Emotet: Der gefährlichste Trojaner der Welt und wie Sie sich davor schützen
Update 27.01.2021: Emotet ist zerschlagen!
Ermittler:innen haben nach Angaben von Europol die Infrastruktur des „gefährlichsten Trojaners der Welt“ übernommen und zerschlagen. Damit ist Emotet unter Kontrolle und kann keinen Schaden mehr anrichten. Der Einsatz dauerte mehr als zwei Jahre, neben der deutsch-niederländischen Leitung waren Ermittler:innen aus acht Ländern beteiligt. Ob die Cyberkriminellen, die hinter Emotet stehen, gefasst wurden, hat Europol mit Hinweis auf die andauernden Ermittlungen nicht mitgeteilt.
Emotet kommt von bekannten E-Mail-Kontakten
Der „gefährlichste Trojaner der Welt“ wird über sogenannte Phishing-Mails verbreitet. Er versteckt sich also im Anhang einer E-Mail (zum Beispiel einer Rechnung) oder wird durch einen Klick auf einen Link in der Mail verbreitet. Besonders tückisch: Emotet sammelt vorhandene E-Mail-Adressen und verschickt sich dann selbst von diesen Absendern. Das heißt, Sie können sich Emotet von einem Absender einfangen, mit dem Sie kürzlich erst Kontakt hatten und dem Sie vertrauen.
Aber Emotet kann (leider) noch mehr. Und zwar gerade im E-Mail-Programm Outlook, das viele Unternehmen nutzen: Er kann Inhalte von Mails auslesen und diese für seine Antworten verwenden (sogenanntes Outlook-Harvesting). Das heißt, die Mails, die Emotet enthalten, sehen aus wie die Antwort auf eine von Ihnen verschickte Mail. Dabei ist nicht nur der Absender bekannt, sondern sogar Stil und Inhalt der Mail. Teilweise nehmen die Mails sogar Bezug auf tatsächlich geführten Schriftverkehr.
Emotet ist aggressiv und schnell
Gelangt die Emotet-Schadsoftware erst einmal auf einen Rechner, verbreitet sie sich rasend schnell und völlig unbemerkt, späht Mails aus und liest Inhalte und Kontaktdaten aus. Die so erbeuteten Informationen nutzen die Cyberkriminellen dann dafür, um an die ausspionierten Mail-Adressen wieder täuschend echte Mails mit Emotet zu versenden.
Hinzu kommt, dass Emotet noch weitere Malware im Gepäck hat, beispielsweise Ransomware, die Daten auf den betroffenen Rechnern verschlüsselt und das ganze IT-System lahmlegen kann. Außerdem kann Emotet neben E-Mail-Adressen und –Inhalten weitere hochsensible Daten, zum Beispiel für das Online-Banking, erbeuten.
Heise und das Berliner Kammergericht wurden Opfer von Emotet
Opfer von Emotet wurden bereits Unternehmen und Organisationen aller Branchen und jeder Größe, unter anderem auch Heise. Der jüngste Fall ist der Angriff auf das Berliner Kammergericht. Die Attacke im September hatte ein solches Ausmaß, dass das Kammergericht vollständig vom Netz getrennt werden musste. Und dieser Zustand hält seitdem für mehr als 500 Richter und Beschäftigte an. Außerdem hat Emotet Daten erbeutet – in welchem Umfang ist noch nicht bekannt. Da das Berliner Kammergericht unter anderem für Terror- und Staatsschutzverfahren zuständig ist, könnte es sich um hochsensible Daten handeln, die besser nicht in falsche Hände geraten sollten.
Wie genau Emotet in das System des Gerichts gelangt ist, ist ebenfalls noch nicht bekannt. Fakt ist jedoch, dass, als die Attacke bemerkt wurde, sämtliche Backup-Server des Gerichts defekt waren. Vermutlich muss die IT-Infrastruktur des Gerichts komplett neu aufgebaut werden, da das gesamte System befallen ist.
Emotet erkennen: Worauf Sie achten sollten
Da Emotet sich bekannter Mail-Adresse bedient und sogar Antworten auf verschickte Mails nachahmen kann, ist er schwer zu erkennen. Deshalb sollten Sie auch bei vermeintlich bekannten Absendern vorsichtig sein. Darauf sollten Sie achten:
- Stimmt die Sprache in der Mail? Leider sind die Zeiten, in denen Spam vor Fehlern nur so strotzte, vorbei. Die Mails sind meist fehlerfrei. Daher sollten Sie auf Details achten: Duzt Sie der Absender der Mail auf einmal? Ist der Inhalt realistisch? Fragen Sie im Zweifel beim Absender nach.
