Bereits im Dezember 2019 verbreitete sich kurz vor Weihnachten eine ganz erhebliche Emotet-Welle. Damals hatte auch das BSI eine akute Warnmeldung herausgegeben, weil offenkundig gleich mehrere Bundesbehörden betroffen sind. Weiterhin waren mehrere Hochschulen, Städte, Krankenhäuser – und natürlich auch Firmennetzwerke betroffen. Nunmehr, im Sommer 2020, warnt das LKA NRW vor einer neuen erheblichen Welle nach dem Hack eines grossen Anbieters und dessen Kontaktdatenbank:
Unbekannte Cyberkriminelle verbreiten derzeit zahllose E-Mails mit Emotet- Schadsoftware, indem sie authentisch wirkende E-Mails mit einem trügerischen Link oder einem infizierten Anhang versehen und versenden (…) So haben in dieser Woche unbekannte Täter die IT einer Firma mit der komplexen und gefährlichen Schadsoftware infiziert, sich anschließend Zugriff auf die Adressbücher verschafft und die gefälschten E-Mails an insgesamt 36.000 weitere Firmen versendet. Erst letzte Woche hat ein derartiger virtueller Angriff in einem Fall einen Schaden von 100.000 Euro verursacht.
LKA NRW, PM vom 31.07.2020
Das Problem ist dabei insbesondere ein intensiviertes und perfideres Vorgehen der Malware Emotet, weswegen ich an dieser Stelle nochmals eine eindringliche Warnung herausgebe.
Emotet nutzt vorhandene Daten für Dynamit Phishing
Es wird von Emotet – schon seit längerem – auf Dynamit Phishing gesetzt, was heisst: Es wird nicht einfach irgendeine Schrott-Mail versendet, sondern die Mail ist aggressiv, menschliche Affektionen ansprechend und setzt inzwischen auf vorhandene Korrespondenz.
Ausnutzung eines affektiven Zustands
Ein sehr anschauliches Beispiel findet sich bei der Polizei Niedersachsen: Hier wurde (für einen anderen Trojaner) eine Mail generiert, die mit einem Foto zielgerichtet an Gewerbetreibende aus der Gastronomie versendet wurde und die Angst mit einer Lebensmittelvergiftung und einem laufenden Ermittlungsverfahren machte. Das Ziel am Ende: Panik erzeugen, damit der Leser in einer hektischen Reaktion den Mail-Anhang öffnet. Hier wird beispielhaft ein affektiver Zustand des Empfängers zielgerichtet ausgenutzt.
Gut getarnte Word-Mails
Ein anderes Beispiel erreichte mich gestern und veranschaulicht, wie man auch einfach durch gut getarnte Word-Dateien jedenfalls nicht ganz so technisch versierte Nutzer in die irre führen kann. Hier wird eine Word-Datei verschickt, die durch eine gute Gestaltung dazu aufruft, ein Word-internes Makro auszuführen. Das geht so:
Schritt 1: Gestaltung der Mail: Ich habe wiedermal meine Rechnungen nicht bezahlt und werde zur Zahlung aufgefordert. Im Anhang ist eine DOCM Datei, die man mit Word öffnet, auf die der Virenscanner nicht angeschlagen hat.
Schritt 2: Wenn man die Datei dann öffnet, sieht man einen angeblichen Dokumentenschutz, den man erst ausschalten muss durch einen Klick auf das gelbe Banner. Aber: Damit wird dann das Makro ausgeführt.
Die Technik dahinter ist dann im Regelfall recht simpel: Es wird – gerne über den Umweg eines lokal abgelegten codierten JavaScripts – der Download des Trojaners durchgeführt. Durch dieses Vorgehen, insbesondere die codierte Javascript-Datei, schlagen Virenscanner nicht an. Eine etwas komplexere Analyse findet man etwa hier, ich möchte mir das an dieser Stelle sparen. Die Masche selber ist auch nicht wirklich neu, ich kenne sie seit Jahren und in einem englischsprachigen Artikel hier findet man eine sehr schöne Darstellung auf die ich ergänzend verweise.
Das Problem ist die vitale Unfähigkeit einer Vielzahl von Betroffenen: In den letzten Tagen bekam ich nochmals gehäuft Mails zum Jahresende mit Dateianhängen, die in Ordnung waren – sowohl die Schulen, einige Behörden in meinem Umfeld, selbst Amtsgerichte und Landgerichte, verschicken Anschreiben per Mail mit einem Word-Anhang. Als wäre es so ein Problem, die Datei als PDF zu speichern. Einfache Unwissenheit und technische Unerfahrenheit schaffen hier ein erhebliches Risiko.
Problem Datenschutzbehörde?
