Wiesbaden, 20. März 2026 (JPD) Strafverfolgungsbehörden haben in einer international koordinierten Aktion zwei der weltweit größten Botnetze mit den Bezeichnungen „Aisuru“ und „Kimwolf“ abgeschaltet. An den Maßnahmen beteiligten sich die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW), das Bundeskriminalamt (BKA) sowie Behörden aus Kanada und den USA. Ziel war die Zerschlagung der Infrastruktur sowie die Identifizierung der mutmaßlichen Betreiber.
Die Ermittlungen richteten sich gegen zwei mutmaßliche Administratoren, die inzwischen identifiziert wurden. Gegen sie stehen strafrechtliche Konsequenzen im Raum. An ihren Wohnorten in Deutschland und Kanada wurden Durchsuchungen durchgeführt und Beweismittel sichergestellt, darunter zahlreiche Datenträger sowie Kryptowährungen im fünfstelligen Bereich. Den Maßnahmen gingen mehrmonatige, technisch komplexe Ermittlungen und eine enge internationale Abstimmung voraus.
Botnetze für DDoS-Angriffe und Proxy-Dienste genutzt
Die Botnetze „Aisuru“ und „Kimwolf“ wurden insbesondere für hochvolumige DDoS-Angriffe genutzt, die IT-Infrastrukturen überlasten können. Nach Angaben der Behörden verfügten beide Netzwerke über mehrere Millionen kompromittierter Geräte. Beim Botnetz „Aisuru“ handelte es sich überwiegend um IoT-Geräte wie Router und Webcams, während „Kimwolf“ vor allem aus infizierten Android-TV-Boxen bestand.
Die infizierten Geräte wurden ohne Wissen der Nutzer durch Schadsoftware übernommen und anschließend von den Tätern ferngesteuert eingesetzt. Zusätzlich wurde das Botnetz „Kimwolf“ auch als sogenanntes Residential-Proxy-Netzwerk vermarktet, über das Dritte kostenpflichtig anonymisierte Internetverbindungen nutzen konnten.
Infektionen erfolgten häufig ohne aktives Zutun der Betroffenen, etwa durch Sicherheitslücken in internetfähigen Geräten. Besonders gefährdet sind Geräte ohne ausreichende Sicherheitsmechanismen oder ohne aktuelle Updates sowie Systeme mit schwachen oder unveränderten Standardpasswörtern.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützte die Maßnahmen mit technischen Analysen und sogenannten Sinkholing-Maßnahmen. Dabei wird schädlicher Datenverkehr umgeleitet und in kontrollierte Systeme überführt. Zudem informiert das BSI betroffene Bürgerinnen und Bürger über ihre jeweiligen Provider über mögliche Infektionen mit Schadsoftware.
