HomeCyber-SecurityEnorme „Ansteckungsgefahr“: Emotet

Enorme „Ansteckungsgefahr“: Emotet

(Foto: style-photography/istock.com)

Während derzeit die Corona-Krise Deutschland fest im Griff hat, schauen wir auf einen ganz anderen, nicht minder dramatischen Infektionsherd: Emotet. Denn auch wenn – zumindest der erste – Schock der Malware-Attacken 2019 verdaut ist, warnen Experten vor einem nach wie vor hohen Risiko der Ansteckung. Neben vielen anderen Unternehmen sind auch Stadtwerke vor dieser Gefahr nicht gefeit. Anders als bei COVID-19 kommt „Social Distancing“ als Gegenmaßnahme nicht in Frage. Doch ein Notfall-Plan kann im Ernstfall Linderung bedeuten!

Das Cyber-Jahr 2019 war geprägt von fortgeschrittenen Malware-Attacken. An erster Stelle standen dabei Emotet und seine perfiden Varianten: Der Trojaner kann weitere Komponenten nachladen und im Verborgenen wirken. Damit wird er aller Voraussicht nach auch 2020 sein Unwesen treiben. 

Dramatische Emotet-Bilanz 2019

Die Emotet-Bilanz für 2019 fällt drastisch aus und liest sich wie das Best-of erfolgreicher Cyber-Attacken: massive Datendiebstähle, komplette Datenverluste nach Befall der Backup-Systeme, Erpressung, Unterbrechung der Betriebstätigkeit sowie Vermögensschäden nach erbeuteten Zugangsdaten – die Zahl der Schäden ist erheblich und deckt fast die gesamte Bandbreite möglicher Negativfolgen ab. Einige Einrichtungen, die 2019 infiziert wurden, haben noch immer mit den Nachwirkungen der Attacke zu kämpfen, weil Daten aus Papier re-digitalisiert und Systeme von Grund auf neu aufgebaut werden müssen. Zu den öffentlich bekannten geschädigten Behörden zählen unter anderem das Kammergericht Berlin, die Justus-Liebig-Universität Gießen, das städtische Klinikum in Fürth und die Städte Frankfurt sowie Bad Homburg – sie alle wurden Opfer der Schadsoftware. Da stellt sich die Frage, ob gegen Emotet überhaupt ein Mittel gewachsen ist.

EmoCheck: Infektionen aufspüren

Als ein nützliches Tool für Windows-Systeme entpuppt sich EmoCheck. Es wurde Anfang Februar 2020 von der japanischen IT-Sicherheitsbehörde Japan-CERT mit dem Ziel herausgegeben, eine Infektion bereits in der Frühphase zu entdecken. Das ist wichtig, denn in dieser Phase wird der zielgerichtete Emotet-Angriff üblicherweise vorbereitet, bevor sich die Infektion dann ohne sichtbare Beeinträchtigung durch die gesamte IT-Infrastruktur „frisst“. Gerade diese verzögerte Wirkung machte die Malware zum Schreckens-Trojaner 2019. Und genau hier setzt EmoCheck an: Das Tool scannt den Rechner nach typischen Spuren, die Emotet bereits in jener Frühphase hinterlässt und unterstützt die Administration bei der Malware-Beseitigung. Gelingt die Bekämpfung innerhalb der ersten Tage nach der Infektion, kann der Schaden erheblich begrenzt werden, wenn noch keine Daten verschlüsselt wurden und die Systeme nicht ausgefallen sind. Kurzum: EmoCheck ist geeignet, einem Verdacht direkt nachzugehen, beispielsweise nachdem ein Mitarbeiter einen verdächtigen Mailanhang geöffnet hat. Das Tool sollte jedoch nur von erfahrenen IT-Kräften eingesetzt und direkt von der Projektseite auf GitHub bezogen werden.  

Vorsicht vor neuen Formen der Verbreitung!

