Kleine Betriebe als Zielscheibe Emotet ist zurück: Was hilft gegen die "gefährlichste Schadsoftware"?

Anfang des Jahres gelang den Behörden ein Schlag gegen das Emotet-Netzwerk, doch nun sind die Täter zurück und versenden wieder vermehrt Spam-Mails. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von der "weltweit gefährlichsten Schadsoftware". Im Fokus der Attacken: kleine und mittelständische Betriebe.

Emotet, TrickBot und Ryuk ist ein Trio, mit dem Hacker derzeit wieder gezielt Unternehmen attackieren. - © peterschreiber.media - stock.adobe.com

Ein Türöffner, ein geschickter Dieb und ein Dritter, der besonders wichtige Dateien wegschließt. So lässt sich das Trio vereinfacht darstellen, das in der Vergangenheit Unternehmen rund um den Globus attackiert hatte. Wer seine Daten zurück wollte, musste zahlen – so forderten es zumindest die Erpresser, die hinter der Masche steckten.

Allein in Deutschland hat der "Türöffner" Emotet Schäden von mindestens 14,5 Millionen Euro verursacht. Handwerksbetriebe zählten in der Vergangenheit ebenso zu den Opfern wie große Konzerne und Behörden. Im Dezember 2018 stufte das Bundesamt für Sicherheit in der Informationstechnik (BSI) Emotet als "weltweit gefährlichste Schadsoftware" ein.

Anfang des Jahres hatten deutsche Sicherheitsbehörden noch das Ende von Emotet verkündet. Die Infrastruktur hinter der Schadsoftware sei abgeschaltet, Emotet von infizierten Systemen entfernt worden. Doch nun berichtet das BSI: die Freude war nicht von Dauer.

"Es muss davon ausgegangen werden, dass es in Kürze erneut zu umfangreichen Emotet-Spam-Wellen kommen wird, wie sie 2019 und 2020 häufig beobachtet werden konnten", heißt es in einer aktuellen Sicherheitswarnung.

Diesen E-Mail-Anhang auf keinen Fall öffnen

Die Täter knöpfen sich ihre ihre Opfer geschickt vor. In einem ersten Schritt verschaffen sie sich Zugriff auf die Rechner, indem sie mit Trojanern bepackte E-Mails verschicken. Besonders kleine und mittelständische Unternehmen stehen im Fokus von Emotet.

Der Aufbau ist meist derselbe. Die Hacker verweisen in ihren E-Mails auf eine angehängte Datei, die als .docm, .xlsm oder passwortgeschütztes ZIP verschickt wird und beispielsweise als Rechnung oder Bewerbung getarnt ist. Die Verlockung ist groß, den Anhang zu öffnen: Der Inhalt der Nachricht ist personalisiert, stammt scheinbar von Kollegen oder Geschäftspartnern und zitiert mitunter sogar frühere E-Mails.

Öffnet der Empfänger die Datei, fordert ihn das Office-Programm dazu auf, Makrofunktionen zu aktivieren. Stimmt er dem zu, installiert sich der sogenannte Emotet-Virus auf dem Rechner. Besondere Vorsicht ist bei älteren Office-Versionen geboten. Bei diesen ist oftmals voreingestellt, dass sich Makros automatisch aktivieren. Ein Blick in die Einstellungen ist also ratsam.

Hacker erpressen Lösegeld: Wie reagieren Opfer richtig?

Ist der Virus einmal eingefangen, setzt sich ein zweiter Schädling automatisch in Gang. In der Vergangenheit hat die Emotet-Schadsoftware meist TrickBot nachgeladen, einen Phishing-Trojaner, der es vor allem auf Kontozugangsdaten und andere Passwörter abgesehen hat. Jetzt, da die Kriminellen wissen, wie gut das Konto ihres Opfers gefüllt ist, schätzen sie, welche Summe sie fordern können. Um den Druck zu erhöhen, laden die Erpresser eine dritte Schadsoftware nach. Die Ransomware Ryuk verschlüsselt wichtige Daten und löscht alle auffindbaren Sicherungskopien. Anschließend fordern die Täter die Unternehmen auf, Lösegeld zu bezahlen.

"Das sollte aber niemand machen", rät Werner Schmit, Dozent und IT-Security-Beauftragter am Bundestechnologiezentrum für Elektro- und Informationstechnik (BFE) in Oldenburg. Besser sei es, Strafanzeige bei der zuständigen Zentralen Ansprechstelle Cybercrime (ZAC) zu stellen. In einem von ihm geschilderten Fall, hatte sich ein kleiner Friseurbetrieb über eine Online-Bewerbung mit dem Emotet-Virus infiziert. Die Hacker legten den gesamten Rechner inklusive Kassensystem lahm, ehe sie ihr Opfer mit der Forderung kontaktierten.

"In mehreren dem BSI bekannten Fällen hatte dies große Produktionsausfälle zur Folge, da ganze Unternehmensnetzwerke aufgebaut werden mussten", warnt auch das BSI auf seiner Website. Betriebe mit infiziertem IT-System finden dort außerdem eine Handlungsempfehlung für das weitere Vorgehen. So sollten Betroffene ihre Systeme etwa umgehend vom Netzwerk isolieren, Passwörter wechseln und Geschäftspartner und Kunden über den Vorfall informieren.

