Wir haben die Schlacht gewonnen, aber nicht den Krieg

Blog Cybersicherheit Phishing
Pic Source: via Unsplash

In den letzten Jahren stand das bösartige Botnet Emotet regelmäßig an der Spitze der Rankings der gefährlichsten Cyberbedrohungen. Nun ist die Malware, die sich seit 2014 als Trojaner verbreitete, im Rahmen einer konzertierten Aktion von Europol und BKA unschädlich gemacht worden. Was bedeutet das für die aktuelle Bedrohungslage? Ist die Gefahr von Cyberattacken nun geringer? Ja und nein, denn da draußen lauern noch unzählige andere Angreifer und Cyberkriminelle.

Noch im letzten Jahr führte die berüchtigte Malware den „Global Threat Index 2020“ als derzeit gefährlichste Schadsoftware an. Fast 20 Prozent aller deutschen Unternehmen waren im Dezember davon betroffen. Einer mit Emotet verseuchten Spam-Kampagne fielen im letzten Sommer noch einmal 100.000 User zum Opfer. So hatte Emotet am Kammergericht Berlin zu einem Totalschaden der IT geführt. Das Gericht musste vom Berliner Landesnetz getrennt werden. Die Schadsoftware hatte auch im Klinikum Fürth und bei der Stadtverwaltung Frankfurt am Main erhebliche Schäden verursacht – und auch bei Zehntausenden Privatpersonen. Nach Einschätzung der Ermittler entstand allein in Deutschland ein Schaden in Höhe von mindestens 14,5 Millionen Euro.

Türöffner für weitere Schadsoftware

Das Perfide an Emotet: Die Malware fungiert als Türöffner für weitere Schädlinge. Es hat also nicht nur Daten gestohlen, sondern auch die Hintertüren für weitere Malware geöffnet. Früher als Banking-Trojaner eingesetzt, diente Emotet zuletzt eher als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzte verschiedene Methoden, um betriebsbereit zu bleiben und kannte Ausweichtechniken, um einer Entdeckung zu entgehen.

„Die ‚Emotet‘-Infrastruktur funktionierte im Kern wie ein erster Türöffner in Computer-Systeme auf weltweiter Ebene“, so die Behörde. „Das System konnte auf einzigartige Weise ganze Netzwerke infizieren, nur durch den Zugang zu ein paar wenigen Apparaten.“ Über ein Word-Dokument, häufig getarnt als harmlos wirkender Anhang einer E-Mail oder auch als Link, wurde in das System eingebrochen, schilderte Europol.

Sobald der illegale Zugang gelungen war, wurde dieser an Cyber-Kriminelle verkauft. Diese konnten wiederum eigene Trojaner einschleusen, um etwa an Bankdaten zu gelangen, erbeutete Daten weiterzuverkaufen oder aber Lösegeld für blockierte Daten zu erpressen.

BKA: Emotet-Infrastruktur unter Kontrolle und zerstört

Am letzten Mittwoch war es dann vorbei mit den Aktivitäten des Trojaners: Das Bundeskriminalamt (BKA) und die Generalstaatsanwaltschaft Frankfurt teilten mit, dass es deutschen Ermittlern und einer internationalen Ermittlergruppe im Rahmen einer konzertierten Aktion gelungen ist, die kriminelle Software unschädlich zu machen. Die Polizeibehörde Europol teilte mit, die weltweite Infrastruktur auf mehreren hundert Rechnern sei zunächst unter Kontrolle gebracht und dann zerstört worden. Der Einsatz habe mehr als zwei Jahre gedauert. Er sei unter deutscher und niederländischer Leitung mit Ermittlern aus insgesamt acht Ländern durchgeführt worden. Die Zerschlagung sei zusammen mit den Strafverfolgungsbehörden der Niederlande, der Ukraine, Litauens, Frankreichs, Großbritanniens, Kanadas und den USA erfolgt, so das BKA.

Die Ermittler hatten zunächst in Deutschland verschiedene Server identifiziert, mit denen die Schadsoftware verteilt wurde, später dann weitere im europäischen Ausland. Allein in Deutschland haben die Ermittler bisher 17 Server beschlagnahmt. In der Ukraine übernahmen die Strafverfolger bei einem der mutmaßlichen Betreiber zunächst die Kontrolle über die Emotet-Infrastruktur. Dadurch, heißt es in der Pressemitteilung, „war es möglich, die Schadsoftware auf betroffenen deutschen Opfersystemen für die Täter unbrauchbar zu machen“. Das heißt: Dort, wo Emotet bereits in ein System eingedrungen war, wurde die Malware so verschoben, dass sie keinen Schaden mehr anrichten kann. Zudem konnte sie nur noch mit Servern kommunizieren, die zur Beweissicherung betrieben wurden.

