Botnetze ermöglichen es Cyberkriminellen, lähmende Distributed Denial Denial of Service (DDoS)-Angriffe durchzuführen, Verschlüsselungstrojaner bzw. Ransomware zu verbreiten und eine Vielzahl anderer Angriffe auszuführen. Um den Schaden durch Botnetz-Angriffe zu begrenzen, beobachten und erfassen Verteidiger (IT-Sicherheitsexperten) den Botnetz-Datenverkehr in einem Prozess namens Botnetz-Tracking. Die Verteidiger nutzen die gesammelten Informationen, um das Botnetz selbst auszuschalten oder um Angriffe abzuwehren, die von dem Botnetz ausgehen. Botnetz-Tracking stützt sich in der Regel auf IP-Adressen als Identifikatoren infizierter Geräte. Dieser Rückgriff auf IP-Adressen ist problematisch, da Internet Service-Provider IP-Adressen häufig verschiedenen Benutzern neu zuweisen. Außerdem können sich aufgrund der Knappheit an IP-Adressen mehrere Geräte eine einzige öffentliche IP-Adresse teilen. Durch den Mangel an eindeutigen und langfristigen Identifikatoren ist eine solche Messung von Botnetzen mit Ungenauigkeiten behaftet. Darüber hinaus gelten IP-Adressen gemeinhin als personenbezogene Informationen, was zu Bedenken hinsichtlich der Rechtmäßigkeit der Erfassung und Verarbeitung von Botnetz-Tracking-Daten führt. In dieser Arbeit stellen wir vier Beiträge vor, die es ermöglichen, genauere Botnetz-Messungen als solche auf der Grundlage von IP-Adressen durchzuführen und das Verständnis über die Qualität und die Grenzen dieser Messungen zu verbessern. Zunächst stellen wir einen neuen Ansatz zur Einschätzung der Größe eines Botnetzes vor, genannt Considering Address Reassignment Duration when Counting (CARDCount). Existierende Ansätze basieren auf der Zählung von IP-Adressen, was zu ungenauen Einschätzungen der Botnetz-Größe führt, da Bots im Laufe der Zeit mehrere IP-Adressen zugewiesen werden. Die Idee von CARDCount ist es, statistische Verteilungen der IP-Adressenzuweisungen zu nutzen, um Mehrfachzuweisungen von IP-Adressen zu berücksichtigen. Wir zeigen in mehreren realen Evaluierungen, dass CARDCount wesentlich genauere Einschätzungen ermöglicht als der aktuelle Stand der Technik. Zweitens beschreiben wir eine Messstudie, in der wir die (Un-)Ähnlichkeiten moderner IoT-Botnetze analysieren. Dazu haben wir ein neuartiges System implementiert, um mehrere Botnetze einheitlich und gemeinsam zu messen. In einer achtmonatigen Messstudie fanden wir heraus, dass moderne IoT-Botnetze in ihren Eigenschaften stark voneinander abweichen. Anhand der IP-Adressen gruppierten wir die Bots auf der Grundlage ihres Autonomen Systems und Landes, um mögliche Gründe für die Abweichungen zu ermitteln. Durch diese Gruppierung konnten wir den Einfluss demografischer Merkmale auf die Lebensdauer, das Churn-Verhalten und die Erreichbarkeit eines Bots ermitteln. Diese Ergebnisse zeigen, dass sich moderne IoT-Botnetze deutlich von dem einst kanonischen IoT-Botnet Mirai weiter entwickelt haben. Darüber hinaus verdeutlichen die Unterschiede in den demografischen Merkmalen, dass nicht alle Bots den gleichen Nutzen bieten, z.B. die Verfügbarkeit zur Durchführung von DDoS-Angriffen. Als Resultat zeigen wir auf, dass neben der neben der Größe eines Botnetzes, welche normalerweise für die Einschätzung der Gefahr betrachtet wird, auch die demografischen Merkmale und die daraus resultierenden Auswirkungen auf die Lebensdauer, Verfügbarkeit und Erreichbarkeit von Bots berücksichtigt werden sollten. Drittens haben wir Simulationen durchgeführt, um die jüngste Entwicklung von Anti-Tracking-Mechanismen und ihre Auswirkungen auf Botnetz-Tracking zu untersuchen. Wir gingen von einem WorstCase-Szenario aus, bei dem die Botmaster jede Abweichung vom regulären Bot-Verhalten erkennen konnten. Für unsere Evaluierung haben wir ein speziell entwickeltes Botnetz-Simulation-Framework entwickelt, mit dem wir Tausende von möglichen Szenarien und Konfigurationen simulieren konnten. Als Ergebnis zeigt sich, dass die Anti-Tracking-Mechanismen eine hundertfache Erhöhung der verfügbaren IP-Adressen erfordern kann, um ein Botnetz erfolgreich zu verfolgen. Durch die Entwicklung verteilter und kollaborativer Verfolgungsmechanismen könnte der Ressourcenbedarf der Verteidiger jedoch verringert werden. Viertens befassen wir uns mit der interdisziplinären Frage der Rechtmäßigkeit des Botnetz-Trackings in der Jurisdiktion der Datenschutzgrundverordnung (DSGVO). Wir haben festgestellt, dass die DSGVO für das Botnetz-Tracking Anwendung findet. Darüber hinaus haben wir rechtliche Gründe für das Botnetz-Tracking durch die Industrie, Internetdienstleister und die Forschung im öffentlichen Interesse ermittelt. Es zeigte sich, dass die Forschung im öffentlichen Interesse am flexibelsten ist, während Internetdienstleister hinsichtlich der Techniken zur Durchführung des Botnetz-Trackings und der dabei gesammelten Daten am meisten eingeschränkt sind. Darüber hinaus haben wir praktische Richtlinien für die drei untersuchten Gruppen erstellt, um die möglichen Auswirkungen auf die Privatsphäre des Besitzers eines infizierten Geräts zu minimieren. Insgesamt leistet diese Arbeit mehrere Beiträge, die unser Verständnis von Botnetz-Messungen auf der Grundlage von IP-Adressen verbessern und neue Methoden zur Durchführung genauerer Messungenvorstellen. Während wir uns in Teilen unserer Arbeit auf spezifische Bedrohungen (Hajime-, Mirai- und Mozi-Botnetze) konzentrierten, sind unsere Beiträge so allgemein wie möglich gehalten, damit sie auch auf zukünftige Botnetze anwendbar sind. Letztlich verschaffen die in dieser Arbeit vorgestellten Tools und Erkenntnisse den Verteidigern jetzt und in Zukunft einen Vorteil im Kampf gegen Botnetze.