Geschrieben am 04.07.2019 von:
In der Welt der IT-Sicherheit macht der Wurm Emotet bereits seit einiger Zeit Schlagzeilen. Er stellt seit nunmehr 5 Jahren eine Bedrohung für Firmen auf der ganzen Welt dar, wird immer weiter ausgebaut und zu gezielteren Angriffen genutzt. Doch was genau macht Emotet aus und wie können Unternehmen sich schützen?
Wie funktioniert Emotet?
Zuerst handelte es sich bei Emotet um einen „gewöhnlichen“ Banking-Trojaner, mit dem Zugangsdaten abgefangen wurden. Inzwischen ist der Wurm zu einer Plattform gereift, mit der unterschiedliche Arten von Schadsoftware verbreitet werden können. Es besteht mittlerweile sogar die Möglichkeit, die Dienste von Emotet zu mieten – Software-As-A-Service für Schadcode.
Grundsätzlich nutzt Emotet Spam-E-Mails für den Einstieg in das Zielsystem. Die Zeiten, in denen solche Schad-E-Mails durch gebrochenes Deutsch, fehlerhafte Links und unpersönliche Ansprache sofort verdächtig erschienen, sind allerdings vorbei. Neue E-Mail-Kampagnen werden gezielt auf die betroffenen Firmen oder Institutionen abgestimmt, nutzen individuelle Kontaktdaten und teilweise auch frühere Konversationen von Geschäftspartnern aus. So wird der Anschein erweckt, dass es sich um legitime E-Mails handelt. Anwender sollen mit diesen E-Mails zur Ausführung eines Anhangs bewegt werden, der dann ein Einfallstor für den folgenden Angriff sein kann.
Verbreitung im System
Ist der Wurm erfolgreich in ein System eingedrungen, versucht er sich auf andere Systeme im Netz zu verbreiten. Ein unmittelbares Schadereignis ist nicht unbedingt zu erwarten, denn solche Angriffe können wochen- oder monatelang unbemerkt bleiben. Der Wurm schlummert im Verborgenen und kann von den Angreifern aus der Ferne aktiviert werden. Wenn dies der Fall ist, können sowohl Daten an die Angreifer gesendet als auch andere Schadsoftware installiert werden. Der für viele Firmen wohl schlimmste Fall tritt dann ein, wenn der Wurm mit der Verschlüsselung von Daten beginnt und diese nur durch die Zahlung eines Lösegelds wieder freigegeben werden.
Betroffene können grob gesagt alle Anwender sein, die Windows einsetzen.
Empfehlungen
Es ist von großer Bedeutung, dass Sicherheitsupdates (Patches) für Windows möglichst unverzüglich installiert werden. Das erschwert dem Wurm erheblich die Verbreitung. Dabei gilt es auch, an Systeme ohne Internetverbindung zu denken – denn auch diese internen Netzverbindungen sind potenzielle Angriffsziele.
Alte Windows-Versionen ohne Updatemöglichkeit sollten unbedingt ersetzt werden, um das Risiko gering zu halten. Einzelne Systeme sind so gut wie möglich voneinander zu isolieren, damit im Fall einer Infektion die Ausbreitung rasch gestoppt werden kann. Die Segmentierung von Netzwerken durch VLANs oder eine physikalische Trennung ist hier nur der Anfang. Auch Netzübergänge sind gesondert abzusichern.
Bedeutung der IT-Sicherheit
Verschiedene Schutzsysteme müssen ineinandergreifen, um Bedrohungen abwehren zu können. Mögliche Angriffswege für Viren und Trojaner sind Datenträger und vor allem E-Mails, so dass auf diese besonders zu achten ist. Die Absicherung muss an allen denkbaren Punkten geschehen – so bieten sich Firewalls, E-Mail-Gateways, E-Mail-Server und Clients als notwendige Absicherungen an. Entschieden werden muss auch, ob die Gesamtlösung eines einzelnen Herstellers gewählt wird oder ob an verschiedenen Punkten unterschiedliche Lösungen zum Einsatz kommen sollen. Beide Ansätze haben Vor- und Nachteile, die individuell zu betrachten sind.
Die Wichtigkeit einer strukturell im Unternehmen und in Organisationen umgesetzten IT-Sicherheit ist nicht hoch genug einzuschätzen. Ein gut funktionierendes IT-Sicherheitsmanagement kann schon im Vorfeld die Anfälligkeit der IT-Systeme für Angriffe erheblich minimieren. Dazu gehört die Deaktivierung von nicht genutzten Diensten, die Trennung von Systemen sowie der Einsatz aktiver Abwehrmaßnahmen. Auch die Bedeutung von Anwenderschulungen darf nicht unterschätzt werden, denn die Nutzer von IT-Systemen stellen in der Regel das größte Sicherheitsrisiko dar.