„Malware-as-a-Service“

Emotet war eines der „gefährlichsten Instrumente für Cyber-Attacken“ der letzten Jahre, sagte eine Sprecherin von Europol. Das kriminelle Geschäftsmodell von Emotet könne als „Malware-as-a-Service“ bezeichnet werden. Es habe weiteren Kriminellen die Grundlage für zielgerichtete Cyber-Angriffe geboten.

„Die Strafverfolgungsbehörden haben es geschafft, die Infrastruktur zu übernehmen“, beschreibt Monika Bubela, Cyber Security Specialist bei Perseus, den Zugriff der Ermittlungsbehörden, „das bedeutet, dass die infizierten Rechner nun an die Strafverfolgungsbehörden und nicht an die Kriminellen weitergeleitet werden. Vereinfacht kann man sagen, dass die Kriminellen den Zugriff auf die infizierte Infrastruktur verloren haben und die weitere Ausbreitung der Malware verhindert wurde. Der niederländischen Polizei ist es auch gelungen, eine Datenbank mit gestohlenen E-Mails wiederherzustellen, so dass Benutzer überprüfen können, ob ihre E-Mails betroffen waren.“

Ist die Gefahr von Cyberangriffen dadurch nun deutlich geringer geworden?

„Die Bedeutung dieses Schlags gegen Cyberkriminelle ist sehr groß, da Emotet eine der aktivsten und am schwersten zu beseitigenden Malware war und sich leicht verbreitete, so Bubela, „Emotet ist im Moment also „befriedet“ und auf Eis gelegt, stellt also keine Bedrohung mehr dar.“

Zumindest im Moment: Es ist durchaus möglich, dass Emotet in den infizierten System noch rechtzeitig weitere Schadsoftware nachgeladen hat. Und die könnten weiterhin aktiv bleiben. Auch der Fall „Trickbot“ hat gezeigt, dass die Abschaltung der Infrastruktur nicht zwingend das Ende der kriminellen Aktivitäten bedeutet: Im Oktober lahmgelegt, war der Banking-Trojaner schon vier Wochen später wieder aktiv.

Ist Emotet damit endgültig erledigt?

Auch BSI-Präsident Schönbohm betrachtet Emotet noch nicht als erledigtes Problem. „Wenn Sie Informationen Ihres Providers über eine Emotet-Infektion Ihrer Systeme erhalten, nehmen Sie diese bitte ernst“, teilte er mit und verwies auf die Hilfestellung seiner Behörde.

„Bereinigen Sie Ihre Systeme! Wenn Emotet Ihre Systeme infiziert hat, müssen wir davon ausgehen, dass dies auch anderer Schadsoftware gelungen ist.“

Die Frage ist, ob die Emotet-Betreiber – vorausgesetzt, sie werden nicht inhaftiert – eine neue Infrastruktur aufbauen. Dieser Neuaufbau würde zumindest viel Zeit kosten – und Geld. So hat diese konzentierte Schlag gegen die Cyberkriminalität zumindest für eine Verschnaufpause gesorgt.

Da nicht sicher ist, ob und wann Emotet wieder auftauchen wird, gibt die „Allianz für Cybersicherheit“ nützliche Tipps zum Thema:

Wir nehmen Datenschutz ernst.

Wir nutzen Cookies, um Ihnen bestmögliche Funktionalitäten bieten zu können und Informationen zu erhalten, um die Webseite hinsichtlich Inhalt, Reichweite, Performance und Sicherheit ständig zu verbessern.

Essentielle Cookies (1)

Essentielle Cookies ermöglichen grundlegende Funktionen und sind daher für den reibungslosen Ablauf der Webseite notwendig, aus diesem Grund ist eine einzelne Deaktivierung nicht möglich. Sie werden ausschließlich von uns genutzt. Für die Nutzung von essentiellen Cookies ist Ihre Einwilligung nicht erforderlich.

Technische Cookies (1)

  • Google Tag Manager
    ?

    Der Google Tag Manager dient der Verwaltung von Webseiten-Tags. Er erfasst und verarbeitet keine personenbezogenen Daten. Allerdings kann er andere Cookies auslösen, die diese unter Umständen verarbeiten. Wir nutzen ihn für Cookie-Management. Über ihn wird die Einwilligung zum setzen von Cookies eingeholt und verwaltet.

    • Cookie-Namen:
      gtm, gtm_auth, gtm_debug, gtm_preview, eng_mt, trctestcookie
    • Ablaufdatum:
      2 Jahre, Sitzung, Sitzung, Sitzung, fortdauernd, Sitzung
    • Unternehmen:
      Google Ireland Ltd.

