Bereits ein halbes Jahr ist es her, dass der Trojaner Grossangriffe auf diverse Stadtverwaltungen, Kliniken, Universitäten und Gerichte gefahren hat. Wie hoch die tatsächliche Opferzahl ist, bleibt jedoch weiterhin unbekannt. Viele Betroffene trauen sich nicht, einen Angriff auf die eigenen Server publik zu machen. Sei es aus Angst vor neuen Attacken oder zum vermeintlichen Schutz des eigenen Rufs, diese Verschwiegenheit ist genau der falsche Weg, um sich nachhaltig vor Schadsoftware zu schützen.
Betriebe wie die Stadtverwaltung vom niedersächsischen Neustadt am Rübenberge oder das c’t Medienunternehmen Heise publizieren ihre vergangenen Erkenntnisse nun jedoch, damit auch Andere aufhorchen: Obwohl die meisten bekannten Fälle in den Jahren 2018 und 2019 auftraten, ist mit “Emotet” nach wie vor nicht zu spassen, die Bedrohung nicht endgültig gebannt.
Über den “König der Schadsoftware”
Diesen denkwürdigen Titel erhielt der Trojaner von Arne Schönbohm, dem Chef des Bundesamts für Sicherheit in der Informationstechnik (BSI). Erstmals wurde der Trojaner 2014 als solcher identifiziert. Wie bei einem Virus hat die Software allerdings keine nachvollziehbare und unveränderliche Struktur, sondern hat sich über die Jahre entwickelt, ist quasi “mutiert”.
Vielleicht erhielt er seinen Namen auch in Anlehnung an den ägyptischen König “Imhotep”, was übersetzt so viel bedeutet wie “der in Frieden kommt”. Denn genau so tarnt sich der Trojaner häufig – unter dem Deckmantel simpler Spam-Emails mit Anhängen oder Download-Links vermittelt er auf den ersten Blick keinen allzu gefährlichen Eindruck.
Erst Ende 2018 wurde daher das wahre Bedrohungspotenzial erkannt und entsprechend von der BSI publik gemacht. Seinerzeit hat der Trojaner “nur” Zugangsdaten ausgespäht, heute ist er jedoch um einiges gefährlicher geworden: Der Trojaner dient insbesondere als sogenannter “Dropper”, der weitere Schadsoftware wie zum Beispiel Trickbot oder Ryuk verteilt. Im Gegensatz zu gewöhnlichen Spam-Mails bringt der König der Schadsoftware eine professionelle Tarnung mit, denn er ist in der Lage, zum Beispiel Outlook-Mailinhalte, Kontakte und weitere Daten auszulesen und diese als Basis zu nutzen.
So ist kaum ein Empfänger in der Lage, die Bedrohung als solche zu identifizieren. Wird ein tatsächlich existierender Schriftwechsel zitiert oder stammt die Mail von einer realen Kontaktperson, zweifelt kaum einer die Echtheit an und öffnet sowohl Email als auch Anhänge. Das war laut BSI auch mutmasslich der erstmalige Auslöser und förderte die überraschend schnelle Verbreitung.
Virenscanner am Rande ihres Limits
Nicht einmal die besten Virenscanner konnten erfolgreich vor Befall schützen, erklärt Andres Marx, Chef des Magdeburgers Testlabors für Antiviren. Grund dafür sind seiner Aussage nach die den Virenscannern sehr ähnlichen Methoden der Schadsoftware-Urheber. Egal ob statische oder dynamische Erkennungen zugrunde liegen, Viren werden vor Verbreitung meist entsprechend auf die gängigen Scanner gegengetestet. So hat zum Beispiel Antivirensoftware von McAfee das Berliner Kammergericht nicht vor einem Emotet-Befall beschützt.
Ein etwas klareres Indiz gab es im Falle Neustadt: Nach Angabe des Stadtrats Maic Schillack und dem IT-Leiter Tobias Niemeyer kam es an einigen Arbeitsplätzen zu Alarmen vonseiten der Antivirensoftware. Obwohl jedoch angemessen darauf reagiert wurde – diverse Computer wurden neu aufgesetzt und es fanden wiederholt vollständige Virenscans statt – entfaltete der Emotet-Trojaner seine volle Wirkung.
Erneut hatte sich der Trojaner-König geschickt getarnt. Auch in Sachen Heise gab es einen Angriffsverdacht, auf den sorgsam mit Viren-Reinigung reagiert wurde. Dennoch kam es zu Befall und Ausbreitung. All das lässt darauf schliessen, dass die Emotet-Software in der Lage ist, bestehende Antiviren-Programme auszutricksen und sich vor diesen nicht als Trojaner zu erkennen zu geben.