- Stimmt der Link? Sie sollten immer zuerst mit dem Mauszeiger über den Link in der Mail fahren, ohne ihn anzuklicken. Dann wird Ihnen angezeigt, welche Seite sich tatsächlich dahinter verbirgt. Handelt es sich dabei um eine andere, als der Link-Text suggeriert, klicken Sie auf keinen Fall darauf.
So können Sie Ihr Unternehmen vor Emotet schützen
Eine 100%ige Sicherheit wird es nie geben, Sie können es jedoch mit diesen Schutzmaßnahmen Emotet und anderer Schadsoftware so schwer wie möglich machen:
- Informieren Sie sich regelmäßig über aktuelle Gefahren (zum Beispiel über das BSI, Bundesamt für Sicherheit in der Informationstechnik) und sensibilisieren Sie Ihre Mitarbeiter. Weisen Sie Ihre Mitarbeiter bezüglich Emotet darauf hin, dass sie auch bei bekannten Absendern wachsam sein müssen und sich im Zweifel beim Absender rückversichern sollten, bevor sie Anhänge öffnen.
- Installieren Sie immer zeitnah alle von den Herstellern bereitgestellten Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme (am besten automatisiert).
- Nutzen Sie eine zentrale Antivirussoftware und stellen Sie sicher, dass immer die neueste Version auf allen Rechnern installiert ist.
- Führen Sie regelmäßig mehrstufige Backups und Offline-Backups durch. Üben Sie dabei immer auch den Ernstfall und testen Sie, wie Sie die Daten auf Ihr System zurückspielen können und ob dabei alles reibungslos funktioniert.
- Stellen Sie sicher, dass Ihre Logdaten regelmäßig auch manuell überwacht werden, und zusätzlich ein automatisiertes Monitoring bei schwerwiegenden Abweichungen automatisch Alarm schlägt.
- Geben Sie allen Nutzern nur die Berechtigungen, die diese für ihre Aufgaben unbedingt benötigen.
- Setzen Sie auf Netzwerk-Segmentierung: Dabei werden Anwendungen und Infrastruktur in verschiedene Segmente mit verschiedenen Zugriffsregeln unterteilt. Im Angriffsfall ist dann nur ein bestimmtes Segment und nicht das komplette Unternehmensnetzwerk betroffen. Hier gibt es mehr Informationen zur Netzwerksegmentierung.
- EmoCheck installieren: Ganz aktuell ist ein Programm erschienen, das Emotet aufspüren kann. Wenn das Tool Emotet auf Ihrem Rechner findet, zeigt es Ihnen die betroffenen Dateien inklusive Dateipfad an (bei chip.de oder Github können Sie EmoCheck kostenlos downloaden). Da zwischen einer Infektion mit Emotet und dem Verteilen der weiteren Schadsoftware (zum Beispiel Erpressungstrojaner) circa ein bis zwei Wochen vergehen, kann die Verschlüsselung von Daten vielleicht noch verhindert werden, wenn Sie Emotet schnell aufspüren.
Hinweis:
Wenn Sie Opfer von Emotet werden und dabei auch Daten betroffen sind, beispielsweise von Mitarbeitern oder Kunden, dann müssen Sie dies melden. Wie Sie eine Datenpanne gemäß DSGVO richtig melden, erfahren Sie hier.
Risiko Emotet: Berufshaftpflicht schützt Ihr Business
Emotet ist kaum zu erkennen, verbreitet sich rasant und kann existenzbedrohenden Schaden anrichten. Auch mit allen Schutzmaßnahmen der Welt bleibt immer ein Risiko. Dieses fängt eine Berufshaftpflichtversicherung auf. Bei exali.de gibt es drei Möglichkeiten, Ihr Business bei Cyberattacken abzusichern:
Alle Berufshaftpflichtversicherungen über exali.de beinhalten als festen Bestandteil den Versicherungsschutz für Daten- und Cyberschäden, die durch Ihren Fehler bei jemandem anderen entstehen (beispielsweise, wenn bei einem Hackerangriff Kundendaten gestohlen werden).
Mit dem Zusatzbaustein „Datenschutz- & Cyber-Eigenschaden-Deckung“ können Sie alle Berufshaftpflichtversicherungen über exali.de flexibel „aufrüsten“, damit Ihr eigenes Business im Fall eines Cyberangriffs optimal geschützt ist. Beispielsweise übernimmt die Versicherung dann die Kosten für die Wiederherstellung Ihrer IT-Systeme.
Sie wollen lieber eine eigenständige und flexible Lösung für Cyber-Risiken? Dann können Sie die Cyber-Versicherung auch als „Stand-alone-Lösung“ abschließen und sich mit verschiedenen Modulen Ihre ganz individuelle Cyber-Versicherung zusammenstellen.