Blockchain
Mai 26, 2026
Julia Wolf 
Am 19. März 2026 zerschlugen US-Behörden gemeinsam mit Partnern aus Deutschland und Kanada eine IoT-Botnet-Familie, die nach offiziellen DoJ-Zahlen über drei Millionen Geräte kaperte und mehr als 300.000 DDoS-Angriffe startete. Das ist kein Marketing. Das ist Protokoll.
Botnet-Disruption ist selten so präzise dokumentiert wie diesmal. Das US-Justizministerium listet vier zusammenhängende Infrastrukturen auf: Aisuru, KimWolf, JackSkid und Mossad. Keine dramatischen Markennamen aus dem Marketing-Department, sondern Code-Bezeichnungen, hinter denen sich eine arbeitsteilige kriminelle Infrastruktur verbarg. Zusammen kompromittierten sie laut DoJ-Logdaten mindestens drei Millionen IoT-Geräte – DVRs, IP-Kameras, Router, Android-TV-Boxen.
Der Clou: Diese vier Botnets operierten nicht als konkurrierende Projekte. Sie bildeten ein Ökosystem. Aisuru war dabei der Schwergewichtler, verantwortlich für rund 200.000 der dokumentierten DDoS-Angriffe. JackSkid steuerte etwa 90.000 Angriffe bei, KimWolf rund 25.000, Mossad etwa 1.000 dokumentierte Befehle. Addiert: über 300.000 DDoS-Operationen, koordiniert aus einer Infrastruktur, die auf Command-&-Control-Servern, Domains und virtuellen Servern weltweit verteilt war.
Und das Pikante daran: Die Betreiber boten den Zugang zu dieser Infrastruktur als Service an. DDoS-for-hire, Bots auf Abruf, Kampagnenpakete für andere Kriminelle. IoT-Malware als Geschäftsmodell, nicht als Hobbyprojekt.
Journalisten schreiben gerne: Botnet „zerstört“. Sicherheitsbehörden formulieren vorsichtiger – und haben damit Recht. Was am 19. März 2026 passierte, war eine Disruption der Command-&-Control-Infrastruktur. Das ist ein wichtiger Unterschied.
Konkret lief die Operation auf mehreren Spuren gleichzeitig. Erstens: US-Gerichte stellten Beschlüsse aus, die eine Übernahme und Abschaltung der C2-Domains und virtuellen Server ermöglichten. Zweitens: Strafverfolgungsbehörden in Deutschland und Kanada handelten parallel gegen Infrastruktur und mutmaßliche Betreiber in ihren Jurisdiktionen. Drittens – und das ist die technisch interessanteste Komponente – wurde Teile des Botnet-Traffics auf sogenannte Sinkhole-Server umgeleitet.
Sinkholing bedeutet: Der infizierte Router oder die IP-Kamera versucht weiterhin, seinen Befehlsserver zu erreichen. Er erreicht ihn – aber der Server gehört jetzt den Guten. Die Kommunikation wird analysiert, Kommandos werden blockiert, der Bot läuft ins Leere. Das klingt eleganter als es ist: Sinkholing erfordert Gerichtsbeschlüsse, Kooperationen mit DNS-Registraren, Cloudprovidern und ISPs, und das alles muss weltweit gleichzeitig greifen, bevor die Betreiber reagieren können.
Ich finde genau diesen Moment faszinierend: Irgendwo läuft gerade Ihre Fritzbox oder Ihre alte Überwachungskamera zu einem Server, der längst nicht mehr existiert. Das Gerät ist immer noch infiziert. Es funktioniert nur gerade nicht mehr als Waffe.
Hier liegt der entscheidende Punkt, den viele Berichte unterschlagen. Ein Takedown der C2-Infrastruktur bedeutet nicht, dass drei Millionen Geräte automatisch sauber sind. Die IoT-Malware verbleibt auf dem Gerät. Sie erreicht ihren Befehlsgeber nicht mehr – aber ein neues C2, das die Betreiber anderswo aufbauen, oder eine neue Variante der Malware könnte diese Geräte reaktivieren. Das DoJ selbst formuliert das Ziel als „limitieren oder eliminieren“ der Fähigkeit zu zukünftigen Angriffen – kein Versprechen der Dauerhaftigkeit.
Für Nutzer und Administratoren heißt das: Firmware-Updates, Passwortwechsel, im Zweifel Factory-Reset. Wer seinen Router nach einem solchen Vorfall einfach weiterlaufen lässt, schläft auf einer entschärften, aber nicht demontierten Bombe.
Plot Twist: Nicht alle Botnet-Infrastrukturen entstammen der klassischen Cybercrime-Szene. Ein Jahr vor dem Aisuru-Takedown stellten FBI und NSA eine Mirai-basierte IoT-Botnet-Variante still, die mit der Gruppe Flax Typhoon in Verbindung gebracht wird – einer mutmaßlich staatlich unterstützten Einheit. Laut CybersecurityDive umfasste dieses Botnet über 260.000 kompromittierte Geräte: SOHO-Router, IP-Kameras, NAS-Systeme. Fast die Hälfte davon stand in den USA.
