Emotet: Cyberkriminalität der nächsten Generation

Aus aktuellem Anlass möchten wir vor einer erneuten Bedrohung unserer IT-Infrastruktur durch den Verschlüsselungstrojaner Emotet warnen, hieß es vor einiger Zeit in einer Sicherheitswarnung des MIZ. Mit Spam-E-Mails, die oft unbedenklich wirken und den Sprachgebrauch normaler Mails zuweilen gut nachahmen, versuchen kriminelle Netzwerke in die digitale Infrastruktur von Unternehmen und Institutionen einzugreifen – und das kann fatale Folgen haben.

Christian Wagner arbeitet im Medien- und Informationszentrum in der Abteilung IT-Infrastruktur der Leuphana Universität. Neben der Zuständigkeit für zentrale Storage-Systeme der Leuphana und der Ausstellung von digitalen Zertifikaten, die zur Identitätsidentifikation dienen, kümmert sich der Diplom-Ingenieur auch um den Bereich der „Intrusion-Detection und -Prevention“. Dabei gehe es darum, Eindringungsversuche auf die lokale digitale Infrastruktur zu erkennen und auszuwerten. „Wir gucken zum Beispiel, wo es Angriffsversuche gibt, wie diese aussehen und welche Bedrohungslage herrscht“, schildert Wagner. Wird bei der Analyse etwas entdeckt, beispielsweise eine Schadsoftware, die durch eine Spam-Mail auf einen Rechner geladen wurde, kümmert sich Christian Wagner darum, dass weitere Maßnahmen eingeleitet werden. Beispielweise zieht der IT-Service betroffene Computer aus dem Verkehr und setzt diese neu auf.

Eine mögliche Bedrohung für die IT-Infrastruktur geht nun erneut von dem Computervirus Emotet aus. Neu ist die Schadsoftware jedoch nicht: Emotet habe eine lange Entwicklung hinter sich, die in den vergangenen Jahren immer größere Ausmaße annahm. Zu Beginn im Jahr 2014 diente die Software ihren kriminellen Entwickler*innen noch dazu, sich in das Online-Banking von Privatpersonen zu hacken. Später wurde Emotet zu einem Erpressungs-Trojaner, der Daten einzelner Nutzer*innen verschlüsselte, um für die Freigabe ein Lösegeld zu erpressen. „Das waren die Anfänge, da betrafen die Angriffe noch Einzelpersonen.“ Eine Wende gab es im Jahr 2018: Nicht mehr einzelne Nutzer*innen waren das Ziel der Cyberangriffe. Das kriminelle Netzwerk hinter Emotet fing an, in die Computersysteme von Unternehmen einzudringen. Man spreche dabei laut Wagner vom „Cybercrime der nächsten Generation“. Verschiedene kriminelle Netzwerke, allen voran Emotet, fingen an, ausgefeilte Techniken von Spionen und staatlichen Akteur*innen zu adaptieren, um in Netzwerke und Systeme großer Firmen eindringen zu können und diese zu manipulieren.

„Der erste Schritt ist immer das Eindringen in die Infrastruktur“, erklärt Wagner das Vorgehen eines Emotet-Angriffs. Dies erfolge etwa durch eine Phishing-Mail mit bösartigen Anhängen, die beim Öffnen der Dateien eine Schadsoftware auf den Computer laden. Ist das Eindringen erst einmal gelungen, analysieren die Täter die Infrastruktur, um anschließend wichtige Backups – die später gegebenenfalls zur Erpressung genutzt werden können – und weitere mögliche Sicherheitslücken aufzuspüren. Das Virus verbreitet sich dann im gesamten Netzwerk und sammelt Informationen zu dessen Umfang, Funktionsweise und Potential. „Die Eindringlinge wissen somit genau, wie hoch sie am Ende ihre Lösegeldforderung stellen können.“ Wurde das Netzwerk umfassend erschlossen, kommt es zu dieser Lösegeldforderung. Dabei lassen die Erpresser*innen sich meist nicht auf Verhandlungen ein und drohen beispielsweise mit der Veröffentlichung oder der Vernichtung von Firmendaten.

„Diese Entwicklung ist erschreckend“, findet Wagner. Hat das Betreiber*innen-Netzwerk hinter Emotet erst einmal einen Weg in das System gefunden, können sie jede E-Mail mitlesen, Zugangsdaten herausfinden und sich so immer weiter in der IT-Infrastruktur verbreiten. Das Thema wird zukünftig eher noch mehr an Bedeutung gewinnen, da ist sich Wagner sicher. „Das Verfahren ist lukrativ, die Unternehmen zahlen das Lösegeld, das meist in Millionenhöhe liegt. Und solange dies der Fall ist, werden solche Angriffe nicht aussterben.“ Im Endeffekt müsse jedes Unternehmen und jede Institution, leider, davon ausgehen, dass es sie selbst auch irgendwann treffen werde.

„Viele Hacking-Angriffe geschehen um die Weihnachtszeit.“ Dann sei der Großteil der Administrator*innen im Urlaub und die Systeme werden weniger genau überwacht. Ein Cyberangriff könne im schlimmsten Fall die gesamte digitale Infrastruktur der Universität lahmlegen. Einige deutsche Universitäten sind den Hackern bereits zum Opfer gefallen, der Wiederaufbau der Systeme und die Wiederherstellung der Dateien kann Wochen oder sogar Monate dauern.

Aus diesem Grund sei es laut Wagner umso wichtiger, Mitarbeitende über die Gefahren und Folgen aufzuklären und einen bewussten und aufmerksamen Blick zu fördern: „Dann heißt es: Wie ist die Awareness im Unternehmen? Wie gut ist man vorbereitet?“

Dazu gehört vor allem, empfangene E-Mails genauer zu betrachten: Wird überhaupt eine E-Mail von dem Absender erwartet? Sind die Anhänge und Links stimmig? Ist die Sprache auffällig? Im Zweifel sei es richtig, sich beim Absender telefonisch zu erkundigen, ob dieser tatsächlich eine Mail verschickt hat. Und wenn ein Link aus der E-Mail, auf den man bereits geklickt hat, doch einmal verdächtig erscheint? „Dann sofort den Rechner ausschalten und den IT-Service anrufen“, sagt Christian Wagner. Für die meisten Anwender*innen der Software ist das Thema IT-Sicherheit meist schwer zu durchblicken. Aus diesem Grund sollen laut Wagner zeitnah Awareness-Schulungen angeboten werden, mit dem Ziel, dem Eindringen von Schadsoftware vorzubeugen und ein besseres Verständnis für Cybersicherheit zu schaffen.