Die Gefahr durch Schadsoftware ist sowohl für Privatpersonen als auch für Unternehmen und Behörden in den letzten Jahren immer mehr gestiegen. Cyberkriminelle entwickeln ständig neue Programme, um andere Internetuser auszuspionieren, Daten zu sammeln oder sich auf andere Weise zu bereichern. Dass sie dabei immer kreativer werden, macht es sowohl für Virenscanner und SPAM-Filter als auch für die Empfänger gefälschter E-Mails schwierig, Schadprogramme zu erkennen. Werden Systeme von Schadsoftware befallen, kann dies erhebliche finanzielle Schäden zur Folge haben, die zum Teil existenzbedrohend sind.

Eine der seit Jahren gefährlichsten Schadsoftware war Emotet. Der Banking-Trojaner wurde im Jahr 2014 erstmals von Experten entdeckt und bedroht seitdem Privatpersonen, Unternehmen und Behörden. Einer der wohl bekanntesten Fälle ist der Befall mit Emotet beim Kammergericht Berlin im September des vergangenen Jahres, in dessen Folge die komplette IT-Infrastruktur neu aufgesetzt werden musste. Das Gericht war monatelang vom Internet getrennt und kämpft noch heute mit den Folgen der Cyberattacke.

Ursprünglich dafür entwickelt, sensible Informationen wie Zugangsdaten zu Onlinebanking-Accounts auszuspionieren, wurde der Emotet-Trojaner in den letzten Jahren um weitere Funktionen erweitert. Im Dezember 2019 gab es eine große Infektionswelle, bei der die Schadsoftware als Weihnachtsgruß getarnt per E-Mail versendet wurde. Daraufhin haben verschiedene Behörden, unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), ausdrücklich vor der Gefahr durch SPAM-Nachrichten gewarnt. Zu Beginn des Jahres ist es Ermittlern von Europol in einer groß angelegten Aktion allerdings gelungen, das Cybernetzwerk hinter Emotet aufzudecken und die Malware damit zu stoppen.

Es bleibt abzuwarten, ob die Gefahr durch Emotet durch diese Aktion von Europol tatsächlich gebannt ist oder ob es den Cyberkriminellen gelingt, eine neue Infrastruktur aufzubauen. In der Vergangenheit ist dies bei anderen Schadprogrammen bereits passiert und die Cyberangriffe begannen von Neuem. Zudem ist Emotet nicht die einzige Malware, mit deren Hilfe Hacker die Sicherheit der Systeme von Unternehmen und Privatpersonen gefährden. Deshalb soll dieser Artikel einen Überblick darüber geben,

  • was der Emotet-Trojaner eigentlich ist,
  • welche Schutzmaßnahmen Internetuser treffen können und
  • was nach einem Befall mit der Schadsoftware beachtet werden muss.

Was ist Emotet?

Emotet wird immer wieder als eine der größten Bedrohungen im Internet bezeichnet. Der Banking-Trojaner wird getarnt als Nachricht von Bekannten und Freunden oder Geschäftspartnern und Kunden per E-Mail versendet. Besonders gefährlich ist, dass klassische Virenscanner die Schadsoftware aufgrund ihrer Struktur in der Regel nicht erkennen. Außerdem kann sich Emotet „schlafen legen“. Der Trojaner erkennt, wenn er sich in einer Sandkastenumgebung, einer Art virtuellem Isolationsraum für Dateien, befindet, und bleibt dann zunächst untätig.

Hinzu kommt, dass der Empfänger häufig nur schwer erkennen kann, dass es sich um eine gefälschte E-Mail handelt. Grund hierfür ist, dass Emotet die Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern infizierter Systeme ausliest und sich so über den E-Mail-Weg weiterverbreitet. Dadurch ist dem Empfänger der Absender sowie die zugehörige E-Mail-Adresse bekannt und er erwartet unter Umständen sogar eine Antwort von diesem.

