Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) hat Ende 2018 eine Warnung über eine gefährliche Schadsoftware herausgebracht.[1] Anlass zur Warnung hatte das Vorliegen häufiger Meldungen von IT-Sicherheitsvorfällen gegeben, die mit der – „Emotet“ getauften – Schadsoftware in Verbindung standen.[2] Unter anderem mit Vorsicht beim Öffnen von E-Mails, insbesondere deren Anhängen, sowie dem Öffnen von beigefügten Links, kann der Attacke jedoch begegnet werden.
Was ist der Emotet-Virus?
Emotet ist kein neuer Virus, er wird seit Jahren bereits im Internet verbreitet.[3] Hinter dem Namen steht eine Gruppierung von Cyber-Kriminellen, die mit automatisierten APT-Methoden arbeiten.[4] APT steht für Advanced Persistend Threat. Es handelt sich um einen Netzwerk-Angriff, bei dem sich eine unautorisierte Person unbefugten Zugang auf ein fremdes Netzwerk verschafft. Hierbei versucht die Person so lange wie möglich unentdeckt zu bleiben und während dieses Zeitraums in erster Linie Daten zu stehlen.[5] Die Emotet Software nutzt das sog. „Outlook-Harvesting“, also das Ausspähen des Microsoft E-Mail Programms Outlook.[6] Die Schadsoftware liest so die Kontaktbeziehungen und E‑Mail Inhalte von Postfächern infizierter Systeme aus. Anhand dieser Informationen kann sich der Virus anschließend weiterverbreiten, mit dem „Vorteil“, dass der Empfänger die fingierten E-Mails von Absendern erhält, mit denen er erst kürzlich in Kontakt stand.[7] Die E-Mails wirken dann auf den Betroffenen, als würden sie von Freunden, Geschäftspartnern oder gar dem eigenen Chef kommen.[8]
Einmal eingenistet, kann Emotet darüber hinaus weitere Schadsoftware nachladen, die dann etwa in der Lage ist, auf dem System hinterlegte Zugangsdaten auszulesen.[9] Unter diesen Schadprogrammen befand sich auch der Banktrojaner „Trickbot“, welcher Passwörter und Bankdaten abgreifen und letztlich sogar den Ausfall ganzer Unternehmensnetzwerke herbeiführen konnte.[10]
Emotets Gefährlichkeit entspringt insbesondere zweier Gesichtspunkte. Zunächst kann die Verwendung von Absendern aus den E-Mail-Kontaktlisten der Betroffenen ein gesenktes Maß an Vorsicht bewirken. Darüber hinaus führt das ständige Modifizieren der Schadsoftware zu einer erschwerten Auffindbarkeit durch gängige Virenschutzprogramme.[11]
Wer ist betroffen?
Zunächst sind überwiegend Angriffe auf Unternehmen mit Einschränkungen auch von kritischen Geschäftsprozessen gemeldet worden.[12] Dabei soll es bereits zu Schäden in Millionenhöhe gekommen sein. Allerdings scheinen zunehmend auch Privatpersonen als Zielgruppe von Angriffen mit dem Trojaner in den Vordergrund zu geraten.[13] Emotet bedroht daher sowohl Unternehmen als auch Behörden und Privatanwender.[14] Das BSI hat jedoch Unternehmen die kritische Infrastrukturen Betreiben, sowie staatliche Einrichtung von Bund und Ländern besonders gewarnt.[15]
Welchen Schutz gibt es?
Unternehmen und Organisationen sind dazu aufgerufen, ihre IT-Infrastruktur und insbesondere die kritischen Geschäftsprozesse gesondert vor Emotet zu schützen. Zumindest eine erhebliche Risikominderung sei wohl möglich.[16]
Sowohl im privaten Rahmen aber auch im professionellen Umfeld, sollten E-Mails mit Dateianhang oder Links zu Websites nicht ungeprüft geöffnet werden.[17] Hilfreich ist hierbei zunächst beim Absender der E-Mail nachzufragen, ob dieser tatsächlich Versender des angehängten Links oder Anhangs ist.
