In der DACH-Region wütete bis vor kurzem der Trojaner „Emotet“ und legte dabei ganze Unternehmen lahm. Bei vielen Firmen und Privatpersonen ist immer noch höchste Zeit zu handeln.

Es gilt ja schon länger, dass man bei E-Mails mit Dateianhang oder Links zu Webseiten argwöhnisch sein sollte – das gilt nicht erst im Fall der Malware Emotet. Die Schadsoftware verbreitet sich im Moment rasant über gefälschte Mails, die den Anschein erwecken, dass sie von Freunden, Geschäftspartner oder gar dem eigenen Chef kommen. Diese Mails sind sehr gut gemacht und wirken aufgrund legitimer Absenderadressen und fehlerfreien Deutsch sehr glaubhaft.

Als erste Maßnahme sollten in der Firma alle für das Thema sensibilisiert sein, das gelingt am besten mit Schulungen und Unterweisungen. Die Mitarbeiter sollten alle wissen, dass man bei Mails mit Dateianhängen generell Vorsicht walten sollen. Emotet verbreitet sich vor allem über Office-Dokumenten; häufig sind es angebliche Rechnungen im Format von Microsoft Word. Es zahlt sich aus, beim Absender solcher Dateien kurz nachzufragen, ob das seine Richtigkeit hat. Klar das kostet ein wenig Zeit, aber kann viel Unheil verhindern. Es ist auch keine Schande, sich bei einer möglichen Emotet-Mail nicht ganz sicher zu sein.

Abwehr von Makro-Malware

Die Infektion bei Emotet erfolgt normalerweise noch nicht beim Öffnen des Dokuments. Es erfordert das Ausführen von Makros. Dabei handelt es sich um Befehlsketten, um etwa Layoutaufgaben zu automatisieren oder Berechnungen in Tabellen durchzuführen. Die Autoren von Emotet nutzen die Befehle jedoch dafür, Schadsoftware aus dem Internet nachzuladen und zu installieren.

Da Makros in Word standardmäßig deaktiviert sind, besteht also beim Öffnen noch keine Gefahr, erst mit dem Mausklick auf „Inhalt aktivieren“ startet die eigentliche Infektion. Die Autoren der Malware tun  ihr Möglichstes, um den Anwender zu diesem Schritt zu verleiten. Im Normalfall ist es für ein Dokument, das via Mail kommt, nicht notwendig Makros zu benutzen. Fordert eine Datei aus einer Mail einem dazu auf, Makros zu aktivieren, dann handelt es sich häufig um einen Trojaner

Die Einstellung für Makros findet sich z.B. bei Office 2016 unter „Datei/Option/TrustCenter/Einstellungen für das TrustCenter/Makroeinstellungen“. Wenn man selbst nicht mit Makros arbeitet und diese auch nicht für eigene Workflows benötigt, sollte die sichere Variante „Alle Makros ohne Benachrichtigung deaktivieren“ auswählen. Diese Einstellung kann das Arbeiten mit Tabellen beeinträchtigen, deshalb sollte diese Maßnahme nur mit Bedacht gewählt werden. Man sollte den Gebrauch dieser gefährlichen Funktion so weit auch sinnvoll möglich verbieten.

In LibreOffice und OpenOffice funktionieren die Makros von Emotet-Dokumenten nach aktuellem Stand nicht. Ohne Makros können die aktuellen Emotet-Varianten das System nicht infizieren. Aber andere Trojaner können auch noch andere Tricks und auch die Cyberkriminell, die hinter Emotet stecken, können jederzeit eine neue Version etwa mit Schadprogrammen in Zip-Archiven in Umlauf bringen. Also sollte man sich auf diesen Schutz nicht allzu sehr verlassen.

Basisschutz

Für viele Computernutzer ist es selbstverständlich, aber offensichtlich immer noch nicht allgemeine Praxis: Ein Computer muss immer auf dem aktuellen Sicherheitsstand sein, damit er bestmöglich gegen Trojaner und sonstige Attacken geschützt ist. Überprüfe die Windows-Update-Funktion und überprüfe, ob auf dem Computer alle aktuellen Sicherheitspatches installiert sind. Ist das der Fall, kann sich Emotet beispielsweise nicht mehr über die Windows-Lücke EnternalBlue im Netzwerk weiterverbreiten. Die Update-Pflicht gilt auch für alle anderen Anwendungen, wie insbesondere Email-Clients und Webbrowser.

