Sichern Sie Ihre IT: Tipps gegen Schadsoftware wie Emotet und Co

Die Zahl der im Internet kursierenden Schadprogramme wächst jeden Tag um 300.000. Allein zwischen 06.2019 und 05.2020 sind um die 117,4 Millionen neue Varianten von Programmen entstanden, die dazu benutzt werden können, Daten zu stehlen, zu vernichten, Computer zu verschlüsseln und Lösegeld zu erpressen. Öfters können vollständige Infrastrukturen unbrauchbar gemacht werden (siehe: BSI-Die Lage der IT-Sicherheit in Deutschland 2020).

Emotet ist eine Familie von Schadprogrammen, welche dazu verwendet wird, Daten zu verschlüsseln und ganze Computernetzwerke lahmzulegen um dann mit Lösegeldforderungen Geld zu verdienen. Die Angreifer drohen, die verschlüsselten Daten zu veröffentlichen oder zu löschen. Ziel dieser Angriffe sind meist Behörden oder Unternehmen, zuletzt gab es vermehrt Berichte von Universitäten und KrankenhäusernDie Verbreitung des Trojaners erfolgt durch das sogenannte »Outlook-Harvesting«. Der Trojaner liest dabei die E-Mails der betroffenen Benutzer aus und erzeugt authentisch aussehende Spam-Mails. Dadurch sieht es für den Empfänger oft so aus als erhielte er eine tatsächliche E-Mail eines bekannten Kontakts.

Wenn Emotet Zugang zu einem Netzwerk erlangt, kann er sich weiter ausbreiten. Dabei versucht er, mit der »Brute-Force-Methode« Passwörter von Konten zu knacken. Andere Verbreitungswege sind beispielsweise die EternalBlue (CVE-2017-0144 )-Sicherheitslücke und die DoublePulsar-Schwachstelle bei Windows, durch welche die Installation von Schadsoftware ohne menschliches Handeln möglich ist.

Weitere Details und Hintergründe finden sich im Wikpedia-Artikel zu Emotet.

Allgemeine Maßnahmen gegen Emotet und anderen Trojaner

Beim Schutz vor Emotet und anderen Trojanern reicht es nicht aus, sich nur auf Antiviren-Programme zu verlassen. Denn allein den polymorphen Virus zu erkennen, ist nur das erste Problem für Endnutzer. Es gibt schlicht keine Lösung, die einen 100-prozentigen Schutz vor Emotet oder anderen wandelbaren Trojanern bietet. Allein durch die Technischen und Organisatorischen Maßnahmen (TOMs) kann man das Risiko einer Infektion minimal halten.

IT-Verantwortliche und User, sollen sich regelmäßig über Entwicklungen rund um das Thema Schadprogramme informieren. Dafür eignet sich z.B. BSI-Berichte, Newsletter, Foren und Internet-Beiträge zum Thema.

Benutzer Berechtigung / Admin

Idealerweise arbeiten alle Mitarbeiter mit der Berechtigung »Standard Benutzer« und diejenigen, welche unbedingt Administrator-Berechtigungen benötigen, verwenden für diesen Zweck ein zusätzliches Konto, das stetig protokolliert wird. Das lokale Admin-Konto, welches in jedem Windows Betriebssystem konfiguriert wird, muss ein starkes Kennwort verwenden und vor allem muss dieses Kennwort in jedem Gerät unterschiedlich sein. Somit wird, falls ein Gerät infoziert wird, die Kette unterbrochen.

Sicherheitsupdates

Sicherheitsupdates und Firmwareupgrades sollen zeitnah installiert werden, um Sicherheitslücken zu schließen. Das betrifft sowohl Betriebssysteme (Windows, iOS und Linux Varianten) als auch Anwendungssoftware. Für Windows Betriebssysteme empfehlen sich die Windows Server Update Services (WSUS) als Applikationsserver.  Damit kann die Installation selektiv und automatisiert konfiguriert werden. Mittlerweile ist es möglich Firmware und Treiber-Software sicher zu verteilen. Für eigene Anwendungen oder die Anwendungen von dritten Herstellern, wird die Nutzung eines »Software Verteilungssystems« empfohlen.

In »Microsoft Active Directory« sollten mindestens diese drei Einstellungen mittels Gruppenrichtlinien eingerichtet werden:

  • Gruppen mit unterschiedlicher Berechtigung und Tätigkeit organisieren.
  • Makros in alles MS Office Anwendungen deaktivieren.
  • Browser-Aktivität in den Datenschutzeinstellungen einschränken.

Antiviren-Software

Installieren Sie unbedingt ein Antiviren-Programm, welchem Sie vertrauen, oder über das Sie positive Rezensionen gelesen haben. Versuchen Sie zusätzliche »feature« eines Antiviren Programms wie zum Beispiel die »Firewall« nicht zu konfigurieren, das Programm soll sich auf die reine Virenprüfung konzentrieren. Organisieren Sie ein System, das automatisch funktioniert und mit Ihnen stetig kommuniziert.

Spamfilter – Gateway

Spamfilter sollten sie immer in Betracht ziehen, um elektronisch unerwünschte Werbung über E-Mails zu filtern.

Backups – Sicherungssysteme

Sicherungssysteme gehören nicht in die lokale Domäne, sondern außerhalb. Damit ist das ganze Backupsystem isoliert und gleichzeitig vor Angriffen im Netzbereich geschützt. Zugriffe aufs System werden durch das Einrichten von lokalen Usern und starken Kennwörtern gewährleistet.

Fazit

Der Trojaner Emotet zählt bisher zu den gefährlichsten Schadprogrammen in der IT-Geschichte. Betroffen und gefährdet sind vor allem Privatpersonen, Unternehmen und Behörden. Hat sich der Trojaner einmal in ein System geschleust, lädt er andere Schadprogramme nach, die Zugangsdaten ausspähen und Daten verschlüsseln. Oftmals werden die Opfer des Virus mit Lösegeldzahlungen erpresst, um die Daten wiederzubekommen. Mit verschiedenen Maßnahmen kann man jedoch das Infektionsrisiko geringhalten. Im Januar wurde berichte, dass Europol die Infrastruktur von Emotet unschädlich gemacht haben soll.