Die Infizierung mittels der Schadsoftware benötigt oft das Ausführen sogenannter Makros. Diese Skripten ermöglichen den automatisierten Ablauf von Arbeitsschritten, ohne dass es weiterer Anweisungen bedarf.[18] Diese sind zwar überwiegend bei Microsoft Outlook nicht eingeschaltet, lassen sich aber mit einfachen Schritten aktivieren. Wenn eine angehängte Dateien daher zum Aktivieren der Makros auffordert, ist besondere Vorsicht geboten.[19]
Grundsätzlich ist zu empfehlen, dass die benutzen Betriebssysteme stets auf dem aktuellsten Sicherheitsstand sind. Dies schließt das Durchführen regelmäßiger Updates und eine kontinuierliche Installation von Sicherheitspatches ein. Wenn auch Emotet regulären Anti-Viren Programmen gewisse Schwierigkeiten bereitet, so sind diese für einen wirksamen Rundumschutz ebenfalls nicht wegzudenken.[20]
Heise empfiehlt Firmen ihre Mitarbeiter zu schulen und ausdrücklich zu einem vorsichtigen Umgang mit E-Mails anzuweisen.[21] Hilfreich kann auch sein, für das Surfen und E-Mail-schreiben ein gesondertes Benutzerkonto anzulegen.[22]
Gänzlich ausschließen können die Sicherheitsmaßnahmen einen Emotet-Befall leider nicht. Gerade deshalb sollten sensible und wichtige Daten mittels regelmäßiger Backups gesondert gesichert werden.[23] Bei einem Befall sollten dann sämtliche infizierten Rechner neu aufgesetzt werden, um auch diejenigen Schadprogramme zu eliminieren, welche Emotet möglicherweise bereits nachgeladen hat.[24] Da das Ziel des Emotet-Angriffs insbesondere auch das Abgreifen von Zugangsdaten und Passwörtern ist, sollten diese allesamt nach einem Befall geändert werden.[25] Da nicht auszuschließen ist, dass die Schadsoftware sich bereits die Mailkontakte des Betroffenen zu Nutze gemacht hat, wird nahegelegt, das nähere Umfeld bei einem Angriff entsprechend zu informieren.[26] Insbesondere Unternehmen ist zusätzlich angeraten, mögliche datenschutzrechtliche Meldepflichten nach Art. 33, 34 DS-GVO zu berücksichtigen, wenn es zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist. Eine Verletzung ist bereits bei unberechtigter Kenntnisnahme der personenbezogenen Daten durch Dritte gegeben. Aus Gründen der Rechtssicherheit ist wohl schon ausreichend, wenn die Möglichkeit der Kenntnisnahme durch Dritte besteht.[27] Da Emotet speziell über die Ausspähung von Kontakt- und E-Mail-Daten der Betroffenen funktioniert, wird von der Möglichkeit einer unbefugten Kenntnisnahme durch Dritte bei Infizierung mit der Schadsoftware auszugehen sein.
[1] BSI, Gefährliche Schadsoftware – BSI warnt vor Emotet und empfiehlt Schutzmaßnahmen, 05.12.2018, abgerufen am 30.01.2019.
[2] BSI, Gefährliche Schadsoftware – BSI warnt vor Emotet und empfiehlt Schutzmaßnahmen, 05.12.2018, abgerufen am 30.01.2019.
[3] Heeg, Emotet wütet so schlimm wie nie, FAZ.net, 05.12.2018, abgerufen 12.12.2018.
[4] BSI, Allianz für Sicherheit, zuletzt abgerufen am 12.12.2018.
[5] Siehe auch für eine detailliertere Beschreibung: Search Security, Advanced Persistent Threat (APT), abgerufen am 12.12.2018.
[6] Medicus, Emotet: So schützen Sie sich vor dem gefährlichen Trojaner, PC Magazin, 07.12.2018,zuletzt abgerufen am 12.12.2018.