Es hat nichts mit Schwarzmalerei zu tun, wenn vor weiteren Emotet-Infektionen gewarnt wird. Die Malware ist einfach zu erfolgreich, sie wird entsprechend intensiv weiterentwickelt und mutmaßlich von verschiedenen kriminellen Gruppen in aktualisierter Form immer wieder neu in Umlauf gebracht. Meist kommen die gefährlichen E-Mails vorgeblich von Geschäftspartnern und Kunden, da Emotet sowohl die Adressliste als auch E-Mail-Inhalte aus den Postfächern seiner Opfer ausliest und diese anschreibt. Wird dabei noch Bezug auf aktuelle Vorgänge genommen, ist das Misstrauen gegenüber potentiell gefährlichen Anhängen nicht mehr gegeben – die nächste Infektion kann sich ungehindert ausbreiten. Antivirus-Werkzeuge und E-Mailfilter helfen übrigens nur bedingt, zu divers sind die immer neuen Formen der Verbreitung.

Oberste Regel: Geschäftspartner bei Infektion stets warnen!

Ohne eine entsprechend hohe User-Awareness ist der Kampf gegen die Malware nahezu aussichtslos. Viele betroffene Unternehmen leiden dann lieber „still“ – aus Scham oder Angst vor negativen Konsequenzen werden Malware-Infektionen verschwiegen. Das allerdings ist falsche Bescheidenheit mit fatalen Folgen. Besser: Nach einer Infektion verantwortungsbewusst handeln! Das impliziert, dass alle Kommunikationspartner vorsorglich gewarnt werden und sie so die Chance haben, rechtzeitig zu reagieren. Wer seine Kommunikationspartner hingegen im Unklaren lässt, handelt grob fahrlässig und begünstigt eine Verbreitung der Malware. Ganz abgesehen von dem Risiko, eine bisher gute geschäftliche Beziehung nachhaltig zu zerstören. Das Verschweigen einer Tatsache könnte zudem zu Haftungsansprüchen führen.

Sollten Sie selbst eine Emotet-Warnung erhalten, freuen Sie sich, dass Sie so zuverlässige Geschäftspartner haben und konzentrieren Sie sich auf die nächsten Schritte. Der Einsatz des EmoCheck-Tools beispielsweise könnte dabei helfen, Klarheit über die eigene Situation zu gewinnen.

Notfallpläne auch für Malware-Attacken vorsehen!

Eine erfreuliche Entwicklung hinsichtlich der gesteigerten Wahrnehmung von Cyber-Gefahren stellt das verstärkte Bemühen um IT-Notfallpläne im deutschen Mittelstand dar. Die Zeiten, in denen viele IT-Abteilungen ganz ohne Notfallpläne arbeiteten, sind glücklicherweise vorbei: Im Falle eines Incidents unterstützen sie dabei, Entscheidungsfähig zu bleiben, Daten und Systeme rasch wiederherzustellen und einen Notbetrieb ohne Unterbrechung der Geschäftstätigkeit aufrecht zu erhalten. 

Wichtig: Es ist sinnvoll, Notfallpläne jährlich auf den Prüfstand zu stellen und auch Erfahrungen mit Malware in die Aktualisierung einfließen zu lassen. Mögliche Kontrollfragen dabei sind: 

  • Wissen Ihre Mitarbeiter, was sie tun müssen, wenn ein Malware-Verdacht aufkommt? 
  • Sind Ansprechpartner und Prozeduren bekannt, auch wenn ein Know-how-Träger nicht erreichbar ist? 
  • Können Sie sicher sein, dass Backups nicht beeinträchtigt wurden, auch wenn die Malware PCs der Administratoren infizierte? 

Der letzte Punkt macht klar: Nicht nur die Notfallpläne selbst, auch vorbeugende Maßnahmen wie Backups und Restore-Tests sollten stets up to date sein. 


Der Beitrag entstand ohne finanzielle Gegenleistung in Zusammenarbeit mit Experten von Erichsen.