Die Zerschlagung von „Emotet“. Nach dem Spiel ist vor dem Spiel.
Am 27. Januar 2021 ging mit einer konstatierten Aktion die knapp sechsjährige Ära einer der gefährlichsten fortentwickelten Schadsoftwares der letzten Jahre zu Ende. Strafverfolgungsbehörden aus Deutschland, den Niederlanden, der Ukraine, Litauen, Frankreich, England, Kanada und den USA brachten gemeinsam die technische Infrastruktur und die Betreibenden von „Emotet" unter staatliche Kontrolle.
„Emotet" zeichnete sich insbesondere dadurch aus, dass die Schadsoftware sich häufig im Zuge von Spear-Phishing-Angriffen verbreitete. Das sind personalisierte Phishing-Mails, die über schadhafte Links und Anhänge wie Office-Dokumente versuchen, Rechnersysteme zu infizieren. Im Anschluss an eine erfolgreiche Infektion konnte „Emotet" das verwendete E-Mail-Postfach automatisiert durchsuchen und sich quasi selbst an weitere Kommunikationspartnerinnen und -partner des entsprechenden Users versenden.
Emotet verbreitet sich schnell und eigenständig
Das Perfide daran war, dass die so ausgelesenen Kommunikationsinhalte legitimer E-Mail-Nachrichten teilautomatisiert nachgeahmt wurden. Dadurch konnte „Emotet" die Chance erhöhen, „sich" erneut damit zu infizieren. War das erfolgreich, lud „Emotet" weitere Schadsoftwarekomponenten nach. Den Betreibenden der Schadsoftware war es so möglich, den Rechner per Fernzugriff voll zu verschlüsseln. Sie erpressten Betroffene, für das Entschlüsseln zu bezahlen. Taten sie es nicht, drohten sie damit, die erbeuteten Daten zu veröffentlichen.
Prominente Beispiele für die verheerende Wirkung der Schadsoftware finden sich bei der Stadtverwaltung von Neustadt am Rübenberge sowie am Berliner Kammergericht, deren IT-Infrastruktur nach dem Angriff monatelang lahmgelegt wurde.
Die internationale Zusammenarbeit der Strafverfolgungsbehörden ist ohne Frage ein toller Erfolg. Gemeinsam kämpften sie gegen Cybercrime, die einer organisierten Kriminalität zuzuordnen sein dürfte. Aus Sicht der Informationssicherheit muss aber bedacht werden, dass erfolgreiche Methoden von organisierten Cyber-Kriminellen schnell adaptiert werden. Und so entsteht wieder neue Schadsoftware. „Emotet" hat dazu beigetragen, das Bedrohungsniveau signifikant anzuheben. Voraussichtlich wird es mit dem Deaktivieren der technischen Infrastruktur aber nicht absinken, sondern mindestens gleichbleiben.
Die Bedrohung ist nicht vorbei
Daher sorgt IT.Niedersachsen als zentraler IT-Dienstleister der niedersächsischen Landesverwaltung weiterhin dafür, das Informationssicherheitsniveau aufrecht zu erhalten. Der Landesbetrieb gestaltet seine Services und angebotene Produkte nach dem Grundsatz „Security by Design". Sicherheit wird von Grund auf als integraler Bestandteil mitgedacht. Damit trägt IT.Niedersachsen seinen Teil als Mitglied des Sicherheitsverbundes im Landesdatennetz bei.
Wenn ich Informationssicherheitsbelange in Zusammenhang mit dem Zerschlagen der „Emotet"-Infrastruktur beobachte, kann ich nur mit den Worten von Sepp Herberger schließen: „Nach dem Spiel ist vor dem Spiel …"
„Emotet" zeichnete sich insbesondere dadurch aus, dass die Schadsoftware sich häufig im Zuge von Spear-Phishing-Angriffen verbreitete. Das sind personalisierte Phishing-Mails, die über schadhafte Links und Anhänge wie Office-Dokumente versuchen, Rechnersysteme zu infizieren. Im Anschluss an eine erfolgreiche Infektion konnte „Emotet" das verwendete E-Mail-Postfach automatisiert durchsuchen und sich quasi selbst an weitere Kommunikationspartnerinnen und -partner des entsprechenden Users versenden.
Emotet verbreitet sich schnell und eigenständig
Das Perfide daran war, dass die so ausgelesenen Kommunikationsinhalte legitimer E-Mail-Nachrichten teilautomatisiert nachgeahmt wurden. Dadurch konnte „Emotet" die Chance erhöhen, „sich" erneut damit zu infizieren. War das erfolgreich, lud „Emotet" weitere Schadsoftwarekomponenten nach. Den Betreibenden der Schadsoftware war es so möglich, den Rechner per Fernzugriff voll zu verschlüsseln. Sie erpressten Betroffene, für das Entschlüsseln zu bezahlen. Taten sie es nicht, drohten sie damit, die erbeuteten Daten zu veröffentlichen.
Prominente Beispiele für die verheerende Wirkung der Schadsoftware finden sich bei der Stadtverwaltung von Neustadt am Rübenberge sowie am Berliner Kammergericht, deren IT-Infrastruktur nach dem Angriff monatelang lahmgelegt wurde.
Die internationale Zusammenarbeit der Strafverfolgungsbehörden ist ohne Frage ein toller Erfolg. Gemeinsam kämpften sie gegen Cybercrime, die einer organisierten Kriminalität zuzuordnen sein dürfte. Aus Sicht der Informationssicherheit muss aber bedacht werden, dass erfolgreiche Methoden von organisierten Cyber-Kriminellen schnell adaptiert werden. Und so entsteht wieder neue Schadsoftware. „Emotet" hat dazu beigetragen, das Bedrohungsniveau signifikant anzuheben. Voraussichtlich wird es mit dem Deaktivieren der technischen Infrastruktur aber nicht absinken, sondern mindestens gleichbleiben.
Die Bedrohung ist nicht vorbei
Daher sorgt IT.Niedersachsen als zentraler IT-Dienstleister der niedersächsischen Landesverwaltung weiterhin dafür, das Informationssicherheitsniveau aufrecht zu erhalten. Der Landesbetrieb gestaltet seine Services und angebotene Produkte nach dem Grundsatz „Security by Design". Sicherheit wird von Grund auf als integraler Bestandteil mitgedacht. Damit trägt IT.Niedersachsen seinen Teil als Mitglied des Sicherheitsverbundes im Landesdatennetz bei.
Wenn ich Informationssicherheitsbelange in Zusammenhang mit dem Zerschlagen der „Emotet"-Infrastruktur beobachte, kann ich nur mit den Worten von Sepp Herberger schließen: „Nach dem Spiel ist vor dem Spiel …"
Wie geraten Daten nicht in falsche Hände? Wie schütze ich Organisation und Prozesse? In seinen Beiträgen sensibilisiert unser Informationssicherheits-beauftragter Steffen Rösemann Mitarbeitende und Öffentlichkeit.