Wie Sie sich gegen Emotet schützen
In den letzten Monaten warnte das Bundesamt für Sicherheit in der Informationstechnik vermehrt vor der Ausbreitung der Schadsoftware Emotet. Sie ist in der Lage, auf bestehende E-Mail-Konversationen zu antworten und auf diese Weise gezielt vertrauliche Informationen auszuspähen. Waren in der Anfangszeit vor allem Behörden betroffen, geraten nun auch immer mehr Privatnutzer in den Fokus. Hier erfahren Sie, wie Sie sich schützen.
Was ist Emotet?
Hinter Emotet stehen Cyber-Kriminelle, die die Methoden professioneller APT-Angriffe modifiziert und automatisiert haben.
Die Verbreitung der Malware erfolgt vorrangig durch Outlook Harvesting. Dabei werden anhand ausgelesener E-Mail-Inhalte und Kontaktdaten besonders authentisch wirkende Spam-Mails erzeugt. Diese können selbst sensibilisierte Nutzer täuschen. Die Schadsoftware selbst gelangt meistens über infizierte E-Mail-Anhänge im Word-Format auf die Rechner der Opfer.
Emotet ist überdies in der Lage, weitere Schadsoftware nachzuladen. Über diese können dann Fernangriffe durchgeführt oder Zugangsdaten ausgelesen werden. Auch Remote-Zugriffe auf das System werden dadurch ermöglicht. Ende 2019 geschah dies zum Beispiel mit dem Banking-Trojaner „Trickbot“. Dieser konnte sich über SMB-Schwachstellen (Eternal Blue/Romance) und über das Auslesen von Zugangsdaten (Mimikatz) selbstständig in befallenen Netzwerken ausbreiten.
Lesehinweis: Warum Emotet gerade für Behörden so gefährlich ist, erfahren Sie in diesem Golem-Artikel.
Wie kann man einer Infektion vorbeugen?
Es gibt keine hundertprozentige Sicherheit, aber mit einigen Schutzmaßnahmen kann man das Risiko einer Infektion deutlich reduzieren. Dabei betreffen die Lösungsansätze nicht nur die technische Seite, sondern auch das Nutzerverhalten.
1. Nutzer sensibilisieren
Vor allem in Unternehmen sollten Nutzer regelmäßig auf die Gefahren von E-Mail-Anhängen und Links hingewiesen werden. Sie sollen auch bei bekannten Absendern genau hinsehen und Unsicherheiten sofort dem IT-Sicherheitsbeauftragten melden. Ergänzend sollten Gruppenrichtlinien im Active Directory eingerichtet werden, die Makros deaktivieren. Wenn dies nicht möglich ist, sollten ausschließlich signierte Makros zugelassen werden.
Auch bei vermeintlich bekannten Absendern sollten nur mit Vorsicht Datei-Anhänge von E-Mails geöffnet werden. Das gilt vor allem für Office-Dokumente. Nutzer sollten angehalten werden, im Zweifelsfall den Absender anzurufen und sicherzustellen, ob die Nachricht wirklich von ihm ist.
2. Sandboxing verwenden
Durch den Einsatz von Sandbox-Systemen werden potentiell gefährliche Dateien in einer vom System getrennten Umgebung vollautomatisch ausgeführt und deren Verhalten für einige Sekunden beobachtet. Verhält diese Datei für ihre Art untypisch, so wird sie aussortiert, um Gefahren so zu minimieren.
3. Sicherheits-Updates einspielen
Die Basis aller technischen Schutzmaßnahmen sollte das Einspielen von aktuellen Sicherheits-Updates für Betriebssysteme und Anwendungsprogramme sein. Das gilt vor allem für PDF-Dokumentenbetrachter, E-Mail-Clients und Office-Anwendungen.
4. Regelmäßige Datensicherung
Trotz aller Vorsichtsmaßnahmen kann es immer zu Infektionen kommen. Deshalb sollten regelmäßig mehrstufige Datensicherungen durchgeführt werden. Ein Teil der Backups muss offline gesichert werden. Weiterhin sind die Planung des Wiederanlaufs und der Test der Datenrückspielung nicht zu vergessen.
5. Verwendung sicherer Passwörter
Emotet setzt zum Teil Brute-Force-Methoden ein. Besonders einfache Passwörter können damit schnell entschlüsselt werden. Deshalb sollten Nutzer sichere Passwörter mit Groß- und Kleinschreibung, Sonderzeichen und ohne feste Bedeutungen verwenden. Empfehlenswert ist in diesem Zusammenhang auch ein Passwort-Manager.
Daneben gibt es noch zahlreiche weitere Möglichkeiten, sich gegen Emotet zu schützen. Eine umfassende Übersicht finden Sie in den Hinweisen des Bundesamts für Sicherheit in der Informationstechnik.
Was kann man nach einer Infektion tun?
Emotet nutzt verschiedene Verfahren, um sich vor Antivirenschutz zu verstecken. Deshalb ist es häufig schwierig, es von infiziertem System zu entfernen.
Wichtig ist zunächst eine Isolierung des betroffenen Systems. Ist diese erfolgt, informieren Sie Ihr Umfeld über die Infektion. Alle Kontakte aus Ihrem Adressbuch sind gefährdet.
Da sich Schadprogramme teilweise tief in das System einarbeiten und dabei auch sicherheitsrelevante Systeme befallen, kann man sich auch nach Nutzung einer Antiviren-Software nie sicher sein, dass alles wieder wie vorher ist. Deshalb empfiehlt es sich, das System komplett neu aufzusetzen und auf diese Weise ganz sicher zu sein, dass keine Rückstände mehr zurückbleiben.
Bild: © tadamichi/Adobe Stock