Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weitet die Schutz- und Informationsmaßnahmen aus, die im Rahmen der Zerschlagung der weltweit größten Botnetzinfrastruktur Avalanche Ende 2016 initiiert wurden, und verlängert diese zudem. Das im Zuge der Avalanche-Abschaltung im Jahr 2016 vom BSI aufgesetzte Sinkholing-System wurde dabei um Domänen des Andromeda-Botnetzes erweitert. Dieses weltweit agierende Botnetz wurde am 30. November 2017 in internationaler Kooperation durch Ermittler zerschlagen. Dabei koordinierte die europäische Justizbehörde Eurojust die Maßnahmen der weltweit beteiligten Staatsanwaltschaften. Federführend in Deutschland war die Zentrale Kriminalinspektion Lüneburg unter Sachleitung der Staatsanwaltschaft Verden.

Erste Analysen haben ergeben, dass weltweit pro Tag rund 1,3 Millionen mit der Schadsoftware Andromeda infizierte Netzwerkanschlüsse aktiv sind. Das FBI hatte die Ermittlungen im Jahr 2015 gemeinsam mit der Firma Microsoft begonnen. Hauptangriffsziele der mittels Andromeda verteilten Schadsoftware waren Asien, Nordamerika und in Europa im Schwerpunkt die Länder Rumänien, Italien, Deutschland und Polen.

Handlungsbedarf bei betroffenen Internetnutzern
Mit Hilfe der im Rahmen der Zerschlagung von Avalanche vor einem Jahr aufgesetzten Sinkhole-Server und in Zusammenarbeit mit den Internetprovidern konnten betroffene Internetnutzer gewarnt und aufgefordert werden, ihre Systeme zu bereinigen. Die Zahl der Infektionen insbesondere in Deutschland hat sich daraufhin positiv entwickelt: Ende November 2017 betrugen die gemeldeten Infektionszahlen in Deutschland nur noch rund 39 Prozent des ursprünglichen Startwerts. Auch weltweit haben die gemeldeten Infektionen abgenommen, betrugen aber immer noch rund 55 Prozent des Ursprungswerts.

Trotz Benachrichtigung bereinigt jedoch ein Teil der Betroffenen seine Systeme offensichtlich nicht. Zwar können diese aufgrund des aktiven Sinkholings des BSI nicht mehr von Kriminellen gesteuert werden, dennoch sind die Systeme infiziert und anfällig für Missbrauch und stellen somit eine potenzielle Gefährdung Dritter dar. Internetnutzer, die eine Infektionsmeldung von ihrem Provider erhalten, sollten diese ernst nehmen und die darin enthaltenen Empfehlungen umsetzen.

Zur Bereinigung von Schadsoftwareinfektionen auf Computern und Smartphones bietet das BSI unter www.bsi-fuer-buerger.de/botnetz Informationen und Hilfestellung für Betroffene.