Ablauf der Cyberattacke

Öffnet der Empfänger der E-Mail einen infizierten Anhang oder klickt auf einen Link, dringt Emotet in das System ein. Anschließend lädt der Trojaner je nach Version und dem verfolgten Ziel des Cyberkriminellen verschiedene Schadprogramme nach, mit deren Hilfe Daten ausgespäht oder verschlüsselt werden können oder die dem Angreifer vollen Zugriff auf das System gewähren. Dabei kann zwischen der ersten Infektion und dem Nachladen weiterer Programme auch ein größerer zeitlicher Abstand liegen, teilweise sogar mehrere Wochen. Auf diese Weise soll die Schadsoftware möglichst lange unentdeckt bleiben und sich an möglichst vielen Stellen ausbreiten können. Wenn ein Zugang zu verbundenen Netzwerken besteht, kann sich der Trojaner unter Umständen im ganzen lokalen Netzwerk verbreiten. Die Schadsoftware probiert dabei gängige und gestohlene Passwörter aus, um in weitere Systeme vorzudringen. Für die Verbreitung innerhalb von Systemen nutzt Emotet zudem häufig bestehende Sicherheitslücken im Betriebssystem oder in Anwendungsprogrammen.

Mittlerweile sind auch Word-Dokumente, die durch einen einfachen Satz in der E-Mail angekündigt werden, betroffen. Öffnet der Empfänger die angehängte Word-Datei, hat der Trojaner sein erstes Ziel bereits erreicht. Über die Word-Datei wird nun versucht die Schadsoftware auf das fremde System zu laden und das sogar mit Hilfe des Empfängers. Dieser wird nach Öffnen der Word-Datei nämlich aufgefordert die gewünschten Macro-Funktionen in Word freizugeben. Kommt der Empfänger der Aufforderung nach, hat der Trojaner freie Bahn und kann nun die benötigten Elemente aus dem Netz nachladen und das nächste System befallen.

Am Ende eines solchen Angriffs werden in der Regel Dateien mithilfe von Verschlüsselungstrojanern (sog. Ransomware) verschlüsselt und eine Lösegeldforderung gestellt. Selbst wenn nach Bezahlung der geforderten Summe die betreffenden Dateien wiederhergestellt werden können, gelingt es in den meisten Fällen nicht, die Schadsoftware vollständig zu entfernen. Das hat zur Folge, dass die betroffenen Systeme neu aufgesetzt werden müssen.

Wie man gefälschte Nachrichten erkennen kann

Da Emotet für den Empfänger authentisch aussehende E-Mails verschicken kann, ist nur schwer zu erkennen, dass die Nachricht gefälscht ist. Häufig wird der Empfänger direkt angesprochen und Mails sind in fast fehlerfreiem Deutsch verfasst. Bei genauerer Betrachtung gibt es in der Regel allerdings ein paar Indizien, mit deren Hilfe Emotet entdeckt werden kann. Hierzu gehören unter anderem:

  • Der im Absenderfeld angezeigte Name stimmt nicht mit der E-Mail-Adresse überein.
  • Der Text ist ungewöhnlich kurz und enthält häufig eine ausdrückliche Aufforderung, den beigefügten Anhang zu öffnen oder einen Link anzuklicken.
  • Die Nachricht bezieht sich zwar auf eine vorhergehende Kommunikation, passt aber nicht wirklich dazu.
  • Die Anrede hat sich geändert, beispielsweise wird der Empfänger plötzlich mit Vornamen statt mit Nachnamen angesprochen.
  • Der angezeigte Link stimmt nicht. Hält man den Mauszeiger über den Link (nicht anklicken!), zeigen Mailprogramme an, zu welcher Seite der Link führt. Stimmt die angezeigte URL nicht mit dem Link überein, sollte dieser nicht geöffnet werden.

Befinden sich im Posteingang Nachrichten, bei denen der Verdacht besteht, dass sie gefälscht sind und Schadsoftware enthalten, sollte stets der Absender informiert werden. Dadurch kann die Authentizität der E-Mail geprüft werden. Sollte die Nachricht tatsächlich von Emotet versendet worden sein, kann auf diese Weise zudem die weitere Ausbreitung eingedämmt werden. In den meisten Fällen wissen die Absender nämlich nicht, dass sich in ihrem System Schadsoftware befindet, denn im Postausgang werden die versendeten Nachrichten nicht angezeigt.