Funktionale Cookies (3)

Funktionale Cookies setzen wir ein, um personalisierte Daten, wie z.B. Ihre Sprachpräferenz anonymisiert zu speichern und so beim nächsten Mal automatisch wieder aufzurufen. Funktionale Cookies können außerdem dazu genutzt werden, angeforderte Funktionen wie das Abspielen von Videos zu ermöglichen. Die Daten werden nicht an Dritte weitergegeben und verfolgen nicht Ihre Bewegung auf anderen Internetseiten.

Darstellung (1)

  • Vimeo
    ?

    Mit Hilfe des Vimeo-Cookies können Sie die Erklärvideos auf unserer Webseite sehen.

    • Cookie-Namen:
      vuid
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Vimeo LLC

Kommunikation (2)

  • Freshworks Webforms
    ?

    Mit Hilfe des Cloudflare-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      _cfduid
    • Ablaufdatum:
      30 Tage
    • Unternehmen:
      Cloudflare, Inc. im Formular von Freshworks, Inc.
  • SendInBlue
    ?

    Mit Hilfe des sib-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      sib_cuid
    • Ablaufdatum:
      6 Monate
    • Unternehmen:
      Sendinblue

Analysen und Statistiken (3)

Statistik-Cookies erfassen Informationen pseudonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher die Webseite nutzen, zum Beispiel welche Seiten besonders häufig geklickt werden. Dadurch können wir unsere Inhalte und Funktionen an ihre Interessen anpassen. Bei Deaktivierung können Probleme mit einzelnen Funktionalitäten der Webseite auftreten.

Analytische Cookies (3)

  • Google Analytics / Google Analytics Audiences
    ?

    Google Analytics: Die Cookies von Google Analytics liefern uns durch statistische Auswertungen Informationen zur optimalen Gestaltung der Webseite für unsere Kunden. Google Analytics Audiences: Cookies von Google für Zielgruppen-Analyse. Dient der Gruppierung von Benutzern auf der Grundlage einer beliebigen Kombination von Attributen.

    • Cookie-Namen:
      _ga, _gat, _gid, ads/ga-audiences
    • Ablaufdatum:
      2 Jahre, 1 Tag, 1 Tag, Sitzung
    • Unternehmen:
      Google Ireland Ltd.
  • Google Optimize / Double Click
    ?

    Mit Google Optimize-Cookies können wir die Nutzererfahrung auf unserer Webseite verbessern.

    • Cookie-Namen:
      _gat
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Google Irland Ltd.
  • Hotjar
    ?

    Cookies von Hotjar für Webseiten-Analyse. Damit lassen sich die Bewegungen der Nutzer unserer Internetseite anonymisiert nachvollziehen (sog. Heatmaps) zur Verbesserung ihrer Bedienungsfreundlichkeit.

    • Cookie-Namen:
      _hjid, _hjid, _hjIncludedInSampl, _hjViewportId, _hjRecordingEnabled, _hjRecordingLastActivity, _hjTLDTest
    • Ablaufdatum:
      1 Jahr, fortdauernd, Sitzung, Sitzung, Sitzung, Sitzung, Sitzung
    • Unternehmen:
      Hotjar Ltd.

Marketing- und sonstige Third-Party-Cookies (2)

Cookies für Marketing und Cookies von Dritten (Third-Party-Cookies) werden bei uns genutzt, um den Erfolg von Marketingmaßnahmen messen zu können z.B. ob man eine Webseite besucht hat. Sie können auch dazu dienen, diese im Anschluss entsprechend zu steuern z.B. die Häufigkeit einer angezeigten Anzeige zu limitieren. Es ist möglich, dass diese Information mit Dritten, wie z.B. Werbetreibenden, geteilt wird. Häufig werden diese Cookies auch mit Seitenfunktionalitäten von Dritten verbunden.

Social Media (1)

  • Facebook Connect/ Facebook Pixel
    ?

    Durch den Einsatz des Facebook Pixels können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine Facebook-Anzeige angesehen oder angeklickt haben. Facebook kann die Daten für die zielgerichtete Ausspielung von Werbeanzeigen nutzen.

    • Cookie-Namen:
      _fbp, fr, tr
    • Ablaufdatum:
      3 Monate, 3 Monate, Sitzung
    • Unternehmen:
      Facebook Ireland Ltd.

Personalisierte Werbung (1)

  • LinkedIn Marketing Solutions/LinkedIn Ads
    ?

    Durch den Einsatz der LinkedIn Marketinglösung-Cookies können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine LinkedIn-Anzeige angesehen oder angeklickt haben.

    • Cookie-Namen:
      lang (2x), bcookie, bscookie, lidc, UserMatchHistory
    • Ablaufdatum:
      Sitzung, 2 Jahre, 2 Jahre, 1 Tag, 29 Tage
    • Unternehmen:
      LinkedIn Ireland Unlimited