Allgemein
Staatliche Stellen (Geheimdienste, NSA, ...) haben Methoden entwickelt, um zur Verbrechensbekämfung Computerviren einsetzen zu können. Das bedeutet, es gibt diesen Stellen die Möglichkeit, unbemerkt in Computer einzudringen und dort Schadsoftware zu platzieren. Kein Heilmittel ohne Nebenwirkungen. Diese Methoden blieben natürlich nicht in den IT-Abteilungen der öffentlichen Stellen verborgen, sondern sie wurden von Hackern in der ganzen Welt übernommen um wirklich effektiv und gefählich in die Computer von unschuldigen Menschen eindringen zu können. Diese sind diesen Bedrohungen oft schutzlos ausgeliefert.
Derzeit sind nur Windows-Systeme bedroht. Wenn Sie also einen Mac oder einen Linux-PC nutzen, können Sie erst einmal ruhig schlafen.
wie verbreitet sich Emotet?
Die Verbreitung von Emotet erfolgt über gefälschte E-Mails mit einem Anhang im Microsoft Office Format (xlsx, docx, pptx....). Beim Öffnen dieser Dateien wird ein Macro ausgeführt, das den Schädling herunter lädt und auf dem Computer installiert. Dabei gehen die Hacker sehr pfofessionell vor. Sie holen sich über ein infiziertes System die Kontaktliste und den E-Mailverkehr. Aus dem E-Mailverkehr entnehmen sie Absender, Empfänger und Betreffszeilen und senden dann eine Nachricht an eine gehackte Adresse mit dem zugehörigen Absender. Als Betreff übernehmen sie die Betreffszeile der gehackten Nachricht und schreiben z.B. "Zu diesem Thema habe ich noch einige Zusatzinformationen. Bitte Schau Dir doch das angehängte Dokument an und sende mir Deine Anmerkungen dazu zurück". Der Empfänger bekommt also eine Nachricht von einer Person, die er kennt, mit der er kürzlich Nachrichten ausgetauscht und mit einem Thema, das zu der Kommunikation passt. Und viele lassen sich dann dazu verleiten, auf das angehängte Dokument zu klicken, oder sie haben gar ihr System so eingestellt, dass Outlook dieses Dokument automatisch öffnet. Und dann ist das Virus installiert.
was macht Emotet?
Typischerweise passiert erst einmal gar nichts, zumindest nichts, was auffällig wäre. In einem Netzwerk sucht sich der Schädling aber andere PCs aus, in die er über die Hintertüren eindringt, die die oben erwähnten Stellen erkannt, offen gelassen und nicht veröffentlicht haben. Vielleicht wurden sie sogar bewusst eingebaut. Jedenfalls verteilt sich der Wurm im Netz und meldet seinerseits wieder Kontakt- und Mailinformationen an seinen Führungsserver. Die übertragene Datenmenge ist dabei so gering, dass der Schädling nicht über ein erhöhtes Datenvolumen erkannt werden kann.
Über den Führungsserver bekommt Emotet zu irgend einem Zeitpunkt ein neues Schadprogramm zugesendet. Dieses wird auf dem befallenen PC installiert und ausgeführt (z.B. Erpressungstrojaner, Spamschleuder etc.). Wenn dieses Programm durch einen Virenscanner erkannt und beseitigt werden sollte, bleibt Emotet dennoch aktiv und wartet auf den nächsten Auftrag.
Es wird vermutet, dass Schadsoftwareentwickler bei den Emotet-Entwicklern Angriffe kaufen können (Ein Schadsoftware-Entwickler bezahlt Emotet dafür, dass dieser seine eigene Schadsoftware verbreitet).
Wie schützen Sie sich vor Emotet?