Maßnahmen zum Schutz vor Emotet

Emotet wurde so konzipiert, dass er nur schwer erkennbar ist und möglichst viele Schutzvorkehrungen umgehen kann. Dennoch können Nutzer verschiedene Maßnahmen ergreifen, um die Wahrscheinlichkeit eines Befalls mit Emotet möglichst gering zu halten, die Ausbreitung zu erschweren und den Schaden im Falle einer Infektion zu minimieren. Hierzu sind Unternehmen datenschutzrechtlich auch verpflichtet: Nach Art. 32 DS-GVO muss für personenbezogene Daten ein angemessenes Schutzniveau gewährleistet werden. Zur Prävention sollten Unternehmen daher insbesondere Folgendes umsetzen:

  • Deaktivieren von Makros und OLE-Objekten in Office-Anwendungen
  • zeitnahe Installation von Sicherheitsupdates für das Betriebssystem und für Anwendungen
  • Einsatz von Antivirensoftware und deren regelmäßige Aktualisierung
  • Einschränken von administrativen Benutzerrechten und Einrichten gesonderter Benutzerkonten
  • regelmäßiges manuelles Monitoring von Logdaten, bestenfalls ergänzend zu automatisiertem Monitoring
  • Segmentierung von Netzwerken, beispielsweise nach Vertraulichkeitsstufen oder Anwendungsbereichen
  • Verwendung starker Passwörter und ggf. einer 2-Faktor-Authentifizierung
  • ggf. Installation zusätzlicher Sicherheitssoftware
  • regelmäßige und mehrstufige Back-ups aller Daten, auch Offline-Back-ups

Außerdem sollten Mitarbeiter regelmäßig geschult und für den verantwortungsvollen Umgang mit E-Mails und im Internet sensibilisiert werden. Bei der Verbreitung von Schadsoftware ist und bleibt der Mensch ein entscheidender Sicherheitsfaktor. Nur wenn Mitarbeiter wissen, welche Gefahren bestehen und worauf sie achten müssen, können sie auch entsprechend reagieren und mit der erforderlichen Sorgfalt arbeiten.

Um im Falle einer Infektion möglichst schnell und effektiv reagieren zu können, sollten Unternehmen zudem einen Prozess zum Vorgehen im Ernstfall entwickeln. Dies bietet gleichzeitig die Möglichkeit, etwaige Schwachstellen zu identifizieren und zu beheben.

Hinweis: Das BSI hat außerdem einen ausführlichen Maßnahmenkatalog veröffentlicht, der weitere Empfehlungen zum Schutz von Netzwerken enthält. Dieser kann auf der Homepage des BSI abgerufen werden.

Was es nach einem Emotet-Befall zu beachten gilt

Sollte es trotz dieser Schutzvorkehrungen zu einer Infektion mit Emotet kommen, gilt es, den Schaden möglichst gering zu halten und alle erforderlichen Maßnahmen zu ergreifen. Um eine weitere Ausbreitung und einen Abfluss oder Verlust von Daten zu vermeiden, sollten Unternehmen folgendermaßen reagieren:

  • Isolation betroffener Rechner in Netzwerken
  • Änderung von verwendeten Zugangsdaten, insbesondere gespeicherter Passwörter
  • ggf. Neuaufsetzen der betroffenen Rechner, da Emotet tief greifende (sicherheitsrelevante) Änderungen am System vornimmt
  • Information des Absenders sowie von Kontakten und Kommunikationspartnern, um eine Verbreitung über den E-Mail-Verkehr einzudämmen
  • Information von Mitarbeitern über die Infektion und ggf. auch über eine eigene Betroffenheit, wenn für Angestellte die Privatnutzung erlaubt ist
  • Meldung des Vorfalls an das BSI, ggf. auch anonym
  • Erstatten einer Strafanzeige bei der Polizei

Aufgrund der akuten Bedrohungslage für Kunden und Geschäftspartner fordert das LKA Niedersachsen zudem, eine Veröffentlichung des Virusbefalls auf der eigenen Homepage.

Darüber hinaus handelt es sich bei der Infektion mit Emotet, wie auch bei anderen Schadprogrammen, um einen meldepflichtigen Datenschutzverstoß nach Art. 33 DS-GVO. Die Meldung an die zuständige Datenschutz-Aufsichtsbehörde muss unverzüglich nach Bekanntwerden der Infektion, spätestens innerhalb von 72 Stunden, erfolgen. Besteht für Betroffene zudem ein hohes Risiko, müssen diese gem. Art. 34 DS-GVO ebenfalls unverzüglich über den Vorfall informiert werden. Die bayerische Aufsichtsbehörde betont in ihrer Pressemitteilung zur Warnung vor der Emotet-Infektionswelle vom 18. Dezember 2019 deutlich, dass im Falle von Emotet stets von einem hohen Risiko für betroffene Personen auszugehen ist und diese entsprechend fristgerecht zu informieren sind.