Wieder zuneh­mende Attacken durch Emotet

Emotet – eine oft ver­meidbare Bedrohung

Erst vor Kurzem hat der Tro­janer Emotet wieder im großen Stil zuge­schlagen: In der Medi­zi­ni­schen Hoch­schule Han­nover hat die Schad­software 170 Rechner infi­ziert, wie ein Sprecher am 26.09.2019 gegenüber der Han­no­ver­schen All­ge­meinen Zeitung bestä­tigte. Der Angriff sei unter Kon­trolle, der Erpres­ser­virus jedoch noch nicht beseitigt. Zuvor wurden bereits Anfang Sep­tember die EDV-Systeme der Stadt­ver­waltung von Neu­stadt am Rübenberg in Nie­der­sachsen ange­griffen, was eine not­wendige Aus­schaltung der Geräte und eine Berei­nigung der Systeme durch IT- Spe­zia­listen zur Folge hatte. Nach einer Aus­fallzeit von meh­reren Tagen blieb der Betrieb noch einige Zeit ein­ge­schränkt. Auch das Ber­liner Kam­mer­ge­richt wurde Ende Sep­tember Opfer von Emotet, auch zwei Wochen später ist noch kein regu­lärer Betrieb möglich.
Fakt ist, dass Emotet eine große Gefahr dar­stellt, der BSI bezeichnete sie im Dezember 2018 sogar als „weltweit gefähr­lichste Schad­software“  Doch was genau macht den Tro­janer so gefährlich und wie kann man sich davor schützen?

Wie wirkt Emotet und wie sollte man sich bei einem Angriff verhalten?
Hier wäre vor allem das Schlagwort „Outlook-Har­­ve­sting“ zu nennen, was das Ein­sehen von Kon­takt­daten und von E‑Mail Inhalten bereits infi­zierter Systeme beinhaltet. Dadurch kann Emotet Spam-Mails ver­senden, die kaum als solche zu erkennen sind, da der Emp­fänger mit dem ver­meint­lichen Absender kürzlich noch in Kontakt stand. Im Glauben mit einer ihr bekannten Person zu kom­mu­ni­zieren, öffnet der Emp­fänger den schäd­lichen Anhang oder klickt auf die in der E‑Mail ent­haltene URL und sorgt so für die Infi­zierung des Com­puters. Dar­aufhin lädt Emotet weitere Schad­software nach, wodurch die Angreifer Zugangs­daten aus­lesen oder sogar die kom­plette Kon­trolle über das System erlangen können. Für Unter­nehmen bzw. öffent­liche Ein­rich­tungen kann dies fatale Folge haben: Heut­zutage ist eine funk­tio­nie­rende IT fast überall essen­tiell für „business as usual“. Für die Frei­schaltung der Systeme fordert Emotet ein der finan­zi­ellen Situation der Opfer ent­spre­chendes Lösegeld, was jedoch nicht gezahlt werden sollte. Die Neu­auf­setzung der Systeme ist meist die einzige Mög­lichkeit, den Virus voll­ständig zu besei­tigen. Zusätzlich müssen unter allen Umständen die Mail­kon­takte über die Infektion infor­miert werden, da diese besonders gefährdet sind, selbst Opfer der Angreifer zu werden.
Eine ent­spre­chende Reaktion auf den Schaden ist also von ele­men­tarer Bedeutung, besser ist jedoch, es gar nicht erst dazu kommen zu lassen.

Wie kann man sich vor einem Angriff schützen?
Wie in vielen Bereichen kann auch hier das Risiko nicht gänzlich aus­ge­schlossen werden, es kann mit den ent­spre­chenden Maß­nahmen jedoch mini­miert werden. Hier nennt das BSI mehrere Schritte, um sich best­möglich vor Emotet oder auch anderen Angriffen zu schützen:
• Schnellst­mög­liche Aus­führung der Sicher­heits­up­dates für Betriebs­systeme und Anwendungsprogramme

• Einsatz und regel­mäßige Aktua­li­sierung einer Antiviren-Software
• Regel­mä­ßiges Erstellen von Backups
• Ver­wendung eines sepa­raten Nut­zer­kontos für das Schreiben von E‑Mails und das Surfen im Internet
• Öffnen von Anhängen nur mit Bedacht, bei Zweifeln Rück­ver­si­cherung beim Absender
Diese Maß­nahmen mögen trivial erscheinen, sie decken jedoch die Schwach­stellen ab, die der Virus aus­nutzen könnte.

Fazit
Wenn das BSI Emotet als „gefähr­lichste Schad­software der Welt“ bezeichnet, ist das also keine Panik­mache, sondern eine legitime Ein­schätzung. Die Schad­software kann das gesamte System unter­mi­nieren und damit ein ganzes Unter­nehmen bzw. eine ganze Insti­tution für unbe­stimmte Zeit außer Gefecht setzen. Glück­li­cher­weise kann man sich jedoch mit relativ ein­fachen Schritten vor einer Infektion schützen, die jedoch auch unbe­dingt umge­setzt werden sollten. Hierbei liegt auch die Ver­ant­wortung beim Unter­nehmen selbst, seine Mit­ar­beiter über die Gefahr und die sich daraus ablei­ten­denden Sicher­heits­maß­nahmen zu infor­mieren, um diese für die Pro­ble­matik zu sensibilisieren.