[1] Der Name des Botnets hat nichts mit dem israelischen Geheimdienst zu tun. Mirai-Varianten bekommen beliebige Namen von ihren Betreibern.