Wegen Emotet geschlossen

0
1626
Um nach einer Infektion mit Emotet notwendige Bereinigungsarbeiten durchzuführen, haben einige öffentliche Einrichtungen zeitweise den Betrieb einstellen müssen. (Foto: Michael Bußmann, pixabay.com)

Kurz vor Weihnachten hat die Schadsoftware Emotet erneut Unternehmen, Behörden, Universitäten und Kliniken heimgesucht. In einigen Kommunen kamen Bürgerdienste sowohl online als auch vor Ort zeitweise zum Erliegen, weil IT-Systeme komplett heruntergefahren werden mussten. In einigen Einrichtungen dauern die Reparaturmaßnahmen noch an. Erstmals hat es auch den Bund erwischt.

In welcher Bundesbehörde der schwere Vorfall seinen Anfang genommen hat, darüber herrscht Schweigen (“Opferschutz”). Klar ist jedoch, dass dieses erste Eindringen Nebenwirkungen für die gesamte Bundesverwaltung hatte. Im Namen mehrerer bereits befallener Bundesbehörden wurden weitere schadhafte Mails verschickt. Folge waren weitere Infektionen. Betroffen waren über den Umweg auch nachgeordnete Behörden im Geschäftsbereich des Bundesinnenministeriums (BMI), so das Technische Hilfswerk. Auch das Ministerium selbst blieb nicht verschont. Über Art und Ausmaß der Schäden lässt sich im Moment nichts Sicheres sagen. Im Zuge der Bereinigung mussten teils IT-Systeme heruntergefahren werden.

Auch öffentliche Einrichtungen in Hessen hatten um den Jahreswechsel mit Emotet zu kämpfen. Kurz vor Weihnachten ist die Stadtverwaltung Frankfurt am Main offline gegangen, um eine Verbreitung des Schädlings einzudämmen. Einfallstor war hier ein Rechner in einem Bürgeramt. Die Universität Gießen hatte einen schweren Befall schon Anfang Dezember 2019 festgestellt. Reparaturarbeiten dauern dort noch an und werden sich voraussichtlich noch bis in den Februar hinziehen. In Bayern waren das Klinikum Fürth und die Stadtverwaltung Nürnberg betroffen. Während letztere glimpflich davongekommen ist, konnten im Krankenhaus vorübergehend keine Patienten im Rahmen des Rettungsdienstes aufgenommen werden. Planbare Operationen wurden verschoben. In einer früheren Angriffswelle im September waren unter anderem die niedersächsische Stadt Neustadt am Rübenberge, die Medizinische Hochschule Hannover und das Berliner Kammergericht betroffen gewesen.

Das Problem mit Emotet: Der von BSI-Präsident Arne Schönbohm schon im Dezember 2018 als “weltweit gefährlichste Schadsoftware” bezeichnete Trojaner ist nicht nur besonders erfolgreich darin, auch in solide abgesicherten Netzwerken Fuß zu fassen. Die möglichen Schäden sind auch besonders weitreichend. Eine automatisierte Auswertung des Mail-Verkehrs bereits betroffener Nutzer erlaubt Emotet die Ableitung persönlich und authentisch wirkender Phishing-Mails im Namen von Kollegen, Geschäftspartnern und sonstigen Kontakten. Grundlage sind Methoden, die zuvor nur von professionellen und langfristig durchgeführten Angriffen auf besonders kritische Ziele bekannt waren.

Einmal auf dem Rechner, kann Emotet weitere Schadsoftware nachladen, mit der Zugangsdaten abgezogen oder ein vollständiger Fernzugriff auf Systeme realisiert werden kann. Typisch ist eine Verschlüsselung von Daten mittels Ransomware und die Erpressung von Lösegeld. Anders als bei früheren Kampagnen werden zumeist keine Pauschalforderungen gestellt. Vielmehr sehen sich die Täter häufig zunächst in den kompromittierten Netzwerken um und passen das Lösegeld individuell an Zahlungsfähigkeit und Sensibilität der vorgefundenen Daten und Systeme an.

Von Emotet nachgeladene Software kann zur automatisierten Weiterverbreitung auch verschiedene Sicherheitslücken nutzen, die in nicht optimal abgesicherten Netzwerken vorkommen. Dass Emotet technisch so mächtig und vielseitig ist, macht es besonders beliebt. Im Sommer 2019 gab es bereits über 30.000 Varianten. Nach wie vor kommen täglich neue dazu und diese können nicht immer sofort durch Standard-Virenscanner erkannt werden.

Die Cyber Akademie richtet sich mit einem Sonderseminar im März an alle IT-Mitarbeitende des öffentlichen und privaten Sektors, um einer weiteren Ausbreitung vorzubeugen. Mehr Informationen zum findet man hier.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here