Der Begriff Bot ist von dem englischen Wort robot (dt. Roboter) abgeleitet und kennzeichnet im herkömmlichen Sinn ein Computerprogramm, das sich wiederholende Aufgaben automatisch abarbeitet, ohne mit einem menschlichen Benutzer kommunizieren zu müssen. So nutzen Internetsuchmaschinen Bots beispielsweise, um die Inhalte von Websites zu crawlen, also zu überprüfen und auszuwerten, damit Veränderungen bzw. neue Seiten anschließend in den Suchindex aufgenommen werden können.
Diesen „gutartigen“ Bots stehen solche gegenüber, die in fremde Computersysteme geschleust werden, um die Kontrolle über bestimmte Prozesse oder das gesamte Gerät zu übernehmen oder vertrauliche Daten wie Kreditkartenangaben, Kontodaten oder andere persönliche Informationen zu stehlen. Ferner können diese schädlichen Bots automatisch weitere Schadsoftware – wie zum Beispiel Ransomware – installieren, die dem Nutzer den Zugang auf seine Dateien verwehrt.
Cyberkriminelle steuern die bösartigen Anwendungen, die bis zur Inanspruchnahme im Verborgenen bleiben, aus der Ferne – während die Betroffenen häufig gar nicht registrieren, dass Ihre Systeme bereits infiziert worden sind. Die fremdgesteuerten Computer werden aus diesem Grund auch selbst als Bots oder alternativ auch als „Zombies“ bezeichnet. Unter anderem werden die infiltrierten Computersysteme für folgende Aktionen zweckentfremdet:
- Versand von Spam, Phishing-Mails oder Malware
- Klickbetrug (zum Beispiel automatisches Klicken auf Werbeanzeigen, um den Preis in die Höhe zu treiben)
- Angriffe auf fremde Computersysteme
Für Angriffe auf Computersysteme nutzen Kriminelle für gewöhnlich aber nicht einen einzelnen Zombie-Rechner, sondern einen ganzen Verbund von Geräten, den sie zuvor mithilfe ihrer schädlichen Software unter Kontrolle gebracht haben. In diesem Fall spricht man von einem Bot-Netzwerk oder auch Botnet. Die infizierten Computer führen ohne Mitwissen ihres Besitzers als Teil dieser Netze gemeinsam sogenannte DDos-Angriffe (Distributed Denial of Service) aus, die das Ziel verfolgen, die attackierte Instanz (Website, Anwendung, Server, System) funktionsunfähig zu machen. Besitzer der zweckentfremdeten Geräte erhalten in der Regel nur sehr unspezifische Hinweise auf die Fremdsteuerung: Anwendungen starten nur sehr langsam, rätselhafte Meldungen erscheinen oder der Rechner stürzt ab.