Die IT-Sicherheitsforscher des US-Unternehmens Cofense haben beobachtet, dass Kriminelle die Schadsoftware Emotet wieder massenhaft per E-Mail verbreiten. Besonders kleine und mittelständische Unternehmen stehen im Visier der Hacker. Inwieweit deutsche Unternehmen betroffen sind, ist SiBa bisher nicht bekannt. 

Was gefährlich ist Emotet?

Der Inhalt der E-Mails: Ein vermeintlich bekannter Kollege oder eine vermeintlich vertrauenswürdige Kollegin bittet dringend um Hilfe bei der Bearbeitung des angehängten Dokuments, zum Beispiel einer Rechnung. Diese Bearbeitung sei außerordentlich wichtig und müsse sofort erledigt werden. Dieses Aufbauen von Druck und Stress ist psychologisch eingeplant, in Fachkreisen spricht man von Social Engineering. Wird man Opfer des Tricks und öffnet man das Dokument tatsächlich, wird man aufgefordert, eine angeblich geschützte Datei durch das Klicken auf die Schaltfläche "View" zu öffnen. Was man dabei tatsächlich aktiviert, sind so genannte Makros, kleine Zusatz-Tools für Microsoft-Office-Programme. Früher versandten die Kriminellen vorrangig verseuchte Excel- oder Word-Dateien. Seit einigen Wochen sind es vor allem One-Note-Dateien, die in Zip-Dateien verpackt im Umlauf sind. Mithilfe jenen aktivierten Makro-Programmen wird automatisch  Schadsoftware (als .dll-Datei) heruntergeladen. Diese dann installierte Schaftsoftware greift daraufhin ohne jedes Zutun persönliche Dateien ab, vor allem Zugangsdaten für das Online-Banking oder Passwörter für Accounts. Umso einfacher entsprechende Passwörter zu knacken sind, umso schneller gelingt der Login. Mehr dazu im passenden DsiN-Ratgeber (Link weiter unten). Danach verbreitet sich Emotet über das E-Mail-Programm Microsoft Outlook weiter, bevorzugt in Firmennetzwerken. Die Opfer dieses Phishing-Angriffs tauchen dann mit ihrem Namen als Absender in weiteren E-Mails im Unternehmen auf, wodurch das Erkennen der Gefahr in Unternehmen erschwert wird.

Micosoft hat die Sicherheitslücke in OneNote bereits erkannt, bisher aber noch kein Sicherheitsupdate veröffentlicht.

Emotet wurde im Dezember 2018 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als „weltweit gefährlichste Schadsoftware“ eingestuft. Zahlreiche Behörden und Firmen waren in den letzten Jahren betroffen. Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) haben im Januar 2021 in einer international konzentrierten Aktion die Infrastruktur der Schadsoftware Emotet unschädlich gemacht. Damit verbunden war die Hoffnung einer Zerschlagung der Schadsoftware. Tatsächlich war es dann jahrelang ruhig um die Schadsoftware. Nun taucht sie wieder auf.

Was können Sie und Ihr Unternehmen gegen Emotet tun?

SiBa rät Unternehmen zu Aufklärung über die Schadsoftware Emotet, zum Beispiel mit der DsiN-Digitalfüherschein (Link weiter unten). Informieren Sie alle Mitarbeitenden, dass sie in keinem Fall auf Schaltflächen wie "View", "Aktivieren" oder "Bearbeiten" in Dokumenten klicken sollen. Darüber hinaus rät SiBa, Makros bei Microsoft-Programmen standardmäßig zu deaktivieren und deaktiviert zu lassen. Administrator:innen von Unternehmen sollten dies für das ganze Netzwerk standardmäßig festlegen. Zudem sollten regelmäßig Sicherheitsupdates des Systems sowie aller Anti-Viren-Programme eingespielt werden. Diese Anti-Viren-Programme sollten ZIP-Dateien oder ähnliche Archivdateien durchsuchen können. Generell sollten generell keine Dateianhänge von Unbekannten geöffnet werden. Sollten Sie auf Ihrem Arbeitsplatz sich nicht sicher sein, ob die E-Mail wirklich von dem bekannten Absender stammt, rät SiBa kurz beim Absender anzurufen.