Niederländische Behörden zerschlagen Botnetz mit 17 Millionen infizierten Geräten
Dennis Knake
Veröffentlicht am 1. Juni 2026
Niederländische Polizei und das nationale Cybersicherheitszentrum NCSC haben ein Botnetz mit mindestens 17 Millionen infizierten Geräten zerschlagen; darunter massenhaft Router, Smartphones und IoT-Geräte. Der Fall zeigt in aller Deutlichkeit, was aus unsicherer vernetzter Hardware werden kann: kommerziell vermarktbare Angriffs-Infrastruktur.
- Niederländische Polizei und NCSC haben am 28. Mai 2026 ein Botnetz mit mindestens 17 Millionen infizierten Geräten zerschlagen, das über mehr als 200 Server in den Niederlanden als Backend-Infrastruktur betrieben wurde.
- Hinter dem Netz steht offenbar Asocks, ein kommerzieller Anbieter sogenannter Residential Proxies – Dienste, die kompromittierte Endgeräte als Durchleitungspunkte für Internetverkehr an Dritte vermieten.
- Die Razzia traf die Infrastruktur, nicht den Dienst selbst: Die Asocks-Website blieb nach der Beschlagnahme erreichbar, und jedes infizierte Gerät bleibt weiterhin kompromittiert.
Vom Temperatursensor zum Angriffswerkzeug
Ende Mai 2026 gaben die niederländische Polizei und das Nationale Centrum voor Cybersecurity (NCSC) bekannt, ein Botnetz mit mindestens 17 Millionen infizierten Geräten außer Betrieb gesetzt zu haben. Der Hinweis kam von einem externen Sicherheitsforscher, der das Netz dem NCSC gemeldet hatte. Beschlagnahmt wurde ein Teil der mehr als 200 Server, die bei einem niederländischen Hosting-Anbieter als Steuerungsinfrastruktur dienten. Der Anbieter schaltete das Netz daraufhin vollständig ab, nachdem der kriminelle Verwendungszweck festgestellt worden war.
Zwar nannten die Behörden den Betreiber in ihrer offiziellen Meldung nicht beim Namen. Das niederländische Nachrichtenportal NL Times berichtete jedoch, dass es sich um den Dienst Asocks handelt, was BleepingComputer unabhängig bestätigte. Asocks vermarktet sich als Anbieter sogenannter Residential Proxies, also eines Dienstes, bei dem Internetverkehr über die IP-Adressen echter Endnutzergeräte geleitet wird. Ziel ist es, Ursprung und Identität von Angreifern zu verschleiern. Laut Website wurden Abonnements für monatlich fünf bis fünfzehn Dollar angeboten, bei größeren Abnahmemengen mit Rabatten zwischen fünf und fünfzehn Prozent.
Was Residential Proxies mit IoT zu tun haben
Residential Proxies als solche sind nicht grundsätzlich illegal. Sie finden legitime Anwendung etwa beim Abruf geo-gesperrter Inhalte oder bei regionalen Preisvergleichen. Das Problem liegt im Unterbau: Ein erheblicher Teil der genutzten Geräte wurde ohne Wissen der Eigentümer infiziert und in das Netz eingebunden. Betroffen waren laut NCSC und NL Times Computer, Router, Tablets, Smartphones sowie internetverbundene Geräte wie Smart-Security-Kameras.
Für Angreifer sind schlecht gesicherte IoT-Geräte besonders attraktiv. Sie laufen häufig mit veralteter Firmware, werkseitig gesetzten Standardpasswörtern und ohne aktive Überwachung. „Geräte können Teil eines Botnetzes werden, wenn sie für böswillige Akteure zugänglich sind“, schreibt das NCSC in seiner Meldung. Nach dem Zugang werde Schadsoftware installiert, die eine Fernsteuerung ermöglicht – oft, ohne dass die Gerätebesitzer etwas davon bemerken.
Asocks ist dabei kein unbekannter Name in der Security-Community. Sicherheitsforscher des auf Bot-Abwehr spezialisierten Unternehmens HUMAN hatten den Dienst bereits Anfang 2024 in Zusammenhang mit einer Kampagne namens PROXYLIB gebracht: Dabei wurden 28 kostenlose Android-Apps im Google Play Store identifiziert, die über ein eingebettetes SDK des Dienstleisters LumiApps heimlich Proxyware von Asocks installierten und die Geräte so unbemerkt als Proxy-Knoten in das Netz einbanden. Google entfernte die Apps daraufhin und aktualisierte Google Play Protect.
Die Razzia und ihre Grenzen
Was die Aktion vom 28. Mai besonders bemerkenswert macht, ist nicht nur ihre Größenordnung, sondern auch das, was sie nicht erreicht hat. Berichten zufolge blieb die Asocks-Website nach der Beschlagnahme der Server weiterhin erreichbar. Und die 17 Millionen infizierten Geräte weltweit sind nach wie vor kompromittiert. Die Infrastruktur wurde getroffen, der Dienst selbst aber nicht endgültig beseitigt.
Das ist kein Vorwurf an die Ermittler, sondern ein strukturelles Problem: Botnetz-Takedowns räumen Serverräume leer, aber nicht die Geräte in den Haushalten und Serverracks ihrer Opfer. Solange infizierte Router und Kameras weiterlaufen, bleibt das Potenzial für eine schnelle Reinfrastrukturierung bestehen.
Was IoT-Betreiber jetzt tun sollten
Das NCSC hat konkrete Schutzmaßnahmen veröffentlicht: Betriebssysteme und Firmware aktuell halten, Edge-Geräte, also alle mit dem Internet verbundenen Endpunkte am Netzwerkrand wie Router oder Kameras, aktiv im Blick behalten, starke und individuelle Passwörter vergeben, Zwei-Faktor-Authentifizierung aktivieren, Apps ausschließlich aus vertrauenswürdigen Quellen installieren, Standardpasswörter sofort nach Inbetriebnahme ändern und WLAN-Netze mit WPA2 oder WPA3 absichern.
Für professionelle IoT-Deployments bedeutet das: Geräte-Lifecycle-Management und Netzwerksegmentierung sind keine optionalen Extras. Wer Dutzende oder Hunderte von Feldgeräten betreibt, ohne deren Patch-Status zu kennen, riskiert, unfreiwillig Teil der nächsten Angriffs-Infrastruktur zu werden. Der Asocks-Fall ist kein Einzelfall. Er reiht sich ein in eine Serie von Botnetz-Zerschlagungen und zeigt, dass das Problem strukturell ist: Solange IoT-Geräte als „Set and forget“-Hardware behandelt werden, bleibt das Angebot an kompromittierbaren Endpunkten für Betreiber solcher Dienste komfortabel groß.
Benutzer-Bewertung
( Stimmen)