Ich möchte es offen sagen: Es nervt in Deutschland, wenn es um das Thema Cybersecurity geht: Das bayrische LDA etwa weist vollkommen zu Recht darauf hin, dass ein Fall einer Emotet-Infektion ein meldepflichtiger Vorgang ist. Das Problem ist die daran hängende erhebliche Bussgeldgefahr – anstelle eine Meldepflicht an das BSI samt aktiver Unterstützung zu etablieren, wird wieder einmal seitens des Gesetzgebers und der Behörden mit Sanktionen gedroht. Dabei können derartige Angriffe gerade für KMU regelrecht existenzbedrohend werden. Das Konzept muss an dieser Stelle dringend überdacht werden, andernfalls darf man sich nicht wundern, wenn gerade kleinere Betriebe versuchen zu vertuschen (und damit die Infektionsgefahr drastisch steigern!).
Wie schützt man sich vor Emotet?
Ich bemerke seit Wochen eine zunehmende Intensität der Problematik, was zumindest insoweit interessant ist, weil die Verbreitung des Computervirus damit ähnlich einem Grippevirus ist – in der Winterzeit und zum Jahresende wird es stärker in der Verbreitung.
Da bei Emotet menschliche Schwächen ausgenutzt werden, sehe ich keine allgemeinen Hinweise. Selbst der Hinweis, Makros zu deaktivieren ist begrenzt wirksam wenn man auf mein obiges Beispiel blickt. Ich sehe folgende nicht abschliessende Ratschläge:
- Mails müssen behutsam geöffnet werden. Niemals darf ein Dateianhang, egal welcher, „einfach mal kurz“ geöffnet werden. Bevor Anhänge – und dazu gehören auch Links! – angeklickt werden, muss eine Prüfung der Mail stattfinden.
- Wenn man selber nicht weiss worauf man achten soll oder die eigenen Mitarbeiter hier nicht ausreichend informiert sind, ist das kein Grund für eine Ausnahme sondern ein zwingender Grund, sich sofort Schulungen zu holen (bei mir folgt zu typischen Merkmalen von schadhaften Mails noch ein Artikel, den ich dann hier verlinke)
- Meine Faustformel ist: Es wird gar kein Dateianhang geöffnet, wenn er etwas anderes als eine PDF-Datei ist. Und auch PDF-Dateien bieten Angriffspotential, das soll bitte nicht als Freibrief für PDF verstanden werden, sondern nur als erstes Kriterium.
- Und wenn ich schon dabei bin: Fremde USB-Sticks, fremde Speicherkarten und auch ein Zugang per WLAN in das eigene Netzwerk für Kunden sollten schlichtweg ein „NoGo“ sein. Machen Sie sich nichts vor: Sie brauchen ein Sicherheitskonzept, egal ob 1-Mann-Betrieb oder Grossunternehmen. Einen Einstieg in die Generierung eines eigenen Sicherheitskonzepts finden Sie hier bei der Allianz für Cybersicherheit.
- Bauen Sie Brücken für die Angestellten: Wenn ein Angestellter versehentlich einen eventuell schadhaften Anhang geöffnet hat, tickt die Uhr. Sie können jetzt nicht brauchen, dass nur weil dieser Angst vor der Meldung hat die Situation über Stunden unkontrolliert eskaliert. Sorgen Sie für eine Atmosphäre des Vertrauens um sofortige Kommunikation zu ermöglichen. Mit am schlimmsten wäre es, wenn ein Angestellter auch noch versucht aktiv zu vertuschen (was arbeitsrechtlich für den Arbeitnehmer problematisch wäre, das nur am Rande).
Was tun nach einer Emotet-Infektion?
So hart es ist: Nicht panisch werden, sondern sich Hilfe holen, zielgerichtet vorgehen. Bei einem akuten Befall erscheint es sinnvoll, in einem ersten Schritt sämtliche Netzwerkverbindungen zu kappen aber den Rechner nicht auszuschalten – die Devise ist, sämtliche Rechner im eigenen Netzwerk zu isolieren.
So schwer es im weiteren Vorgehen auch ist, die eventuell Betroffenen Unternehmen und Personen müssen informiert werden, um sich auf eventuelle Angriffe einzustellen. Das bedeutet, man erfüllt seine Meldepflicht und informiert zusätzlich die jeweils Betroffenen in geeigneter Form. Wer das nicht tut, muss sich darüber im Klaren sein, dass hier – jedenfalls im Rahmen laufender Geschäftsbeziehungen – vertragliche Fürsorgepflichten bestehen und möglicherweise (Rechtsprechung hierzu gibt es nicht) bei Außer-Acht-Lassen naheliegender Verhaltensweisen die zu Schäden führen, Schadensersatzansprüche bestehen.
Im Übrigen: Holen Sie sich Hilfe, von einem ITler, der unmittelbar verfügbar ist und Ihnen bei der Sicherung der (sofort isolierten) Infrastruktur hilft.
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht.