Schadsoftware Emotet – wie sich Betriebe jetzt schützen müssen

Ein Türöffner, ein geschickter Dieb und ein dritter Beteiligter, der besonders wichtige Dateien wegschließt. So lässt sich das Trio vereinfacht darstellen, das derzeit Unternehmen rund um den Globus attackiert. Wer seine Daten zurück möchte, muss zahlen – so fordern es zumindest die Erpresser, die hinter der Masche stecken. Handwerksbetriebe zählen ebenso zu den Opfern wie große Konzerne und Behörden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von einer der »gefährlichsten Bedrohungen durch Schadsoftware weltweit«.

Mindestens 52 Bitcoin-Transaktionen sollen die Hintermänner somit bereits erwirkt haben, vermutet die US-amerikanische IT-Sicherheitsfirma »Crowd Strike«. »Das bisher niedrigste Lösegeld lag bei 1,7, das höchste bei 99 Bitcoins«, schrieb das Unternehmen zu Jahresbeginn in einem Blogbeitrag. Nach derzeitigem Wissensstand sind insgesamt 705,80 Bitcoins geflossen, das entspricht nach aktuellem Kurs etwa 2,2 Mio. €.

Diesen E-Mail-Anhang auf keinen Fall öffnen

Die Täter knöpfen sich ihre Opfer geschickt vor. In einem ersten Schritt verschaffen sie sich Zugriff auf die Rechner, indem sie mit Trojanern bepackte E-Mails verschicken. Entsprechende Nachrichten landeten in den vergangenen Monaten massenhaft in den Posteingängen von kleinen wie großen Unternehmen. Der Aufbau ist dabei meist derselbe. Die Hacker verweisen in ihrer E-Mail auf eine angehängte Word-Datei, die oftmals als Rechnung oder Bewerbung getarnt ist. Öffnet der Empfänger die Datei, fordert ihn das Textverarbeitungsprogramm dazu auf, Makrofunktionen zu aktivieren. Wird dem zugestimmt, installiert sich der sogenannte Emotet-Virus auf dem Rechner. Besondere Vorsicht ist bei älteren Office-Versionen geboten. Bei diesen ist oftmals voreingestellt, dass sich Makros automatisch aktivieren. Ein Blick in die Einstellungen ist also ratsam.

Die Finte ist erfolgreich, und das nicht nur, weil die angehängte Schadsoftware von Antiviren-Programmen in vielen Fällen unerkannt bleibt. Die E-Mail ist in gutem Deutsch verfasst, der Inhalt wirkt oftmals plausibel. Zudem geben sich die Betrüger im Absender häufig als Personen aus, mit denen der Empfänger bereits Kontakt hatte, etwa mit Kunden oder Geschäftspartnern.

Hacker erpressen Lösegeld: Wie reagieren Opfer richtig?

Ist der Virus einmal eingefangen, setzt sich ein zweiter Schädling automatisch in Gang. In der Vergangenheit hat die Emotet-Schadsoftware meist »TrickBot« nachgeladen, einen Phishing-Trojaner, der es vor allem auf Kontozugangsdaten und andere Passwörter abgesehen hat. Jetzt, da die Kriminellen wissen, wie gut das Konto ihres Opfers gefüllt ist, schätzen sie, welche Summe sie fordern können. Um den Druck zu erhöhen, laden die Erpresser eine dritte Schadsoftware nach. Die Ransomware »Ryuk« verschlüsselt wichtige Daten und löscht alle auffindbaren Sicherungskopien. Anschließend werden die Unternehmen aufgefordert, Lösegeld zu bezahlen.

Das sollte aber niemand machen. Besser ist es, Strafanzeige bei der zuständigen Zentralen Ansprechstelle Cybercrime (ZAC) zu stellen. In einem von ihm geschilderten Fall, hatte sich ein kleiner Friseurbetrieb über eine Online-Bewerbung mit dem Emotet-Virus infiziert. Die Hacker legten den gesamten Rechner inklusive Kassensystem lahm, ehe sie ihr Opfer mit der Forderung kontaktierten. »In mehreren Fällen hatte dies große Produktionsausfälle zur Folge, da ganze Unternehmensnetzwerke aufgebaut werden mussten«, schildert auch das BSI auf seiner Website. Betriebe, deren IT-System infiziert wurde, finden dort außerdem eine Handlungsempfehlung für das weitere Vorgehen. So sollten betroffene Systeme etwa umgehend vom Netzwerk isoliert, Passwörter gewechselt und Geschäftspartner und Kunden über den Vorfall informiert werden.