Es versteht sich von selbst, dass regelmäßig Betriebssystemupdates und Updates der Antiviren-Software gemacht werden. Es ist weiterhin selbstverständlich, dass der Zugriff vom Internet auf den PC so weit abgeriegelt wird, wie möglich. Die beliebte Einstellung "exposed Host" in einer Fritz!Box bietet z.B. für Angreifer ein ideales Einfallstor und sollte keinesfalls verwendet werden, wenn dahinter nicht eine wirksame Firewall im Einsatz ist.
Es müssen regelmäßige Datensicherungen vorhanden sein. Dabei ist es allerdings essentiell, dass diese Datensicherungen auf einem Datenträger durchgeführt werden, welcher nicht permanent im Zugriff ist. Wenn ein Ransomware-Programm aktiv wird, verschlüsselt es sonst gleich die Datensicherung mit. Am Besten sichern Sie Ihre Daten in unserer Cloud. Hier werden die Daten mit einer Historie versehen und können, auch wenn Daten z.B. verschlüsselt wurden, wieder hergestellt werden.
Arbeiten Sie nicht mit einem Konto mit Administrator-Rechten am PC (Surfen, Mails schreiben, Anwendungsprogramme...). Richten Sie zwei Konten ein. Eines mit Administrator-Rechten, welches Sie zur Installation von Software und Systemänderungen nutzen und eines ohne Administrator-Rechte, welches für das normale Arbeiten verwendet wird. Wenn das Virus zuschlägt während Sie als Administrator angemeldet sind hat das Virus dementsprechend auch gleich Administratorrechte...
Öffne Sie Anhänge an einer E-Mail nur dann, wenn Sie sicher sind, dass diese virenfrei sind. Wenn Sie unerwartet eine Nachricht von einem Ihrer Mailpartner bekommen, die einen Anhang enthält, fragen Sie lieber telefonisch noch einmal bei ihm nach, ob er auch wirklich der Absender ist (Bitte nicht einfach auf "Antworten" klicken - Returnadressen können auch gefaked sein!).
Stellen Sie Ihre Office-Programme so ein, dass diese Makros nur nach Rückfrage ausführen. Wir sind sogar der Meinung, dass Makros in Office-Dateien nur auf ausdrückliche Anforderung des Benutzers ausgeführt werden dürften. Leider bietet Microsoft Office bis heute keine Einstellung, die dies ermöglicht. Aus diesem Grund sperren wir in unserer Organisation jegliche Makroausführung in Office Dokumenten. Wird aus irgend einem Grund die Ausführung eines Makros nötig, dann ändern wir für diesen Vorgang die Einstellungen und verbieten die Ausführung danach sofort wieder. Ok, ist vielleicht etwas umständlich, aber das Schadenspotential ist so groß, dass wir dieses Risiko nicht akzeptieren möchten - und wieviele Dokumente haben Sie, die die Ausführung von Makros nötig machen?
Informieren Sie Ihre Mitarbeiter über die Risiken und weisen Sie darauf hin, dass nicht jedes Fenster mit "Ok" weggeklickt werden darf. Nur wenn die Meldung in diesem Fenster klar und verständlich ist, dürfen Sie die Arbeit fortsetzen. Beim geringsten Zweifel fragen Sie bitte einen Fachmann!
Seien Sie sich dessen bewusst, dass trotz aller Anti-Virus-Programme, Spam-Blocker und Firewall-Einstellungen ein großes Risiko bleibt, weil das Virus ja durch den Anwender installiert wird. Es ist immer höchste Vorsicht angebracht, wenn E-Mail-Anhänge geöffnet, oder unbekannte Webseiten aufgerufen werden!
Was tun, wenn es Sie erwischt hat?
Ganz klare Aussage: Installieren Sie alle Rechner von Grund auf neu. Nur so sind Sie sicher, dass das Virus nicht irgendwo im Hintergrund schlummert und zu gegebener Zeit wieder aktiv wird.
Informieren Sie Ihre Mailpartner und warnen sie diese davor, Anhänge an Mails, die scheinbar von Ihnen kommen, zu öffnen.
Sie können Sie sich auch auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) informieren.
