Immer haeufiger bringt der Kauf gebrauchter Laptops, Smartphones oder Smart-Home-Geraete einen gefaehrlichen „Mehrwert“ mit sich: vorinstallierte Schadsoftware, die das Geraet unbemerkt in einen Knoten eines Botnetzes verwandelt und fuer DDoS-Angriffe missbraucht. Betroffen sind nicht nur klassische Rechner und Telefone, sondern auch Router, IP-Kameras, Android-TV-Boxen und vernetzte Haushaltsgeraete.
Gebrauchte Geraete als heimliche Infrastruktur fuer DDoS-Botnetze
Sicherheitsanbieter beobachten, dass Kauefer gebrauchter Hardware zunehmend auffaellige Software und Malware-Funde melden. Der Anstieg haengt nicht nur mit mehr Angriffen zusammen, sondern auch damit, dass die Cybersicherheits-Hygiene im Massenmarkt besser wird: Immer mehr Nutzer installieren Antivirus-Loesungen und fuehren regelmaessige Scans durch.
Parallel wachsen die Anforderungen an moderne Botnetze. Fuer gross angelegte DDoS-Kampagnen benoetigen Betreiber hunderttausende kompromittierte Geraete. Jedes einzelne System generiert nur minimale Einnahmen, weshalb sich die Angriffe erst in grosser Skala rechnen. Das fuehrt dazu, dass Angreifer systematisch nach Masseninfektionspfaden suchen – darunter der Sekundaermarkt fuer Elektronik und verwundbare IoT-Geraete.
Infektionswege: Von manipulierten Firmwares bis zu Lieferketten-Angriffen
Oftmals manipulierte Firmware auf billiger oder gebrauchter Hardware
Ein diskutiertes Vorgehen besteht darin, dass Kriminelle billige Geraete in Grossposten ankaufen, die Original-Firmware durch eine modifizierte Version mit Backdoor ersetzen und die Technik anschliessend weiterverkaufen. In diesem Szenario verbindet sich das Geraet unmittelbar nach dem ersten Einschalten mit einem Command-&-Control-Server. Die Nutzer bemerken meist nichts, weil alle sichtbaren Funktionen wie gewohnt arbeiten, waehrend die Schadaktivitaet im Hintergrund laeuft.
Lieferketten-Angriffe auf die Firmware-Produktion
Noch gefaehrlicher und skalierbarer sind Manipulationen bereits waehrend der Herstellung. Bezieht ein Hersteller seine Firmware von Drittfirmen, kann dort ein boesartiges Modul eingeschleust werden. In der Folge gelangen insbesondere preisguenstige Android-Geraete bereits ab Werk in Botnetze – bevor der Endkunde die Verpackung ueberhaupt oeffnet. Aehnliche Supply-Chain-Angriffe sind aus der Softwarewelt seit Jahren bekannt und erfassen zunehmend die eingebettete Elektronik.
Ein Beispiel ist die entdeckte, modifizierte Variante der Malware Triada in der Firmware gefaelschter Android-Smartphones, die populaere Modelle imitieren. Berichten zufolge waren in einem kurzen Zeitraum im Maerz 2025 mehr als 2600 Nutzer aus verschiedenen Laendern betroffen, die Mehrheit davon in Russland. Ein weiterer Fall sind die Botnetze Kimwolf und Aisuru, die in Android-Streamingboxen nachgewiesen wurden und bis Dezember 2025 ueber rund 1,8 Millionen infizierte Geraete verfuegten.
Fuehrende Sicherheitsanbieter weisen allerdings darauf hin, dass gezielte Aufkaeufe „sauberer“ Hardware zur anschliessenden Botnetz-Infektion bislang eher die Ausnahme sind. Haeufiger manipulieren unserioese Haendler Geraete, um Bankingtrojaner oder Spionage-Apps zu installieren, die direkt auf Daten und Geld der Opfer zielen, statt die Geraete in Botnetze einzubinden.
Besonders verwundbare Kategorien: Router, Kameras und Smart-Home-Geraete
Neben gebrauchten Smartphones und PCs sind vor allem Netzwerk- und IoT-Geraete ein attraktives Ziel: Heimrouter, IP-Kameras, Media-Boxen, NAS-Systeme sowie vernetzte Haushaltsgeraete vom Kaffeeautomaten bis zum Saugroboter. Die Gruende sind bekannt: schwache Sicherheitsarchitektur, veraltete Bibliotheken, fehlende Sicherheitsupdates, werkseitig voreingestellte Standardpasswoerter und kein Zwang zur Passwortaenderung bei der Erstinbetriebnahme.
Besonders problematisch sind Geraete, fuer die der Hersteller keine Updates mehr bereitstellt. Diese laufen oft ueber Jahre mit bekannten, oeffentlich dokumentierten Schwachstellen dauerhaft im Heimnetz. Einmal kompromittiert, arbeiten sie meist unauffaellig weiter. Eigentümer bemerken oft weder Leistungseinbussen noch Fehlfunktionen, waehrend ihr Router oder Staubsaugerroboter aktiv an DDoS-Angriffen auf fremde Online-Dienste beteiligt ist.
Konkrete Schutzmassnahmen fuer gebrauchte Hardware und IoT
Sichere Inbetriebnahme von gebrauchten Laptops und Smartphones
Fachleute empfehlen, jedes gebrauchte Geraet grundsaetzlich als potenziell kompromittiert zu betrachten. Beim Kauf eines gebrauchten Notebooks oder PCs sollte der erste Schritt immer eine komplette Neuinstallation des Betriebssystems von offiziellen ISO-Images sein, inklusive Loeschung aller vorhandenen Partitionen.
Bei Smartphones ist mindestens ein Werksreset erforderlich, gefolgt von allen verfuegbaren Updates. Apps sollten ausschliesslich aus offiziellen Stores stammen. Vor dem Anschluss an das Heimnetz ist ein vollstaendiger Malware-Scan mit aktueller Signaturdatenbank sinnvoll. Wird Schadsoftware gefunden, ist ein komplettes Formatieren, das Einspielen der offiziellen Firmware und anschliessende Neuinstallation die sicherste Vorgehensweise.
Harte Konfiguration von Routern, Kameras und Smart-Home
Bei Routern, IP-Kameras und anderen IoT-Geraeten ist es entscheidend, Standard-Logins und -Passwoerter sofort zu aendern, nicht benoetigte Remote-Zugriffe und UPnP zu deaktivieren und regelmaessig Firmware-Updates zu pruefen und einzuspielen. Als Best Practice gilt die Netzwerksegmentierung: IoT-Geraete werden in ein separates, z.B. gaeste-WLAN verschoben, das von den eigentlichen Arbeitsgeraeten isoliert ist.
Extrem preiswerte No-Name-Elektronik ohne regelmaessige Firmware-Pflege stellt ein unverhaeltnismaessig hohes Risiko dar. In manchen Faellen ist es sinnvoll, solchen Geraeten gar keinen direkten Internetzugang zu erlauben oder sie ausschliesslich in einem streng isolierten Segment zu betreiben.
Wer gebrauchte Technik mit der gleichen Sorgfalt behandelt wie einen neu aufgesetzten Firmenserver, senkt sein Risiko deutlich. Ein einfaches Grundprinzip hilft: Jedes neue oder gebrauchte Geraet wird vor Anschluss ans Netz geprueft, aktualisiert und sicher konfiguriert. Je schneller sich diese Praxis bei Privatanwendern und kleinen Unternehmen etabliert, desto schwerer wird es Angreifern fallen, aus unserer Alltags-Elektronik grosse Botnetze fuer DDoS-Attacken aufzubauen.