So schützen sich Betriebe vor dem Emotet-Trojaner

Was aber tun, damit es gar nicht erst soweit kommt? "Ganz wichtig ist, dass man die Mitarbeiter mit ins Boot holt", rät Schmit. Denn eines ist klar: Am besten schützt man sich vor der aktuellen Spam-Kampagne, wenn man die Hacker gar nicht erst ins Haus lässt. Vorgesetzte sollten ihre Mitarbeiter sensibilisieren, E-Mails und Anhänge von unbekannten Absendern nicht zu öffnen. Dasselbe gilt für unerwartete Anhänge in den E-Mails vermeintlich bekannter Kontakte. Spätestens, wenn die Anwendung fragt, ob Makros ausgeführt werden dürfen, sollten beim Empfänger sämtliche Alarmglocken läuten. Wer an dieser Stelle unvorsichtig ist und zustimmt, muss sein System unter Umständen komplett neu aufsetzen. "Bereinigungsversuche bleiben in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben", warnt das BSI.

Zwar können Mitarbeiterschulungen helfen, sich den Emotet-Trojaner vom Leib zu halten, darüber hinaus sind solche Maßnahmen aber nicht ausreichend, um den eigenen Betrieb vor Cyberangriffen zu schützen. "IT-Sicherheit ist ein komplexes System und es ist Chefsache", sagt Schmit. Schließlich hafte die Unternehmensleitung, wenn etwas schiefläuft. Handwerksbetriebe sollten daher personelle, organisatorische und technische Maßnahmen ergreifen. "50 bis 100 Stunden sollte jeder Betrieb erst einmal einrechnen", schätzt Schmit den Aufwand. "Ich weiß auch, dass ein Bäcker kein einziges Brötchen mehr verkauft, wenn er in IT-Sicherheit investiert. Das Problem ist nur: Wenn er es nicht macht, verkauft er unter Umständen gar keine Brötchen mehr."

Netzwerk für mehr Cyber-Sicherheit

Es sei ein gefährlicher Trugschluss, dass Handwerksbetriebe für Cyber-Kriminelle vermeintlich nicht von Interesse sind, warnt auch der Zentralverband des Deutschen Handwerks (ZDH). Mit der Allianz für Cyber-Sicherheit, der auch das BSI, das Bundesinnenministerium und verschiedene Wirtschaftsverbände angehören, bietet der ZDH ein Netzwerk, in dem Handwerksbetriebe kostenlose Hilfestellungen für die Analyse der Risiken und die Umsetzung geeigneter Schutzmaßnahmen erhalten. Durch den Austausch mit Experten und spezielle Workshops können IT-Verantwortliche in Handwerksbetrieben zudem Kompetenzen im Bereich Cyber-Sicherheit aufbauen.

Schutz vor Emotet: Welche Maßnahmen Betriebe umsetzen müssen

Mit welchen Maßnahmen sich Betriebe vor Emotet und gefährlichen E-Mails im Allgemeinen schützen können, hat das BSI auf seiner Website zusammengefasst. Folgende Punkte sollten zwingend im Betrieb umgesetzt werden.

  • Regelmäßige Information und Sensibilisierung von Nutzern für die Gefahren durch E-Mail-Anhänge oder Links - einschließlich des Hinweises, auch bei vermeintlich bekannten Absendern (siehe auch gefälschte Absenderadressen) Dateianhänge oder Links bzw. über diese heruntergeladene Dateien im Zweifel nur nach Rücksprache mit dem Absender zu öffnen (insbesondere auch keine Office-Dokumente). Nutzer sollten Auffälligkeiten umgehend an den IT-Betrieb und den IT-Sicherheitsbeauftragten melden.
  • Zeitnahe Installation von den Herstellern bereitgestellter Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme (insbesondere Web-Browser, Browser-Plugins, E-Mail-Clients, Office-Anwendungen, PDF-Dokumentenbetrachter) – idealerweise automatisiert über eine zentrale Softwareverteilung.
  • Einsatz zentral administrierter AV-Software. Regelmäßige Prüfung, ob Updates von AV-Signaturen erfolgreich auf allen Clients ausgerollt werden.
  • Regelmäßige Durchführung von mehrstufigen Datensicherungen (Backups), insbesondere von Offline-Backups. Zu einem Backup gehört immer auch die Planung des Wiederanlaufs und ein Test der Rückspielung von Daten.
  • Regelmäßiges manuelles Monitoring von Logdaten, idealerweise ergänzt um automatisiertes Monitoring mit Alarmierung bei schwerwiegenden Anomalien.
  • Netzwerk-Segmentierung (Trennung von Client-/Server-/Domain-Controller-Netzen sowie Produktionsnetzen mit jeweils isolierter Administration) nach unterschiedlichen Vertrauenszonen, Anwendungsbereichen und/oder Regionen.
  • Fehler interner Nutzer stellen die größte Gefahr dar. Alle Nutzerkonten dürfen daher nur über die minimal zur Aufgabenerfüllung notwendigen Berechtigungen verfügen.

Weitere Maßnahmen sowie eine Handlungsempfehlung für Betriebe, deren IT-System infiziert wurde, finden Sie hier .