Emotet

Emotet: Was es gefährlich macht und wie nachhaltig der Fahndungserfolg ist

Arne Schönbohm, Chef des Bundesamts für Sicherheit in der Informationstechnik (BSI), bezeichnete Emotet als den „König der Schadsoftware“. Alleine in Deutschland hat das Virus mehr als 14 Million Euro Schaden angerichtet. Weltweit sind es über 2 Milliarden Euro. Laut Europol soll es jetzt zerschlagen sein. Wir klären, warum Emotet so gefährlich ist, ob das Virus nun endgültig bekämpft ist und wie Sie sich schützen können.

Was ist Emotet?

Emotet gilt als einer der gefährlichsten Schädlinge weltweit, weil er nicht nur als Spionage-Software, sondern zusätzlich als eine Art Türöffner funktioniert und weitere Schadprogramme einschleust. Diese richten teilweise erheblichen (finanziellen) Schaden an.

Hierbei handelt es sich häufig um Banking-Trojaner, die sich Zugang zum Online-Banking der Opfer verschaffen oder um Schädlinge, die Daten auf den betroffenen Computern verschlüsseln können.

Ziel ist es, entweder auf direktem Wege oder durch Erpressung Geld zu erhalten. Nur nach Zahlung werden die Daten wieder entschlüsselt. Im Jahr 2018 wurde so beispielsweise das Klinikum Fürstenfeldbruck lahmgelegt. 2019 war sogar das Berliner Kammergericht betroffen.

Ermittlungen zufolge sollen auch zehntausende Privatpersonen mit dem Virus infiziert sein. Die Dunkelziffer der Infektionen dürfte – vor allem bei Unternehmen – deutlich höher liegen.

Prinzipiell kann jeder von Emotet attackiert werden – Privatpersonen genauso wie Unternehmen, Behörden oder Krankenhäuser. Tatsächlich kann Emotet als „Malware as a Service“ gesehen werden. Denn: Zugänge zu infizierten Rechnern wurden im Untergrund für viel Geld weiterverkauft. So kann beliebige Schadsoftware eingeschleust und eine Menge Geld verdient werden.

Emotet ist unter anderem deshalb so gefährlich, weil es polymorph ist und seinen Code bei jedem Abruf etwas verändert. Dadurch wird es für Antiviren-Programme deutlich schwerer, die Schadsoftware zu entdecken.

Wie verbreitet sich Emotet?

Die Schadsoftware verbreitet sich primär über Spam-Mails. Das Perfide: Auf den infizierten Rechnern zieht Emotet Daten aus dem E-Mail-Postfach der Betroffenen und verschickt in deren Namen authentisch wirkende E-Mails an Personen aus dem Kontaktbuch, die kürzlich kontaktiert wurden. Diese E-Mails enthalten infizierte Dokumente oder bösartige Links, mit denen sich das Virus auf dem neuen Rechner verbreiten kann.

Dass die E-Mails authentisch und persönlich wirken, macht das Virus so gefährlich: Nachrichten von Freund*innen oder Kolleg*innen vertrauen wir i.d.R. und erwarten keine Malware.

Seit Start der Corona-Krise werden auch E-Mails, die Bürger*innen über Covid-19 informieren sollen, gefälscht und mit dem Virus versehen. Achten Sie hier auf verdächtig wirkende Anhänge und Links!

Zusätzlich greift das Virus WLANs an. Von dem infizierten Gerät aus scannt es die Netzwerke in der Umgebung und versucht, deren Passwörter zu knacken, um so weitere Geräte zu infizieren.

Nachhaltiger Fahndungserfolg?

Strafverfolgungsbehörden aus acht Staaten ist ein enormer Fahndungserfolg geglückt: Nach zwei Jahren im Einsatz konnte die von Emotet genutzte Infrastruktur von innen unter Kontrolle gebracht und zerschlagen werden.


Auf den Systemen der betroffenen Privatpersonen und Unternehmen sei die Schadsoftware bereits in Quarantäne verschoben worden. Allerdings gibt es heiß diskutierte Grenzen, welche Maßnahmen die Polizei auf den Rechnern Dritter vornehmen darf.

Nun ist es an dem BSI, die Betroffenen zusammen mit den zuständigen Providern zu informieren. Schönbohm, Präsident des BSI, appelliert eindringlich an alle, die eine Information Ihres Providers zu einer Emotet-Infektion erhalten, diese ernst zu nehmen und die Systeme zu bereinigen. Nur so könne das Virus bekämpft werden. Fraglich ist allerdings, ob auf diese Art alle Betroffenen erreicht werden und diese die geforderten Maßnahmen tatsächlich umsetzen.

Da Emotet häufig wie ein Türöffner arbeitet, muss davon ausgegangen werden, dass betroffene Systeme mit weiterer Schadsoftware infiziert sind. Diese wurde allerdings nicht durch die Polizei in Quarantäne verschoben und sorgt vermutlich noch für großes Unheil. Die Ursache des Problems wurde also bekämpft – nicht aber dessen Symptome.

Ein weiteres Problem: Es wurden nur Teile der Infrastruktur und der Täter*innen gefasst. Die Festnahmen erstreckten sich bisher nur auf technische Mitarbeitende – die Personen, die hinter Emotet stecken, bleiben bis auf Weiteres unbekannt.

Die Reparatur der noch bestehenden Infrastruktur wäre teuer, aber prinzipiell möglich. Außerdem befindet sich die Schadsoftware noch auf etlichen Rechnern. Wie nachhaltig dieser Fahndungserfolg tatsächlich ist und ob Emotet endgültig zerschlagen ist, kann also bisher nicht gesagt werden.

