Emotet ausgelöscht – jetzt sind wir alle wieder sicher. Oder nicht?

Inhalt

Emotet galt als einer der gefährlichsten Türöffner für Malware der vergangenen Jahre. Nun wurde die Infrastruktur übernommen und zerschlagen. Was bedeutet das für die IT-Security Branche?

Was ist war Emotet?

Vor sieben Jahren zum ersten Mal identifiziert, war Emotet ein leistungs- und wandlungsfähiger Trojaner mit mächtiger Infrastruktur im Rücken. Durch ihn wurden weltweit mehrere 100.000 Institutionen Opfer erfolgreicher Cyberattacken. Die genaue Anzahl ist schwer zu beziffern, da insbesondere in der Privatwirtschaft nicht selten über erfolgreiche Angriffe geschwiegen wird.

Emotet nutzte infizierte E-Mails als ersten Angriffspunkt auf IT-Infrastrukturen, zum Beispiel über manipulierte Word- und Excel-Anhänge (Makros). Dabei ging der Trojaner zum Teil äußerst intelligent vor, las Kontaktdaten aus, kopierte Adressen und verfasste thematisch passende E-Mails. Somit waren die Nachrichten für unaufmerksame und nicht geschulte Empfänger nur schwer zu erkennen.

Die Erschaffer des Emotet-Trojaners entschieden sich für einen automatisierten Ansatz, der das massenhafte Versenden infizierter E-Mails ermöglichte. So konnten sie ein lukratives Geschäftsmodell etablieren: Einerseits erpressten sie ihre Opfer durch Verschlüsseln. Andererseits boten sie anderen Cyberkriminellen den Zugriff auf die infizierten Systeme an, um dort Schadsoftware nachzuladen, das Online-Banking auszuspionieren oder Daten abzugreifen. Ihr „Cybercrime-as-a-Service“-Modell war somit ein Türöffner für viele weitere Schadprogramme und kriminelle Aktivitäten.

Zerschlagung durch BSI und Verbündete

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemeinsam mit der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) und den Strafverfolgungsbehörden aus den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA Emotet unter ihre Kontrolle gebracht.

Durch einen Einsatz in der Ukraine ist es ihnen über einen Tatverdächtigen gelungen, Zugang zum Server-Netzwerk zu erlangen. In der Folge programmierten sie die Software um, wodurch die Kommunikation zwischen den befallenen Systemen und Emotet unterbrochen werden konnte. So ist es den Sicherheitsbehörden gelungen, die mächtige Infrastruktur von Emotet lahmzulegen.

Sind wir jetzt sicher?

Eine der wichtigsten Infrastrukturen für Cybercrime-Aktivitäten existiert nicht mehr. Das hinterlässt eine große Lücke in der Cybercrime-Szene, die sich nun neu aufstellen und organisieren muss. Dadurch ist die Welt tatsächlich kurzfristig ein kleines Stück sicherer geworden. Die mittelfristige Zukunft der IT-Sicherheit ist dadurch unübersichtlicher geworden. Die Lücke, die Emotet hinterlässt, wird jedoch gefüllt werden.

Emotet hat gelehrt, wie effektiv massenhafte und automatisierte Ansätze sein können. Ein solches Vorgehen ist typisch für die zeitgenössische Cyber-Kriminalität und wird es auch zukünftig sein. Daher gilt: Zu klein für Angriffe gibt es nicht. Es kann Unternehmen und Organisationen jeder Größe treffen.

Beispielhaft steht Emotet dafür, wie Cyberattacken ablaufen können. Die Schadsoftware nistet sich zunächst an einem schwachen und vermeintlich unbedeutenden Punkt in der IT-Infrastruktur ein und beginnt sich von dort auszubreiten. Die neuralgischen und gut gesicherten Punkte werden nicht direkt von außen angegriffen, sondern aus dem Inneren des Netzwerks.

Initiative ergreifen: 4 konkrete Tipps für die Post-Emotet-Zeit

Da sich die Szene neu aufstellen wird und neue Varianten von Schadsoftware folgen werden, gelten die Regeln für mehr IT-Security weiterhin.

  1. Effektive Erkennung von Cyberattacken und Anomalien in IT-Infrastrukturen und schnelle Isolation betroffener Systeme, sodass sich die Attacke nicht weiter ausbreiten kann. Ermöglichen können das eine Netzwerksegmentierung sowie ein Intrusion Detection und Prevention System. Den höchsten Schutz bietet hier ein Zero-Trust-Ansatz.
  2. Beschränkung von Nutzer-Rechten, sodass die Attacke gar nicht erst starten kann: zum Beispiel keine Administratorrechte für den alltäglichen Account sowie das Deaktivieren von Makros in Office. Sollten Makros benötigt werden, können nur signierte Makros zugelassen werden.
  3. Die alltäglichen Aufgaben der IT-Hygiene ernst nehmen: etwa alle IT-Assets überwachen, Sicherheitsupdates einspielen und regelmäßige Backups durchführen, die sicher verwahrt werden.
  4. Der Schulung der Mitarbeiter eine hohe Priorität einräumen. Werden infizierte E-Mails nicht geöffnet, kann die Attacke nicht starten.

Interesse an mehr Informationen zum Thema IT-Sicherheit und den Security-Markt? Abonnieren Sie unseren Newsletter oder melden Sie sich bei unserem Webcast zum Thema „Erfolgreich als MSP im Mittelstand“ an.

Share on linkedin
Share on twitter
Share on facebook
Der IT-Security Newsletter

News rund um Enginsight und IT-Sicherheit für clevere Admins, CISOs und alle Sicherheits-Verantwortlichen

Weitere interessante Security-Beiträge

Neuigkeiten über Enginsight, IT-Sicherheit, IT-Monitoring, Asset-Management, Risikomanagement und vieles mehr aus der Security-Branche, erfahren Sie in unserem Blog.

Hacker mit Maske und Laptop

Was können automatisierte Pentests?

Mit gezielten Attacken auf das Firmennetzwerk, prüft man die vorhandenen Sicherheitsmaßnahmen auf Herz und Nieren. Einen Pentester zu engagieren, ist allerdings verhältnismäßig teuer. Gibt es eventuell eine langfristig günstigere und effektivere Lösung?

Weiterlesen »
NGS-Fantasy
7-Tage Newsletter
Werden Sie zum Helden Ihrer Kunden

7 Tage Wissen und Insights für IT-Security Dienstleister.

Enginsight Logo