BR24 Logo
BR24 Logo
Startseite
© picture alliance / Zoonar | Alexander Limbach
Bildrechte: picture alliance / Zoonar | Alexander Limbach

Die Malware Emotet schleuste Trojaner in Computer ein und konnte sie so ausspionieren

Per Mail sharen

    FAQ: Was bedeutet die Zerschlagung der Malware Emotet?

    Die gefährlichste Schadsoftware der Welt ist Geschichte: Emotet ist zerschlagen. Das ist eine gute Nachricht, doch das Problem mit Erpressersoftware bleibt. Die wichtigsten Fragen zum Fall Emotet und wie man sich vor Malware schützen kann.

    Per Mail sharen
    Von
    • Bernd Oswald

    Emotet war die wohl übelste Schadsoftware der IT-Geschichte. Cyber-Kriminelle schickten ihren Opfern Mails, in denen sich zum Beispiel gefälschte Rechnungen, Lieferankündigungen oder angebliche Informationen über Covid-19 befanden. Meistens steckte die Malware in einer Datei, häufig einem Word-Dokument, und zwar in Form eines Makros, eines kleinen, aber bösartigen Programms. Wenn das ausgeführt wurde, lud es alle mögliche Malware nach, zum Beispiel Trojaner, digitale Hintertürchen und Erpresser-Software. Es sind aber auch Fälle bekannt, in dem sich Emotet durch den Klick auf einen Link installierte.

    Wie funktionierte Emotet?

    Emotet schleuste sich auch in die E-Mail-Kommunikation von Opfern ein, indem es auf E-Mails von Kontakten mit einer schädlichen E-Mail antwortete. Weil die Wahrscheinlichkeit groß ist, dass E-Mails von bekannten Gesprächspartnern geöffnet werden, konnte sich Emotet auf diese Weise weit verbreiten.

    War Emotet erst mal auf einem Rechner installiert, hatte der Angreifer eine Fern-Kontrolle (“Remote Access”) über dieses System und konnte zum Beispiel eigene Trojaner einschleusen, Daten verschlüsseln und Lösegeld für die Entschlüsselung verlangen oder erbeutete Daten weiterverkaufen. Manchmal wurde auch einfach nur der Zugang zu einem infizierten Rechner an andere Cyber-Kriminelle verkauft.

    Wegen der zahlreichen Angriffsmöglichkeiten bezeichnete das Bundesamt für Sicherheit in der Informationstechnik (BSI) Emotet 2018 als “gefährlichste Schadsoftware der Welt”.

    Inwiefern ist Emotet jetzt ausgeschaltet?

    Am 26. Januar haben Ermittler in Deutschland, Frankreich, England, den Niederlanden, Litauen, der Ukraine, Kanada und den USA verschiedene Server beschlagnahmt, von denen die Schadsoftware verteilt wurde und die angegriffenen Systeme kontrolliert und gesteuert wurden. Allein in Deutschland sind 17 Server beschlagnahmt worden.

    Einer der mutmaßlichen Betreiber befand sich in der Ukraine, von ihm haben die Ermittler die Kontrolle über die "Emotet"-Infrastruktur übernommen. Deswegen können sie die Schadsoftware auf den von den Angriffen betroffenen Computer-Systemen unbrauchbar machen.

    Die Ermittler übermittelten die IP-Adressen von infizierten Systemen an das BSI, das die zuständigen Provider benachrichtigt. Die wiederum sollen ihre Kunden informieren. (Was Betroffene tun können, steht im Abschnitt “Und was kann man tun, wenn man sich schon eine Schadsoftware eingefangen hat?” weiter unten im Text).

    Wer war betroffen?

    Sieben Jahre lang grassierte Emotet im Netz. So wurden die IT-Systeme von Unternehmen, Behörden und Institutionen infiziert, wie zum Beispiel die des Klinikums Fürth, des Kammergerichts Berlin, der Bundesanstalt für Immobilienaufgaben oder der Stadt Frankfurt am Main. Zu den Opfern zählten aber auch Zehntausende Privatleute, auf deren Rechnern Passwörter ausspioniert, das Online-Banking manipuliert oder Daten verschlüsselt wurden, um für die Entschlüsselung ein Lösegeld verlangen zu können.

    Wie groß war der Schaden?