[7] BSI, Allianz für Sicherheit, zuletzt abgerufen am 12.12.2018.
[8] Schirrmacher, Dynamit-Phising mit Emotet: So schützen Sie sich vor der Trojaner-Welle, Heise Online, 06.12.2018,zuletzt abgerufen am 12.12.2018.
[9] BSI, Allianz für Sicherheit, zuletzt abgerufen am 12.12.2018.
[10] Lindner, Banking-Trojaner Trickbot ist noch gefährlicher geworden, COM-Magazin, 13.11.2018,zuletzt abgerufen am 12.12.2018; BSI, Allianz für Sicherheit, zuletzt abgerufen am 12.12.2018.
[11] BSI, Allianz für Sicherheit, zuletzt abgerufen am 12.12.2018.
[12] BSI, Gefährliche Schadsoftware – BSI warnt vor Emotet und empfiehlt Schutzmaßnahmen, 05.12.2018, abgerufen am 30.01.2019.
[13] Schirrmacher, Aktuelle Trojaner-Welle: Emotet lauert in gefälschten Rechnungsmails, Heise Online, 29.01.2019, zuletzt abgerufen am 30.01.2019; derzeit wird der Trojaner vor allem über falsche Amazon-Mails versendet, siehe Mansholt, Fieser Trojaner verbreitet sich über Amazon-Mails: Darum ist er so gefährlich, Stern.de, 24.01.2019,zuletzt abgerufen am 30.01.2019.
[14] BSI, Gefährliche Schadsoftware – BSI warnt vor Emotet und empfiehlt Schutzmaßnahmen, 05.12.2018, abgerufen am 30.01.2019.
[15] BSI, Gefährliche Schadsoftware – BSI warnt vor Emotet und empfiehlt Schutzmaßnahmen, 05.12.2018, abgerufen am 30.01.2019.
[16] BSI, Gefährliche Schadsoftware – BSI warnt vor Emotet und empfiehlt Schutzmaßnahmen, 05.12.2018, abgerufen am 30.01.2019.
[17] Schirrmacher, Dynamit-Phising mit Emotet: So schützen Sie sich vor der Trojaner-Welle, Heise Online, 06.12.2018,zuletzt abgerufen am 12.12.2018.
[18] Medicus, Emotet: So schützen Sie sich vor dem gefährlichen Trojaner, PC Magazin, 07.12.2018,zuletzt abgerufen am 12.12.2018.
[19] Schirrmacher, Dynamit-Phising mit Emotet: So schützen Sie sich vor der Trojaner-Welle, Heise Online, 06.12.2018,zuletzt abgerufen am 12.12.2018.
[20] Schirrmacher, Dynamit-Phising mit Emotet: So schützen Sie sich vor der Trojaner-Welle, Heise Online, 06.12.2018,zuletzt abgerufen am 12.12.2018.
[21] Schirrmacher, Dynamit-Phising mit Emotet: So schützen Sie sich vor der Trojaner-Welle, Heise Online, 06.12.2018,zuletzt abgerufen am 12.12.2018.
[22] BSI, Aktuelle Information zur Schadsoftware Emotet, zuletzt abgerufen am 12.12.2018..
[23] Vgl. für die Vorgehensweise Himmelein/Labs/Vahldiek, Backup statt Lösegeld, c’t 11/2016, 102, abzurufen unter zuletzt abgerufen am 13.12.2018.
[24] Schirrmacher, Dynamit-Phising mit Emotet: So schützen Sie sich vor der Trojaner-Welle, Heise Online, 06.12.2018,zuletzt abgerufen am 12.12.2018.
[25] Schirrmacher, Dynamit-Phising mit Emotet: So schützen Sie sich vor der Trojaner-Welle, Heise Online, 06.12.2018,zuletzt abgerufen am 12.12.2018.
[26] BSI, Aktuelle Information zur Schadsoftware Emotet, zuletzt abgerufen am 12.12.2018.
[27] BSI, Aktuelle Information zur Schadsoftware Emotet, zuletzt abgerufen am 12.12.2018.