DE | Deutsch
IT-Sicherheit 23.12.2019

Emotet – So schützen Sie sich vor der gefährlichen Malware.

Seit Monaten wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Zunahme der gezielten Emotet-Angriffe auf deutsche Unternehmen und Behörden beobachtet und vor diesen eindringlich gewarnt. Das BSI hält Emotet für eine der größten Cyber-Bedrohungen überhaupt. Wie Sie sich erfolgreich gegen die gefährliche Malware verteidigen können, erfahren Sie in diesem Blog.

Artikel teilen

Bei IT-Abteilungen in Unternehmen rufen die Meldungen über vermehrte Angriffe ganz unterschiedliche Reaktionen hervor. Sie reichen von Gelassenheit und blindem Vertrauen in die eingesetzten Sicherheitsprodukte bis hin zu panischem Umsetzen von Sofortmaßnahmen. 

 

Die besten IT-Security-Teams begreifen die erneuten Warnungen als Chance. Sie prüfen die bestehenden Security-Konzepte und evaluieren, ob die empfohlenen Maßnahmen bereits umgesetzt wurden. Ist dies nicht der Fall, bessern sie nach.

 

Antivirus? Hilft nicht.

Die aktuelle Generation von Emotet ist bewaffnet mit modernen Exploits und Verschlüsselungs- sowie Zerstörungstrojanern. Die Software wird für neuen Angriffswellen immer wieder angepasst, sodass der herkömmliche Virenschutz nicht in der Lage ist, sie effektiv zu erkennen. Unabhängig vom Payload, verfolgt die aktuelle Version von Emotet, wie viele anderen Schädlinge, seit Jahren bekannte Strategien, um ein Netzwerk erfolgreich einzunehmen.

 

Um die effektivsten Schutzmaßnahmen diskutieren zu können, stelle ich den Ablauf einer Infektion in einer extrem vereinfachten Form dar.

  • Zustellung

Des Opfer erhält per E-Mail eine Datei oder den Link zu einer Datei auf einem Webserver oder Cloud-Speicher, sodass das Blockieren der Anhänge in der E-Mail unwirksam wird. Meist enthält die E-Mail ein personalisiertes Anschreiben mit einem plausiblen Grund die Datei aufzurufen und alle Sicherheitswarnungen zu ignorieren. Hierbei kann es sich um Microsoft-Office-Dokumente, PDFs, Skript-Dateien und viele andere Formate handeln. Nicht selten kommen E-Mails von bekannten Absendern mit den aktuellen Themen im Betreff, was dem Benutzer das Erkennen einer Falle extrem schwierig macht.

  • Download

Die von dem Benutzer aufgerufene Datei enthält in der Regel ein Skript, das die eigentliche Schadsoftware auf den Computer des Opfers herunterlädt. Durch die ständige Anpassung des Trojaners wird dieser von herkömmlichen Antivirus-Programmen übersehen.

  • Lokale Auswirkung

Auf dem Client des Opfers nimmt die Schadsoftware die Kommunikation mit dem Command & Control Server des Angreifers auf und erhält die Anweisungen für weiteres Vorgehen. Der Trojaner ist nun in der Lage, sich per E-Mail an die Geschäftspartner weiter zu verschicken, die erreichbaren Freigaben zu verschlüsseln und die gesammelten Passwörter und Zugangsdaten an die Angreifer zurückzuschicken.

  • Interne Ausbreitung

Der Schädling nutzt die Schwachstellen der Clients und Server, um sich im Netzwerk wie ein Lauffeuer auszubreiten. Nicht selten werden davon der gesamte Datenbestand und auch die Backup-Systeme betroffen. Auf jedem übernommenen System sammelt der Trojaner weitere Daten und richtet weiteren Schaden an.

 

Bei der Betrachtung des vereinfachten Angriffes, erkennt man wie die unterschiedlichen Bereiche der Unternehmens-IT traversiert werden. Aufgrund der Agilität der heutigen und zukünftigen Schadsoftware reichen die Schutzmaßnahmen am Perimeter (Firewall),  bei der E-Mail Protection und am Endpoint (Antivirus) nicht aus. Vielmehr ist eine ganzheitliche Betrachtung der IT-Security-Maßnahmen notwendig, bei der sowohl die erfolgreiche Abwehr der Angriffe als auch Schadensminimierung und Wiederherstellung in den Fokus genommen werden:

  • Next Generation Firewall
  • Next Generation Endpoint Protection
  • Next Generation E-Mail Protection
  • Netzwerksegmentierung über Firewall
  • Härtung der Betriebssysteme und Anwendungen
  • Client und Server Compliance und Netzwerk Quarantäne
  • Angriffserkennung und Automatische Reaktion
  • Patchmanagement
  • Berechtigungskonzepte
  • File-Verschlüsselung und speicherortübergreifendes Berechtigungsmanagement
  • Backup-Konzepte
  • Notfall- und Disaster Recovery Pläne 

Die erforderlichen Maßnahmen reichen weit in das Innere des Netzwerkes und beschränken sich nicht nur auf den Erwerb und die Konfiguration von IT-Security-Produkten. Neben den technischen Aspekten der IT-Sicherheit sind auch die organisatorischen Aspekte sowie Schulungsmaßnahmen für Anwender und IT-Mitarbeiter unabdingbar.

 

IT-Security ist mehr als ein IT-Thema.

In der Praxis treffen wir immer wieder auf Konstellationen, bei denen die IT-Security auf Perimeter-Schutz und Endpoint Protection reduziert und von eigenen Abteilungen betreut wird. Im internen Netzwerk, das teilweise von anderen Teams administriert wird, werden großzügig Ausnahmen beim AV-Schutz definiert, Schutzmechanismen des Betriebssystems abgeschaltet und keine Netzwerksegmentierung mittels Firewall vorgenommen. Generell werden interne Geräte als vertrauenswürdig angesehen. Das sind genau die Umgebungen, bei denen Emotet oder eine vergleichbar strukturierte Schadsoftware den maximalen Schaden anrichten können, sobald das Netzwerk infiltriert ist.

 

Um den optimalen Schutz zu erreichen ist eine bereichsübergreifende Betrachtung der IT-Sicherheit erforderlich. Wobei nicht selten zwischen den einzelnen Abteilungen und Interessen vermittelt werden muss. Umso wichtiger ist es, bei der Bewertung, Planung und Implementierung einen starken, herstellerunabhängigen und  kompetenten Partner zu haben, der einen Gesamtüberblick behalten kann und dem Unternehmen zu mehr Sicherheit verhilft.

denis-borisov.png
Denis Borisov
Security Consultant