IT + Kommunikation -

"Eine der gefährlichsten Bedrohungen weltweit" Emotet-Schadsoftware: Wie sich Betriebe jetzt schützen müssen

Die Tricks von Cyber-Kriminellen werden immer ausgefeilter. Aktuelles Beispiel ist die Schadsoftware "Emotet", mit der Verbrecher gezielt Unternehmen ins Visier nehmen. Schätzungen zufolge haben die Hacker bereits mehrere Millionen Euro Beute gemacht. Wie sich Betriebe schützen können.

Ein Türöffner, ein geschickter Dieb und ein Dritter, der besonders wichtige Dateien wegschließt. So lässt sich das Trio vereinfacht darstellen, das derzeit Unternehmen rund um den Globus attackiert. Wer seine Daten zurück möchte, muss zahlen – so fordern es zumindest die Erpresser, die hinter der Masche stecken. Handwerksbetriebe zählen ebenso zu den Opfern wie große Konzerne und Behörden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von einer der "gefährlichsten Bedrohungen durch Schadsoftware weltweit".

Mindestens 52 Bitcoin-Transaktionen sollen die Hintermänner somit bereits erwirkt haben, vermutet die US-amerikanische IT-Sicherheitsfirma CrowdStrike. "Das bisher niedrigste Lösegeld lag bei 1,7, das höchste bei 99 Bitcoins", schrieb das Unternehmen zu Jahresbeginn in einem Blogbeitrag. Nach derzeitigem Wissensstand sind insgesamt 705,80 Bitcoins geflossen, das entspricht nach aktuellem Kurs etwa 2,2 Millionen Euro.

Diesen E-Mail-Anhang auf keinen Fall öffnen

Die Täter knöpfen sich ihre ihre Opfer geschickt vor. In einem ersten Schritt verschaffen sie sich Zugriff auf die Rechner, indem sie mit Trojanern bepackte E-Mails verschicken. Entsprechende Nachrichten landeten in den vergangenen Monaten massenhaft in den Posteingängen von kleinen wie großen Unternehmen. Der Aufbau ist dabei meist derselbe. Die Hacker verweisen in ihrer E-Mail auf eine angehängte Word-Datei, die oftmals als Rechnung oder Bewerbung getarnt ist. Öffnet der Empfänger die Datei, fordert ihn das Textverarbeitungsprogramm dazu auf, Makrofunktionen zu aktivieren. Wird dem zugestimmt, installiert sich der sogenannte Emotet-Virus auf dem Rechner. Besondere Vorsicht ist bei älteren Office-Versionen geboten. Bei diesen ist oftmals voreingestellt, dass sich Makros automatisch aktivieren. Ein Blick in die Einstellungen ist also ratsam.

Die Finte ist erfolgreich, und das nicht nur, weil die angehängte Schadsoftware von Antiviren-Programmen in vielen Fällen unerkannt bleibt. Die E-Mail ist in gutem Deutsch verfasst, der Inhalt wirkt oftmals plausibel. Zudem geben sich die Betrüger im Absender häufig als Personen aus, mit denen der Empfänger bereits Kontakt hatte, etwa mit Kunden oder Geschäftspartnern.

Hacker erpressen Lösegeld: Wie reagieren Opfer richtig?

Ist der Virus einmal eingefangen, setzt sich ein zweiter Schädling automatisch in Gang. In der Vergangenheit hat die Emotet-Schadsoftware meist TrickBot nachgeladen, einen Phishing-Trojaner, der es vor allem auf Kontozugangsdaten und andere Passwörter abgesehen hat. Jetzt, da die Kriminellen wissen, wie gut das Konto ihres Opfers gefüllt ist, schätzen sie, welche Summe sie fordern können. Um den Druck zu erhöhen, laden die Erpresser eine dritte Schadsoftware nach. Die Ransomware Ryuk verschlüsselt wichtige Daten und löscht alle auffindbaren Sicherungskopien. Anschließend werden die Unternehmen aufgefordert, Lösegeld zu bezahlen.

"Das sollte aber niemand machen", rät Werner Schmit, Dozent und IT-Security-Beauftragter am Bundestechnologiezentrum für Elektro- und Informationstechnik (BFE) in Oldenburg. Besser sei es, Strafanzeige bei der zuständigen Zentralen Ansprechstelle Cybercrime (ZAC) zu stellen. In einem von ihm geschilderten Fall, hatte sich ein kleiner Friseurbetrieb über eine Online-Bewerbung mit dem Emotet-Virus infiziert. Die Hacker legten den gesamten Rechner inklusive Kassensystem lahm, ehe sie ihr Opfer mit der Forderung kontaktierten. "In mehreren dem BSI bekannten Fällen hatte dies große Produktionsausfälle zur Folge, da ganze Unternehmensnetzwerke aufgebaut werden mussten", warnt auch das BSI auf seiner Website. Betriebe, deren IT-System infiziert wurde, finden dort außerdem eine Handlungsempfehlung für das weitere Vorgehen. So sollten betroffene Systeme etwa umgehend vom Netzwerk isoliert, Passwörter gewechselt und Geschäftspartner und Kunden über den Vorfall informiert werden.