So schützen sich Betriebe vor dem Emotet-Trojaner

Was aber tun, damit es gar nicht erst soweit kommt? Ganz wichtig ist, dass man die Mitarbeiter mit ins Boot holt. Denn eines ist klar: Am besten schützt man sich vor der aktuellen Spam-Kampagne, wenn man die Hacker gar nicht erst ins Haus lässt. Vorgesetzte sollten ihre Mitarbeiter sensibilisieren, E-Mails und Anhänge von unbekannten Absendern nicht zu öffnen. Dasselbe gilt für unerwartete Anhänge in den E-Mails vermeintlich bekannter Kontakte. Spätestens, wenn die Anwendung fragt, ob Makros ausgeführt werden dürfen, sollten beim Empfänger sämtliche Alarmglocken läuten. Wer an dieser Stelle unvorsichtig ist und zustimmt, muss sein System unter Umständen komplett neu aufsetzen. »Bereinigungsversuche bleiben in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben«, warnt das BSI.

Zwar können Mitarbeiterschulungen helfen, sich den Emotet-Trojaner vom Leib zu halten, darüber hinaus sind solche Maßnahmen aber nicht ausreichend, um den eigenen Betrieb vor Cyberangriffen zu schützen. »IT-Sicherheit ist ein komplexes System und es ist Chefsache«, sagt Schmit. Schließlich hafte die Unternehmensleitung, wenn etwas schiefläuft. Handwerksbetriebe sollten daher personelle, organisatorische und technische Maßnahmen ergreifen. Der geschätzte Aufwand beträgt 50 bis 100 Stunden. Während dieser Zeit verkauft ein Maschinenbauer keinen einzigen Motor mehr. Das Problem ist nur: Macht er es nicht, verkauft er unter Umständen gar keine Motoren mehr.

Netzwerk für mehr Cyber-Sicherheit

Es sei ein gefährlicher Trugschluss, dass Handwerksbetriebe für Cyber-Kriminelle vermeintlich nicht von Interesse sind, warnt auch der Zentralverband des Deutschen Handwerks (ZDH). Mit der Allianz für Cyber-Sicherheit, der auch das BSI, das Bundesinnenministerium und verschiedene Wirtschaftsverbände angehören, bietet der ZDH ein Netzwerk, in dem Handwerksbetriebe kostenlose Hilfestellungen für die Analyse der Risiken und die Umsetzung geeigneter Schutzmaßnahmen erhalten. Durch den Austausch mit Experten und spezielle Workshops können IT-Verantwortliche in Handwerksbetrieben zudem Kompetenzen im Bereich Cyber-Sicherheit aufbauen.

Welche Maßnahmen Betriebe umsetzen müssen

Mit welchen Maßnahmen sich Betriebe vor Emotet und gefährlichen E-Mails im Allgemeinen schützen können, hat das BSI auf seiner Website zusammengefasst. Folgende Punkte sollten zwingend im Betrieb umgesetzt werden:

• Regelmäßige Information und Sensibilisierung von Nutzern für die Gefahren durch E-Mail-Anhänge oder Links - einschließlich des Hinweises, auch bei vermeintlich bekannten Absendern (siehe auch gefälschte Absenderadressen) Dateianhänge oder Links bzw. über diese heruntergeladenen Dateien im Zweifel nur nach Rücksprache mit dem Absender zu öffnen (insbesondere auch keine Office-Dokumente). Nutzer sollten Auffälligkeiten umgehend an den IT-Betrieb und den IT-Sicherheitsbeauftragten melden.
• Zeitnahe Installation der von den Herstellern bereitgestellten Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme (insbesondere Web-Browser, Browser-Plugins, E-Mail-Clients, Office-Anwendungen, PDF-Dokumentenbetrachter) – idealerweise automatisiert über eine zentrale Softwareverteilung.
• Einsatz zentral administrierter AV-Software. Regelmäßige Prüfung, ob Updates von AV-Signaturen erfolgreich auf allen Clients ausgerollt werden.
• Regelmäßige Durchführung von mehrstufigen Datensicherungen (Backups), insbesondere von Offline-Backups. Zu einem Backup gehört immer auch die Planung des Wiederanlaufs und ein Test der Rückspielung von Daten.
• Regelmäßiges manuelles Monitoring von Logdaten, idealerweise ergänzt um automatisiertes Monitoring mit Alarmierung bei schwerwiegenden Anomalien.
• Netzwerk-Segmentierung (Trennung von Client-/Server-/Domain-Controller-Netzen sowie Produktionsnetzen mit jeweils isolierter Administration) nach unterschiedlichen Vertrauenszonen, Anwendungsbereichen und/oder Regionen.
• Fehler interner Nutzer stellen die größte Gefahr dar. Alle Nutzerkonten dürfen daher nur über die minimal zur Aufgabenerfüllung notwendigen Berechtigungen verfügen.

Weitere Informationen zur IT-Sicherheit finden Sie unter www.allianz-fuer-cybersicherheit.de vom Bundesamt für Sicherheit in der Informationstechnik.