Bereits ein halbes Jahr ist es her, dass der Trojaner Grossangriffe auf diverse Stadtverwaltungen, Kliniken, Universitäten und Gerichte gefahren hat. Wie hoch die tatsächliche Opferzahl ist, bleibt weiterhin unbekannt. Viele Betroffene trauen sich nicht, einen Angriff auf die eigenen Server publik zu machen – sei es aus Angst vor neuen Attacken oder zum vermeintlichen Schutz des eigenen Rufs. Diese Verschwiegenheit ist genau der falsche Weg, um sich nachhaltig vor Schadsoftware zu schützen.
Betriebe wie die Stadtverwaltung vom niedersächsischen Neustadt am Rübenberge oder das Medienunternehmen Heise publizieren ihre Erkenntnisse nun, damit auch andere aufhorchen: Obwohl die meisten bekannten Fälle in den Jahren 2018 und 2019 auftraten, ist mit «Emotet» nach wie vor nicht zu spassen – die Bedrohung ist nicht endgültig gebannt.
Über den „König der Schadsoftware“
Diesen Titel vergab Arne Schönbohm, Chef des Bundesamts für Sicherheit in der Informationstechnik (BSI). Erstmals wurde Emotet 2014 als Trojaner identifiziert. Wie ein Virus hat die Software keine unveränderliche Struktur – sie hat sich über die Jahre entwickelt, ist quasi «mutiert».
Vielleicht spielt der Name auch auf den ägyptischen Gottesgelehrten «Imhotep» an, was übersetzt so viel bedeutet wie «der in Frieden kommt». Genau so tarnt sich der Trojaner: unter dem Deckmantel simpler Spam-Mails mit Anhängen oder Download-Links vermittelt er auf den ersten Blick keinen gefährlichen Eindruck.
Erst Ende 2018 wurde das wahre Bedrohungspotenzial erkannt und vom BSI publik gemacht. Damals spähte der Trojaner «nur» Zugangsdaten aus. Heute ist er gefährlicher: Er dient als sogenannter «Dropper», der weitere Schadsoftware wie Trickbot oder Ryuk verteilt. Was ihn von gewöhnlichem Spam unterscheidet – er liest Outlook-Mailinhalte, Kontakte und weitere Daten aus und nutzt diese als Tarnung.
Kaum jemand erkennt die Bedrohung als solche. Wird ein tatsächlich existierender Schriftwechsel zitiert oder stammt die Mail von einer echten Kontaktperson, zweifelt kaum jemand die Echtheit an und öffnet Anhänge. Das war laut BSI mutmasslich der erstmalige Auslöser und erklärt die überraschend schnelle Verbreitung.
Virenscanner am Rande ihres Limits
Nicht einmal die besten Virenscanner konnten zuverlässig vor Befall schützen, erklärt Andres Marx, Chef des Magdeburger Testlabors für Antiviren. Grund: Die Schadsoftware-Urheber testen ihre Programme vor Verbreitung systematisch gegen gängige Scanner – egal ob statische oder dynamische Erkennungsmethoden. Antivirensoftware von McAfee hat das Berliner Kammergericht beispielsweise nicht vor einem Emotet-Befall geschützt.
In Neustadt gab es immerhin Hinweise. Nach Angaben von Stadtrat Maic Schillack und IT-Leiter Tobias Niemeyer schlugen an einigen Arbeitsplätzen Antivirus-Alarme an. Die Reaktion war korrekt: Computer wurden neu aufgesetzt, vollständige Virenscans durchgeführt. Trotzdem entfaltete Emotet seine volle Wirkung.
Auch bei Heise gab es einen Angriffsverdacht, auf den mit Viren-Reinigung reagiert wurde – und trotzdem kam es zu Befall und Ausbreitung. Emotet ist offenbar in der Lage, bestehende Antiviren-Programme auszutricksen und sich dabei nicht als Trojaner zu erkennen zu geben.
Die Fälle im Detail
Am Morgen des 6. September 2019 stellte ein Mitarbeiter der IT-Abteilung in Neustadt am Rübenberge eine ungewöhnlich hohe Serverauslastung im kommunalen Rechenzentrum fest. Da keine Wartungsarbeiten gemeldet waren, wurden vorsorglich alle Server heruntergefahren. Zu spät: Der Trojaner hatte seine Wirkung bereits entfaltet. Baupläne, Sozialbezugsanträge, digitale Formulare, Steuerakten und Debitorendaten waren verschlüsselt – insgesamt über 570.000 Datensätze.