Ziele waren keine Privatanwender, sondern Betreiber kritischer Infrastruktur: Manufacturing, IT, Telekommunikation, Regierungsstellen. Das ist ein anderes Kaliber als DDoS-for-hire. Wenn IoT-Geräte in Heimnetzwerken als Sprungbrett in Unternehmensnetzwerke oder als Spionage-Relays dienen, spielt das Botnet plötzlich in einer anderen Liga – nicht mehr Kriminalität, sondern Geopolitik.
Wenig überraschend: Polymorphe Malware und staatliche Botnet-Infrastruktur entwickeln sich parallel. Was heute als DDoS-Werkzeug gilt, kann morgen als Initial-Access-Plattform für Ransomware oder Datendiebstahl dienen. Die Grenzen verschwimmen schnell, und ältere Einschätzungen, die IoT-Botnets ausschließlich auf volumetrische Angriffe reduzierten, sind nicht mehr haltbar.
Warum eigentlich immer wieder die gleichen Geräteklassen? DVRs, Router, IP-Kameras – das klingt nach einer langen Liste alter Bekannter. Der Grund ist strukturell und ändert sich nicht durch einen einzelnen Takedown.
IoT-Geräte laufen oft mit Standardpasswörtern, die nie geändert werden. Sie erhalten selten oder nie Firmware-Updates, weil Hersteller den Support nach wenigen Jahren einstellen oder Nutzer gar nicht wissen, dass Updates existieren. Sie sind permanent online. Und sie sitzen häufig in Segmenten, die nicht aktiv überwacht werden – im Heimnetz neben dem Fernseher, im kleinen Büro hinter der Rezeption, in der Produktionshalle ohne IT-Personal vor Ort.
Für Angreifer ist das ideal. Mirai-Code ist seit Jahren öffentlich verfügbar. Neue Varianten entstehen in Stunden. SecurityWeek beschreibt den Aisuru-Komplex als Ergebnis eines reifenden Ökosystems, das auf diesem strukturellen Problem aufsetzt – nicht auf exotischen Exploits, sondern auf der schieren Masse schlecht gesicherter Geräte.
Meine persönliche Einschätzung dazu: Solange Gerätehersteller keine verpflichtenden Sicherheitsupdates und Passwort-Policies liefern, ist jeder Takedown eine Sisyphusarbeit. Man räumt die Bühne leer, und in drei Monaten steht das nächste Set bereit.
Was die Situation zusätzlich verschärft: Der Aufwand für Angreifer ist gering, der potenzielle Ertrag dagegen erheblich. DDoS-for-hire-Dienste, wie sie das Aisuru-Ökosystem betrieb, verlangen Tagespreise im zweistelligen bis dreistelligen Dollarbereich für Angriffskampagnen. Bei einem Botnet mit Millionen kompromittierter Geräte und Hunderten zahlender Kunden ergibt sich ein lukratives Geschäftsmodell, das minimale Investitionen in Infrastruktur und Pflege erfordert.
Gegenüber klassischer Ransomware haben IoT-Botnets einen weiteren Vorteil aus Angreifersicht: Die kompromittierten Gerätebesitzer merken in aller Regel nichts. Ein Router, der etwas mehr Bandbreite verbraucht oder gelegentlich langsamer wird, löst selten Alarm aus. Diese Unsichtbarkeit ist kein Nebenmerkmal, sondern das eigentliche Design-Prinzip. Wer kein Aufsehen erregt, betreibt sein Botnet länger und profitabler.
Dieser wirtschaftliche Anreiz erklärt, warum nach jedem Takedown neue Botnets entstehen: Der Markt existiert, die Infrastruktur ist replizierbar, und das Entdeckungsrisiko war – bis zu Operationen wie dieser – überschaubar. Botnet-Disruption auf dem Niveau des Aisuru-Takedowns erhöht dieses Risiko spürbar. Ob das abschreckend genug wirkt, bleibt abzuwarten.
Der Aisuru-Takedown wäre ohne multinationale Koordination nicht möglich gewesen. US-Behörden (DoJ, FBI), Strafverfolgungsorgane in Deutschland und Kanada, private Sicherheitsfirmen, DNS-Registrare und Cloudprovider – alle gleichzeitig, alle mit klar verteilten Rollen. Das ist keine Selbstverständlichkeit.
Die Herausforderung bei grenzüberschreitenden Botnet-Operationen ist nicht primär technisch. Es ist Bürokratie. Unterschiedliche Rechtssysteme, unterschiedliche Datenschutzregelungen, unterschiedliche Definitionen von Cybercrime. Ein Gerichtsbeschluss aus Alaska nützt wenig, wenn der C2-Server in einem Land sitzt, das keine Auslieferungsabkommen kennt. Deswegen sind parallelisierte Aktionen, wie beim Aisuru-Takedown dokumentiert, die eigentliche logistische Leistung.
Europäische Initiativen wie die NIS2-Richtlinie schaffen zumindest auf regulatorischer Ebene Rahmen für Meldestrukturen und Kooperationspflichten, die solche Operationen langfristig unterstützen sollen. Ob das ausreicht, ist eine andere Frage. Takedowns wie dieser zeigen: Die operative Schlagkraft entsteht oft vor dem regulatorischen Rahmen, nicht danach.