Die Trennung zwischen Administratoren und eingeschränkten Nutzern ist ein weiteres wichtiges Sicherheitskonzept. Während erstere das System verwalten und etwas auch neue Software installieren dürfen, sind die Rechte für normale Nutzer eingeschränkt. Damit beschränkt man auch den Schaden, den eine Malware auf dem System und im Netz anrichten kann. Gerade für Arbeitsplätze in Firmennetzen sollte man unbedingt Accounts mit eingeschränkten Rechten anlegen und nutzen.

Es ist ratsam einen Virenscanner mit aktuellen Signaturen installiert zu haben. Man sollte sich allerdings nicht blind auf den Schutz der Anti-Viren-Software verlassen – ganz gleich welcher Marke. Die Erfahrung hat gezeigt, dass es die Cyber-Kriminellen immer wieder gelingt, deren Schutzfunktionen zu umgehen. Eine Virenschutz-Software ist nur eine Baustein eines guten Sicherheitskonzepts.

Ohne Backup kein Mitleid!

Im Zuge einer Emotet-Infektion kommt oft noch weitere Schad-Software auf den Computer – häufig auch ein Erpressungstrojaner, der wichtige Daten verschlüsselt. Am sichersten ist man, wenn man seine Daten auch regelmäßig als Backup sichert. In Unternehmen sollte man das Backup mehrmals täglich machen. Wurde bisher noch kein Backup gemacht, dann sollte man spätestens jetzt damit beginnen. Mit wenigen Handgriffen kann man schon eine effektive und automatisierte Backup-Strategie erstellen.

Die Ransomware hat es aber nicht nur auf die internen Festplatten abgesehen, sondern auch alle Datenspeicher und Netzfestplatten (NAS), auf die vom System aus zugegriffen werden kann, wenn man eine externe Festplatte für die Sicherung verwendet, dann sollte diese nur für den Zeitpunkt des Backups an den Computer angeschlossen sein.

Nach der Infektion

Hat Emotet einen Rechner infiziert, sollte man den Rechner neu aufsetzen. Spielen Sie nicht an den Symptomen herum, bis der Computer wieder funktioniert. Emotet nimmt viele Veränderungen am System vor und lädt zusätzlich weitere Malware aus dem Internet nach und installiert diese. Man weiß nie, was noch alles auf dem Rechner gelandet ist

Emotet besitzt auch ausgeklügelte Methoden Informationen und speziell Passwörter zu stellen. Dafür nutzen sie teilweise öffentlich verfügbare Tools wie WebBrowserPass-Views und Mail PassView, um gespeicherte Passwörter aus dem System und Applikationen auszulesen. Zudem wird versucht auch das Netzwerk-Passwort der am System angemeldeten Nutzer zu ermitteln. Deshalb gilt für alle auf dem System eingesetzten Passwörter, dass diese als kompromittiert gelten und diese sollten so rasch wie möglich gewechselt werden.

Emotet versucht auch mit den gestohlenen Passwörtern, einem Wörterbuch aus häufig genutzten Passwörtern und dem EternalBlue-Exploit auf Netzwerkfreigaben zu verbinden und  über diese auch weitere Systeme im Netz zu infizieren. Infizierte Systeme sollten unbedingt sofort vom Netz genommen werden, um eine weitere Ausbreitung zu verhindern. Ein Anmelden mit privilegierten Accounts auf infizierten Systemen sollte ausbleiben, den das könnte die weitere Ausbreitung des Schädlings beschleunigen.

Anzeige erstatten

Jeder der Opfer geworden ist, sollte in jedem Fall Anzeige erstatten. Betroffene Firmen können sich jederzeit an die Cyber-Security-Hotline (0800 888 133) wenden, da erhält man rund um die Uhr kostenlos eine rasche telefonische Erstinformation und Notfallhilfe. Bei komplexeren Fragestellungen und für weitergehende Hilfeleistungen stellt diese auch Kontakt zu einem IT-Security-Unternehmen aus Ihrer Umgebung her.