Die Folgen waren massiv. Die Verwaltung mit über 500 Mitarbeitern war arbeitsunfähig, nahezu alle Bürgerdienstleistungen mussten eingestellt werden. IT-Leitung und Stadtrat standen im engen Austausch mit dem BSI, externe Unterstützung wurde hinzugezogen. Die gesamte Systeminfrastruktur wurde neu aufgebaut, alle Rechner neu aufgesetzt. Binnen einer Woche konnten die Verwaltungseinheiten ihren Betrieb schrittweise wieder aufnehmen.
Weitere Fälle folgten. Ende 2018 traf es das Klinikum Fürstenfeldbruck mit 450 Computern, im Herbst 2019 das Kammergericht Berlin, danach die Universität Giessen. Weniger genau datiert sind Fälle der Hochschulen Hannover und Freiburg sowie der Stadtverwaltung Frankfurt am Main. Ziel sind nicht nur Behörden oder Bildungseinrichtungen, warnt das BSI – der Trojaner soll innerhalb kürzester Zeit tausende E-Mail-Konten von Bürgerinnen und Bürgern sowie Firmen befallen haben. Die Dunkelziffer dürfte entsprechend hoch sein.
Cyberkriminalität mit niederen finanziellen Motiven
Nicht immer geht es darum, Betriebe lahmzulegen. Manchmal reicht die Drohung. In Neustadt war die Datenverschlüsselung verbunden mit dem Angebot, die Daten gegen Lösegeld freizugeben – die Mehrausgaben zur Systemsanierung beliefen sich auf schätzungsweise 150.000 Euro.
Genaue Lösegeld-Summen wurden nicht veröffentlicht. Das BSI liess aber verlauten, dass die Erpresser ihre Forderungen an die Finanzkraft des jeweiligen Unternehmens anpassen. Das zeigt die eigentliche Emotet-Dynamik: Der Trojaner spioniert zuerst Unternehmensdaten wie den Jahresumsatz aus, dann wird das maximale Lösegeld ermittelt. Daneben gab es auch Androhungen, sensible Daten zu veröffentlichen.
Der Emotet-Entwickler ist bis heute nicht gefunden. Das BSI geht davon aus, dass die Schadsoftware an Dritte vermietet wird. Mit eigenen Bots und Ransomware nehmen die Auswirkungen dann ungeahnte Ausmasse an. Der Ursprung bleibt Spekulation – Gerüchte ranken sich um Osteuropa.
Aus Fehlern der Vergangenheit lernen
Neustadt hat sich entschieden, seine Erfahrungen zu teilen – damit andere sich auf Trojaner wie Emotet sensibilisieren können. Kein akuter Notfall sollte der Auslöser für Schulung sein. Am Beispiel Neustadt entstanden konkrete Empfehlungen:
- Zeitgemässe Technik ersetzt keine konsequenten Sicherheitsmassnahmen. Essenzielle Daten, auf die du auch offline zugreifen musst, solltest du separat und sicher verwahren – etwa in Bankschliessfächern.
- Das Verhalten der Mitarbeitenden ist entscheidend. Die meisten Angriffe gelingen wegen Fehlern im Umgang mit infizierten Mails. Regelmässige Schulungen zum Thema Schadsoftware sind Pflicht, nicht Kür.
- Es braucht eine verantwortliche Person, die im Ernstfall schnell entscheidet, Informationen sammelt, lokalisiert und kommuniziert – nicht nur im Notfall.
- Wo möglich, solltest du technische Regelungen für eingehende Mails und Anhänge einführen. Auch Geschäftspartner lassen sich auf zeitgemässe Formate statt DOC oder ZIP hinweisen.
- Regelmässige Sicherheitstests machen Sinn. Software ist stets aktuell zu halten – bei Bedarf helfen externe Fachleute.
- Verdachtsfälle sollten polizeilich angezeigt werden. Nur so können die Verantwortlichen irgendwann gefasst werden. Der kantonale oder Landesbeauftragte für Datenschutz ist ein weiterer Ansprechpartner.