    Bei der Emotet-Zerschlagung waren Strafverfolgungsbehörden aus Deutschland, der Ukraine, Litauen, Frankreich, Großbritannien, Kanada und den USA dabei. Der Gesamtschaden in den betroffenen Ländern beträgt etwa 2,1 Milliarden Euro. Allein in Deutschland ist ein Schaden in Höhe von mindestens 14,5 Millionen Euro entstanden. Da Emotet auch in vielen weiteren Ländern verbreitet war, dürfte der Schaden noch höher sein.

    Bekommen die Geschädigten nun ihr Geld zurück?

    Die Chance dafür ist gleich Null. Die Täter haben das gestohlene oder erpresste Geld meist in Krypto-Währungen wie Bitcoin umgetauscht. Bitcoins liegen in den digitalen Wallets der Täter, es gibt nahezu keine Chance da heranzukommen.

    Können Unternehmen und private Netznutzer jetzt aufatmen?

    Ja und nein. Zwar ist Emotet zerschlagen und kann keinen Schaden mehr anrichten. Es gibt aber im Netz etliche andere aktive Schadsoftwaren. Auch die Menschen, die hinter Emotet steckten, gibt es noch. Ebenso die Geschäftsidee, sich Zugang zu fremden Systemen zu verschaffen und daraus finanziellen Nutzen zu ziehen.

    “Emotet war schon etwas in die Jahre gekommen und vielleicht ist das für die Straftäter ein willkommener Grund, mal eine neue Software an den Start zu bringen”, sagte Sebastian Schreiber, Gründer und Chef des Tübinger IT-Sicherheitsunternehmen Syss im BR24-Podcast Wirtschaft Kompakt. Schreiber rechnet damit, dass es nach dem Vorbild von Emotet weiterhin Crypto-Ransomware, also Erpresser-Software geben wird.

    Wie kann man sich als Nutzer vor Ransomware schützen?

    • Regelmäßig Updates einspielen, sowohl für Software und – noch wichtiger – für das Betriebssystem.
    • Keine unbekannten Links anklicken.
    • Keine Anhänge aus E-Mails von einem Ihnen nicht bekannten Absender öffnen. Oft sind Schadprogramme als ein anderer Dateityp, z.B. doc, pdf oder jpeg, getarnt.
    • Bei einer verdächtigen E-Mail von einem bekannten Absender im Zweifelsfall den Absender anrufen und sich danach erkundigen, ob er wirklich die Mail geschrieben hat.
    • Der eigenen Software (speziell Office-Programmen) die Ausführung von Makros verbieten: kleinen Programmen, die eben wie im Fall Emotet, weitere Schadsoftware nachladen können. Makros sollte man auch dann nicht erlauben, wenn ein Programm nachfragt, ob Makros aktiviert werden sollen, etwa bei einem Dokument, das man per Mail bekommen hat.
    • Keine unbekannten Installationsprogramme (.exe oder .dmg) starten.
    • AntiViren-Programme verwenden und ebenfalls regelmäßig aktualisieren.
    • Regelmäßig Back-Ups von der eigenen Festplatte machen, am besten auf einer externen Festplatte.
    • Noch besser: Regelmäßig Sicherungskopien des ganzen Systems ziehen, also vom Betriebssystem mit allen installierten Programmen und Einstellungen. Dafür eignet sich zum Beispiel Clonezilla sehr gut. Im schlimmsten Fall kann man seinen Computer mit einer solchen Sicherungskopie neu aufsetzen.

    Und was kann man tun, wenn man sich schon eine Schadsoftware eingefangen hat?

    • Sein Umfeld über die Infektion informieren, denn Mailkontakte sind in diesem Fall besonders gefährdet.
    • Alle auf dem betroffenen Systemen (zum Beispiel im Web-Browser) gespeicherten und eingegebenen Zugangsdaten ändern.
    • Auf Nomoreransom.org gibt es eine Reihe von Entschlüsselungsprogrammen.
    • Die Schadprogramme nehmen teilweise tiefgreifende sicherheitsrelevante Änderungen am infizierten System vor. Das BSI empfiehlt daher, mit Schadsoftware infizierte Rechner neu aufzusetzen.

    "Darüber spricht Bayern": Der neue BR24-Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!