Wer die Methodik verstehen will, denkt am besten in Schichten. Erste Schicht: Domains und C2-Server beschlagnahmen. Das trennt die Verbindung zwischen Botmaster und infizierter Geräteflotte sofort. Zweite Schicht: Sinkholing – Traffic umleiten, analysieren, blockieren. Dritte Schicht: ISPs und Gerätehersteller informieren, damit betroffene Nutzer aktiv kontaktiert werden können. Die dritte Schicht ist die langsamste und oft ineffektivste, weil sie von der Mitarbeit Dritter abhängt und an der Masse der betroffenen Geräte scheitert.
Das Ergebnis nach einem erfolgreichen Takedown: Die Botnet-Infrastruktur ist zerschlagen, mindestens drei Millionen Geräte sind stumm gestellt – aber nicht geheilt. Die Malware wartet. Ungeduldige Angreifer bauen neue Infrastruktur auf. CyberScoop dokumentiert, dass genau dieser Zyklus bei IoT-Botnets immer wieder zu beobachten ist: Takedown, kurze Pause, neue Variante.
Brisant ist nicht der einzelne Takedown, sondern das strukturelle Risiko, das er sichtbar macht. Wer aktiv handeln will, hat konkrete Optionen.
Firmware-Updates konsequent einspielen. Klingt banal, passiert in der Praxis zu selten. Hersteller-Dashboards, automatische Update-Funktionen, Router-Management-Konsolen – nutzen, nicht ignorieren. Standardpasswörter ändern, auf jedem Gerät, sofort nach der Einrichtung. Das eliminiert den einfachsten Angriffsvektor bei Mirai-Varianten. Unnötige Remote-Zugänge deaktivieren. Viele Router und DVRs haben Fernverwaltungsfunktionen, die im Betrieb nie gebraucht werden, aber angreifbar bleiben.
Netzwerksegmentierung ist der nächste Schritt für alle, die ernsthafter rangehen: IoT-Geräte in ein separates VLAN sperren, das keinen Zugriff auf produktive Systeme hat. Was keinen Pfad ins Unternehmensnetz hat, kann dort auch keinen Schaden anrichten. Hinweis auf ein mögliches Problem: Unerklärlicher Bandbreitenverbrauch, häufige Router-Neustarts, ISP-Warnungen. Wer eines dieser Signale sieht, sollte den Router zurücksetzen und neu aufsetzen, nicht nur neu starten.
Für Unternehmen mit exponierten IoT-Geräten in der Produktion oder im Außenbereich gilt zusätzlich: DDoS-Schutz auf Provider-Ebene buchen und aktive Cyberabwehr-Konzepte entwickeln, die den eigenen Perimeter auch gegen fremdgesteuerte IoT-Infrastruktur absichern. Das neue rechtliche Umfeld zur aktiven Cyberabwehr und erweiterte Meldestrukturen nach NIS2 geben dafür langsam auch regulatorischen Rückenwind.
Für alle, die nach der Lektüre konkret handeln wollen, lassen sich die wichtigsten Schritte kompakt zusammenfassen:
Diese Maßnahmen schützen nicht nur vor den Varianten, die heute aktiv sind. Sie reduzieren das Angriffspotenzial grundsätzlich und erschweren es, dass ein Gerät nach dem nächsten Takedown erneut Teil eines neuen Botnets wird.
Der Takedown von Aisuru, KimWolf, JackSkid und Mossad ist ein beachtlicher Enforcement-Erfolg. Drei Millionen stumm geschaltete Geräte. Über 300.000 Angriffe, die nicht mehr ausgeführt werden können. Infrastruktur beschlagnahmt, Betreiber unter Druck. Das ist mehr als Symbolpolitik.
Aber der Mirai-Code ist öffentlich. Neue Varianten entstehen schnell. IoT-Geräte bleiben schlecht gesichert. Das nächste Botnet baut auf denselben strukturellen Schwächen auf, die dieses ermöglicht haben. Takedowns verschaffen Verteidigern Zeit und zwingen Angreifer zu Aufwand und Kosten – das ist nicht nichts. Es löst aber nicht die eigentliche Frage: Wann übernehmen Hersteller endlich Verantwortung für die Sicherheit der Geräte, die sie jahrelang ungepatcht im Feld lassen?
Regulatorische Ansätze wie der EU Cyber Resilience Act, der Hersteller künftig zu Sicherheitsupdates über den gesamten Produktlebenszyklus verpflichten soll, gehen in die richtige Richtung. Doch zwischen gesetzlicher Pflicht und gelebter Praxis liegen erfahrungsgemäß Jahre – und in dieser Zeit entstehen neue Botnets, neue Varianten, neue Takedowns. Der Zyklus bricht erst, wenn das strukturelle Problem an der Wurzel adressiert wird: unsichere Geräte, die mit vollen Absegnung ihrer Hersteller dauerhaft online bleiben.
Was bleibt: Drei Millionen Geräte, auf denen noch immer Malware sitzt. Was tun Sie, wenn Ihr Router dazu gehört?
