Vor ein paar Jahren griff die Schadsoftware Emotet wie wild um sich und befiel reihenweise Computer mit dem Windows-Betriebssystem. Nun ist sie wieder zurück. Und das ziemlich überraschend. Wir müssen uns daher mal mit dieser Software beschäftigen, denn prinzipiell kann es wieder mal jeden treffen. Schauen wir uns das mal eben an.
Was ist die Ransomware Emotet?
Wir haben es hier mit einer Schadsoftware zu tun, die erstmals vor fünf Jahren festgestellt wurde. Kunden von deutschen und österreichischen Banken waren betroffen, indem ihre Zugangsdaten über eine Man-in-the-Middle-Attacke abgefangen wurden. Im Wesentlichen handelt es sich dabei um Ransomware, also Erpresser-Software.
Irgendwann war dann die Rede davon, dass Emotet auch Emails auslesen kann. Das Programm begann dann damit, Empfängern Nachrichten zu schicken, die authentisch aussahen. Die Inhalte waren erfunden. Und diese Emails wurden von infizierten Rechnern versendet. Und zwar im Namen der Betroffenen.
Bei dieser ganzen Nummer wurden ganze Unternehmen lahm gelegt, da die komplette IT-Infrastruktur ausfiel. Aber irgendwie flog Emotet weitgehend unter dem Radar. Denn so einen richtig großen Aufschrei hatte es nicht gegeben. Dabei ist es schon so, dass eine große Gefahr davon ausgeht. Und das enorm verbreitete Windows ist das Ziel.
Wie funktioniert denn das Ganze?
Im Sommer wurde der Heise-Verlag angegriffen. Und zwar ziemlich erfolgreich. Bei diesem Fall wurde eine Word-Datei im Anhang einer Email geöffnet und um ein Word-Update gebeten wurde. Das sorgte dann für die Infektion und die spätere Verbreitung von Emotet. Letztlich griff Emotet auch den zentralen Verzeichnisdienst an. Und das wurde zum ernsten Problem.
Nun kam es zu einem heftigen Ausbruch in der Stadtverwaltung Neustadt am Rübenberge. Die gesamte Infrastruktur war ausgefallen und war etliche Tage nicht verfügbar. Oben das Video vom Heise-Verlag erklärt recht gut, wie der Angriff in ihrem Hause erzählt. In der Stadtverwaltung wird es ganz ähnlich gewesen sein. So lesen sich zumindest die Nachrichten dazu.
Der Knackpunkt ist der Mail-Verkehr. Die Emails sind in irgendeiner Weise frisiert. Und sie enthalten Anhänge. Diese Anhänge haben den Schädling in Makros enthalten. Und diese Makros dürfen unter keinen Umständen „einfach so“ laufen. Und wenn man nicht alles auf dem System darf, schützt man sich noch dazu.
Kann man sich denn schützen?
Ich habe ja schon damit angefangen, von Schutzmechanismen gegen Emotet zu erzählen. Aber wie ist das eigentlich? Wie könnt ihr euch vor einem solchen Angriff schützen? Das Bundesamt für Sicherheit in der Informationstechnologie hat hier eine schöne Aufstellung erarbeitet:
- Egal, welches Betriebssystem und welche Software: Wenn es Updates gibt, installiert diese zeitnah.
- Nutzt Antivirus-Software – und ja, der Windows Defender ist dabei nicht die blödeste Idee, auch wenn es mal Probleme gibt.
- Sichert regelmäßig eure Daten außerhalb des Geräts.
- Wenn möglich, nutzt separate Benutzerkonten für Systemverwaltung und für die eigentlichen Tätigkeiten.
- Unter keinen Umständen solltet ihr blindlinks auf irgendwas klicken oder irgendwelche Anhänge zu öffnen.
- Denkt darüber nach, was ihr eventuell anklicken wollt.
Es gibt noch mehr Aspekte, die man beachten sollte. Da aber Emotet eine neue Qualität erreicht, kann man gar nicht vorsichtig genug sein. Denn Ransomware wie Emotet zielt auf systemrelevante Organisationen ab, wie Kraftwerke oder große Industrieunternehmen. Dementsprechend hartnäckig sind solche Angriffe.
Aber ich wies immer wieder darauf hin: Es gibt keinen absoluten Schutz. Man kann aber versuchen, das Risiko so gering wie möglich zu halten. Und das kann jeder. Es muss auch jeder. Ein „Was sollen die denn schon von mir wollen?“ kann niemand gelten lassen. Denn damit machen wir alle es uns viel zu einfach.
Denken wir an unsere Kontakte, die auch dadurch gefährdet sein können. Durch die eigene Sorglosigkeit lassen wir es womöglich zu, dass sich Emotet zu unseren Kontakten aufmacht. Das ist kein Witz und kann nachgelesen werden. Seid auf der Hut. Oder seid ihr etwa schon betroffen?