Wie können Sie sich schützen?

Da das Virus so komplex ist, reicht ein einfaches Antiviren-Programm nicht aus. Es gibt zwar keinen 100-prozentigen Schutz, mit den folgenden Maßnahmen sind Sie aber gut aufgestellt:

  • Führen Sie Sicherheitsupdates – vor allem für Betriebssysteme, aber auch für gängige Software wie Mailprogramme – so schnell wie möglich durch und schließen Sie so eventuell auftretende Sicherheitslücken.
  • Installieren Sie unbedingt ein Antiviren-Programm und lassen Sie regelmäßig Analysen durch das Programm durchführen.
  • Seien Sie misstrauisch: Achten Sie auf dubiose Links oder Anhänge – auch bei Ihnen bekannten Personen. Rufen Sie im Zweifel einfach an und fragen Sie nach.
  • Führen Sie regelmäßig Backups durch. So sind im Falle einer Infektion nicht alle Daten verloren.
  • Lassen Sie sich standardmäßig Dateiendungen anzeigen: So können Sie fragwürdige Dateien schneller erkennen.

  • Nutzen Sie nur starke Passwörter und – wo möglich – eine Zwei-Faktor-Authentifizierung. Passwort-Manager helfen Ihnen, die Übersicht zu behalten. Der Vorteil: Sie müssen sich nur dieses eine sichere Master-Passwort merken.

Cyber-Security

Schützen Sie Ihre Passwörter mit diesen 3 Maßnahmen!

Weiterlesen

  • Besondere Vorsicht ist bei Office-Dokumenten geboten, die mit Makros versehen sind. Am besten verhindern Sie die automatische Ausführung von Makros in den Office-Suiten aller Clients. Als Alternative können Sie Ausnahmen für signierte Makros einrichten. Sensibilisieren Sie Ihre Mitarbeitenden in Seminaren dafür, vorsichtig zu sein und woran sie potentiell gefährliche Dateien und Vorgänge erkennen können.
  • Auch IT-Dienstleister nutzen schlechte Passwörter! Ein kritischer Blick auf die Arbeitsweise der beauftragten IT-Dienstleister kann böse Überraschungen vermeiden. Fragen Sie nach sicherheitsrelevanten Zertifikaten oder lassen Sie sich die Richtlinien für die IT-Sicherheit zeigen.
  • Hier können Sie testen, ob Ihre E-Mail-Adresse betroffen ist: https://www.haveibeenemotet.com/

Was tun bei einer Infektion?

Wenn Sie feststellen, dass Ihr Rechner mit Emotet infiziert ist, sollten Sie sofort Ihr Umfeld informieren! So können Sie verhindern, dass sich auch Ihre Kontakte durch E-Mails infizieren, die angeblich von Ihnen kommen. Außerdem sollten Sie Ihren Rechner isolieren und vom Netzwerk trennen. Anschließend sollten Sie alle Computer, die an Ihr Netzwerk angeschlossen sind, reinigen, um eine erneute Infizierung auszuschließen. Das BSI empfiehlt in diesem Fall, die Rechner neu aufzusetzen.


Da das Virus auch Zugangsdaten ausspäht, sollten Sie diese mit einem neuen sicheren Passwort versehen. Bei Unsicherheit empfiehlt es sich, professionelle Hilfe in Anspruch zu nehmen.

Ein Virus, das so gefährlich ist wie Emotet, sollte nicht auf die leichte Schulter genommen werden. Trotz des maßgeblichen Fahndungserfolgs sollten wir uns nicht zu früh freuen und in Untätigkeit verfallen. Ob Emotet wirklich der Vergangenheit angehört, kann nur die Zukunft zeigen.

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Und Sie sind konstant auf dem Laufenden!

Newsletter Anmeldung

Quellen

ARD Audiothek (2021): „‘Emotet‘ und (k)ein Ende: Wie erfolgreich war die Polizei-Aktion?“, Das Computermagazin, 31. Januar 2021, https://www.ardaudiothek.de/das-computermagazin/emotet-und-k-ein-ende-wie-erfolgreich-war-die-polizei-aktion/85770994, letzter Zugriff am 08. Februar 2021.

Bundesamt für Sicherheit in der Informationstechnik (2021): „Emotet-Infrastruktur zerschlagen – BSI informiert Betroffene“, https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/210127_Emotet-Statement.html, letzter Zugriff am 08. Februar 2021.

Bundesamt für Sicherheit in der Informationstechnik (o.J.): „Informationen zur Schadsoftware Emotet: Wie man sich schützt und was Betroffene tun können“, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Sonderfall-Emotet/sonderfall-emotet_node.html, letzter Zugriff am 08. Februar 2021.

FAZ (2021): „‘Gefährlichste Schadsoftware‘: Deutsche Ermittler schalten Emotet aus“, 27. Januar 2021, https://www.faz.net/aktuell/wirtschaft/cyberware-netzwerk-ausgeschaltet-malware-emotet-unter-kontrolle-17167600.html letzter Zugriff am 08. Februar 2021.

Heise online (2021): „Emotet nach Gegenschlag: Was passiert mit den Opfern?“, 28. Januar 2021, https://www.heise.de/news/Emotet-Was-passiert-mit-den-Opfern-5039808.html, letzter Zugriff am 08. Februar 2021.

Kaspersky (2020): „Emotet: So Schützen Sie sich bestmöglich vor dem Trojaner“, 24. September 2020, https://www.kaspersky.de/resource-center/threats/emotet, letzter Zugriff am 08. Februar 2021.

Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Einstellungen ändern Alle akzeptieren
Cookies