So schützen sich Betriebe vor dem Emotet-Trojaner

Was aber tun, damit es gar nicht erst soweit kommt? "Ganz wichtig ist, dass man die Mitarbeiter mit ins Boot holt", rät Schmit. Denn eines ist klar: Am besten schützt man sich vor der aktuellen Spam-Kampagne, wenn man die Hacker gar nicht erst ins Haus lässt. Vorgesetzte sollten ihre Mitarbeiter sensibilisieren, E-Mails und Anhänge von unbekannten Absendern nicht zu öffnen. Dasselbe gilt für unerwartete Anhänge in den E-Mails vermeintlich bekannter Kontakte. Spätestens, wenn die Anwendung fragt, ob Makros ausgeführt werden dürfen, sollten beim Empfänger sämtliche Alarmglocken läuten. Wer an dieser Stelle unvorsichtig ist und zustimmt, muss sein System unter Umständen komplett neu aufsetzen. "Bereinigungsversuche bleiben in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben", warnt das BSI.

Zwar können Mitarbeiterschulungen helfen, sich den Emotet-Trojaner vom Leib zu halten, darüber hinaus sind solche Maßnahmen aber nicht ausreichend, um den eigenen Betrieb vor Cyberangriffen zu schützen. " IT-Sicherheit ist ein komplexes System und es ist Chefsache", sagt Schmit. Schließlich hafte die Unternehmensleitung, wenn etwas schiefläuft. Handwerksbetriebe sollten daher personelle, organisatorische und technische Maßnahmen ergreifen. "50 bis 100 Stunden sollte jeder Betrieb erst einmal einrechnen", schätzt Schmit den Aufwand. "Ich weiß auch, dass ein Bäcker kein einziges Brötchen mehr verkauft, wenn er in IT-Sicherheit investiert. Das Problem ist nur: Wenn er es nicht macht, verkauft er unter Umständen gar keine Brötchen mehr."

Netzwerk für mehr Cyber-Sicherheit

Es sei ein gefährlicher Trugschluss, dass Handwerksbetriebe für Cyber-Kriminelle vermeintlich nicht von Interesse sind, warnt auch der Zentralverband des Deutschen Handwerks (ZDH). Mit der Allianz für Cyber-Sicherheit, der auch das BSI, das Bundesinnenministerium und verschiedene Wirtschaftsverbände angehören, bietet der ZDH ein Netzwerk, in dem Handwerksbetriebe kostenlose Hilfestellungen für die Analyse der Risiken und die Umsetzung geeigneter Schutzmaßnahmen erhalten . Durch den Austausch mit Experten und spezielle Workshops können IT-Verantwortliche in Handwerksbetrieben zudem Kompetenzen im Bereich Cyber-Sicherheit aufbauen. fre/bir

Schutz vor Emotet: Welche Maßnahmen Betriebe umsetzen müssen

Mit welchen Maßnahmen sich Betriebe vor Emotet und gefährlichen E-Mails im Allgemeinen schützen können, hat das BSI auf seiner Website zusammengefasst. Folgende Punkte sollten zwingend im Betrieb umgesetzt werden.

  • Regelmäßige Information und Sensibilisierung von Nutzern für die Gefahren durch E-Mail-Anhänge oder Links - einschließlich des Hinweises, auch bei vermeintlich bekannten Absendern (siehe auch gefälschte Absenderadressen) Dateianhänge oder Links bzw. über diese heruntergeladene Dateien im Zweifel nur nach Rücksprache mit dem Absender zu öffnen (insbesondere auch keine Office-Dokumente). Nutzer sollten Auffälligkeiten umgehend an den IT-Betrieb und den IT-Sicherheitsbeauftragten melden.
  • Zeitnahe Installation von den Herstellern bereitgestellter Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme (insbesondere Web-Browser, Browser-Plugins, E-Mail-Clients, Office-Anwendungen, PDF-Dokumentenbetrachter) – idealerweise automatisiert über eine zentrale Softwareverteilung.
  • Einsatz zentral administrierter AV-Software. Regelmäßige Prüfung, ob Updates von AV-Signaturen erfolgreich auf allen Clients ausgerollt werden.
  • Regelmäßige Durchführung von mehrstufigen Datensicherungen (Backups), insbesondere von Offline-Backups. Zu einem Backup gehört immer auch die Planung des Wiederanlaufs und ein Test der Rückspielung von Daten.
  • Regelmäßiges manuelles Monitoring von Logdaten, idealerweise ergänzt um automatisiertes Monitoring mit Alarmierung bei schwerwiegenden Anomalien.
  • Netzwerk-Segmentierung (Trennung von Client-/Server-/Domain-Controller-Netzen sowie Produktionsnetzen mit jeweils isolierter Administration) nach unterschiedlichen Vertrauenszonen, Anwendungsbereichen und/oder Regionen.
  • Fehler interner Nutzer stellen die größte Gefahr dar. Alle Nutzerkonten dürfen daher nur über die minimal zur Aufgabenerfüllung notwendigen Berechtigungen verfügen.

Weitere Maßnahmen sowie eine Handlungsempfehlung für Betriebe, deren IT-System infiziert wurde, finden Sie hier.

© deutsche-handwerks-zeitung.de 2019 - Alle Rechte vorbehalten