Die Fälle im Detail
Es war der Morgen des 6. Septembers 2019, als ein Mitarbeiter der IT-Abteilung im niedersächsischen Neustadt am Rübenberge eine ungewöhnlich hohe Serverauslastung im kommunalen Rechenzentrum feststellte. Da keine Wartungsarbeiten oder Testläufe gemeldet waren, wurden vorsorglich alle Server heruntergefahren. Trotzdem hatte der Trojaner, der erst viel später als solcher identifiziert wurde, seine volle Wirkung bereits entfaltet: Baupläne, Sozialbezugsanträge, digitale Formulare, sogar Steuerakten und Debitorendaten wurden verschlüsselt. Insgesamt ergab sich daraus eine Datensumme von weit über 570.000. Das Runterfahren aller Systeme war natürlich eine folgenschwere Entscheidung. Die Verwaltung mit über 500 Mitarbeitern war regelrecht arbeitsunfähig, nahezu alle bürgerlichen Dienstleistungen mussten eingestellt werden. Sowohl Leiter der IT-Abteilung als auch Stadtrat befanden sich im regen Austausch mit dem BSI. Durch Hinzuziehen externer Unterstützung wurde versucht, die Ausfallzeit im vertretbaren Bereich zu halten. Die gesamte Systeminfrastruktur wurde neu aufgebaut, die Server wieder eingerichtet, sämtliche Rechner neu aufgesetzt. So konnten binnen einer Woche nach und nach alle Verwaltungseinheiten ihren Betrieb wieder aufnehmen.
Auch “kleinere” Fälle kamen nach und nach ans Licht. Ende 2018 betraf es das Klinikum Fürstenfeldbruck mit 450 Computern, im Herbst 2019 das Kammergericht Berlin, anschliessend die Universität Giessen. Ungenauer datiert sind viele weitere Fälle wie die von Hochschulen Hannover und Freiburg oder der Stadtverwaltung Frankfurt am Main. Obwohl es danach aussieht, sind Ziele der Angriffe nicht nur Ämter oder Schulen, warnt die BSI. Innerhalb kürzester Zeit soll der Trojaner tausende Email-Konten sowohl von Bürgern als auch Firmen befallen haben. Die Dunkelziffer ist aufgrund dessen wahrscheinlich extrem hoch.
Cyberkriminalität mit niederen finanziellen Motiven
Offenbar werden nicht immer Daten verschlüsselt, um Betriebe lahmzulegen und ihnen auf finanzieller Ebene zu schaden, auch wenn das in Neustadt der Fall war. Die Mehrausgaben zur Systemsanierung beliefen sich dort auf schätzungsweise 150.000 Euro. So geben sich die wahren Übeltäter auch nicht immer zu erkennen. In Sachen Neustadt bekannten sich die augenscheinlichen Emotet-Kriminellen mit dem Angebot, die verschlüsselten Daten gegen eine Lösegeldzahlung zu bereinigen.
Exakte Angaben über Höhe der Lösegelder wurden nicht veröffentlicht, allerdings liess das BSI verlauten, dass die Erpresser ihre Forderungen in der Regel an die Finanzkraft der infizierten Unternehmen anpassen. Das macht erneut die Emotet-Dynamik deutlich: Der Trojaner spioniert zuerst die Unternehmensdaten wie Jahresumsatz aus, anschliessend wird ermittelt, welches maximale Lösegeld erzielt werden kann. So gab es wohl statt der reinen Erpressung auch Androhungen, bestimmte empfindliche Daten zu veröffentlichen.
Der Emotet-Entwickler ist nach wie vor nicht gefunden. Das BSI geht davon aus, dass die Schadsoftware an Dritte weitervermietet wird. Mit eigenen Bots und Ransomware nehmen die Auswirkungen dann ungeahnte Ausmasse an. Auch der Ursprung kann nur vermutet werden, Gerüchte ranken sich um Osteuropa.
Aus Fehlern der Vergangenheit lernen
Wie eingangs beschrieben will Neustadt aus seiner Misere Anderen die Möglichkeit bieten, sich auf Trojaner und Schadsoftware wie Emotet zu sensibilisieren. Lieber Vorsicht als Nachsehen, kein akuter Notfall sollte die erforderliche Schulung darstellen. Am Beispiel Neustadt wurden einige Vorschläge entwickelt, wie man sich effektiver schützen kann:
- Trotz zeitgemässer Technik sollten Sicherheitsmassnahmen nicht verringert werden. Essenzielle Daten, auf die man bei Bedarf auch im “offline” Status zugreifen muss, sollten separat und sicher verwahrt werden, zum Beispiel in Bankschliessfächern.
- Das Verhalten der Mitarbeiter spielt eine entscheidende Rolle. Erwiesenermassen glücken die meisten Angriffe aufgrund Fehlverhalten oder nicht artgerechtem Umgang mit infizierten Emails. Alle Mitarbeiter sollten also immerzu geschult und auf das Thema Schadsoftware sensibilisiert sein.
- Nicht nur im Notfall braucht es einen Entscheidungsträger, einen verantwortlichen Ansprechpartner, der schnell agieren kann. Dieser sammelt, lokalisiert und kommuniziert alle relevanten Informationen.
- Sofern man die Möglichkeit hat, sollten auf technischer Ebene Regelungen für eingehende Mails und Anhänge eingeführt werden. Auch Geschäftspartner können auf die Verwendung zeitgemässer Formate statt DOC oder ZIP-Dateien hingewiesen werden.
- Regelmässige Tests der eigenen Sicherheit machen Sinn. Die Software ist stets auf dem aktuellsten Stand zu halten, bei Bedarf helfen externe Experten.
- Nicht zuletzt sollten natürliche Verdachtsfälle polizeilich angezeigt werden. Nur so können die Übeltäter letztendlich irgendwann gefasst werden. Zusätzlich ist der Landesbeauftragte für Datenschutz ein geeigneter Ansprechpartner.