Der neue Windows-Schädling Emotet verbreitet sich über gefälschte Mails, die aussehen, als kämen sie von Freunden, Geschäftspartnern oder dem eigenen Chef. Auch der Mail-Inhalt ist oft genauso geschrieben, wie es der echte Absender tun würde. Schlüsselpersonen in großen Unternehmen wurden schon länger mit manuell auf sie zugeschnittenen E-Mails angegriffen und zur Aktivierung von Schadsoftware verleitet. Dieses Vorgehen wird Spear-Phishing genannt. Das Neue an der 2019 erschienenen Schadsoftware ist, dass auch kleine Unternehmen voll automatisch mit täuschend echten E-Mails attackiert werden.
Aktuelle Schadsoftware kann sich über Sicherheitslücken Administratorrechte verschaffen und sich dann systematisch im gesamten Netzwerk verbreiten, bevor ein sichtbarer Schaden bemerkt wird.
Die Kriminellen hinter diesen Angriffen wissen, wie kritisch der Verlust von Daten auch für kleine Firmen sein kann und fordern entsprechen Lösegeld im bis zu 5-stelligen Bereich.
Was passiert bei einem Angriff?
Sie erhalten ein Mail von jemanden, den Sie kennen, mit einem Text, der komplett normal und realistisch aussieht. Der Mail angehängt ist ein Dokument, meist Word oder Excel. Beim Öffnen des Dokumentes fragt das System, ob die Makros aktiviert werden dürfen. Wenn Sie hier ja sagen und die Makros aktivieren, ist Ihr System kompromittiert.
Makros sind Programme, die Routineaufgaben in Word und Excel vereinfachen können. Diese Technologie wird von der Schadsoftware ausgenutzt. Die Emotet-Autoren nutzen diese Befehle jedoch dafür, Schadsoftware aus dem Internet nachzuladen und zu installieren.
Standardmäßig sind Makros in Microsoft Office deaktiviert. Sie lassen sich jedoch mit einem Mausklick auf „Inhalt aktivieren“ recht einfach einschalten. Und die Malware-Autoren tun natürlich ihr Möglichstes, den Anwender zu diesem Schritt zu verleiten.
Wenn Sie ein Dokument per E-Mail erhalten, sollten Sie NIEMALS die Makros aktivieren.
Sollte eine Datei aus einer Mail das Aktivieren von Makros einfordern, handelt es sich höchstwahrscheinlich um Schadsoftware.
Es genügt, wenn ein einziger Mitarbeiter, zum Beispiel eine Aushilfskraft, ein einziges Mal nicht aufpasst und Ihr Netzwerk ist infiziert.
Was können Sie tun, um sich zu schützen?
- Makros deaktivieren:
Bei Office 2016 (zB Word), unter Datei/Optionen/TrustCenter/Einstellungen für das Trust Center/Makroeinstellungen können Sie die Variante „Alle Makros ohne Benachrichtigung deaktivieren“, wenn Sie nicht mit Makros arbeiten. - Alle Windows Updates installieren. Dadurch werden kritische Sicherheitslücken geschlossen.
- Rechte einschränken. Nicht jeder Mitarbeiter braucht Administratorrechte. Entziehen Sie allen Mitarbeiter, die keine Administratorrechte brauchen, eben diese. Das beschränkt auch den Schaden, den Malware auf dem System und im Netz anrichten kann.
Achten Sie darauf, dass Mitarbeiter nur auf die Daten, die sie wirklich brauchen, schreiben können. Damit schränken Sie den möglichen Schaden ein. - Backup. Führen Sie regelmäßige Backups durch, damit Ihre Daten nicht verloren sind, sollte doch ein Malware-Angriff erfolgreich sein. Prüfen Sie, ob Ihre Backups wirklich lesbar sind.
- Schutz-Software. Verwenden Sie einen aktuellen Virenscanner. Es reicht nicht aus, nur über einen Virenscanner zu verfügen. Sie müssen diesen auch regelmäßig updaten. Besonders empfehlenswert sind Schutzprogramme, die gezielt Ransomware verhindern, wie Sophos Endpoint Protection.
- Integrierter Netzwerkschutz. Wenn dieser am Stand der Technik ist, kann er bekannte und unbekannte Computerschädlinge erkennen und stoppen. Computer und Firewall kommunizieren und erkennen gemeinsam verdächtige Aktivitäten. Infizierte Computer werden damit automatisch isoliert, gesäubert und wieder in Betrieb genommen.Und die gesamte Lösung ist auch für kleine Unternehmen leistbar.
Sie haben Interesse an dieser Sicherheitslösung? Dann füllen Sie bitte dieses Formular aus und wir melden uns bei Ihnen mit allen notwendigen Informationen!
Kontaktieren Sie uns für weitere Informationen
Lösen wir gemeinsam Ihre Probleme beim Datenschutz
Nutzen Sie unser Kontaktformular oder rufen Sie uns an unter +43 2262 / 67 20 40
Was tun, wenn Sie betroffen sind?
- Die betroffenen Rechner SOFORT vom Netz trennen und nicht mehr ans Firmennetzwerk anstecken, bis diese auch wieder sauber sind.
- Prüfen Sie, ob Sie ein Backup der Daten haben. Wenn es kein Backup gibt, können Sie auf Lösegeldangebote eingehen. Denke Sie aber daran, dass eine Sicherheitslösung auf dem aktuellen Stand wahrscheinlich nur 1/10 oder weniger des Lösegeldes gekostet hätte. Eine Garantie, dass die Daten entschlüsselt werden, haben Sie zudem nicht.
- Wenn Sie ein Backup haben, löschen Sie die komplette Festplatte und installieren Sie die betroffenen Rechner neu.
- Mit Hilfe eines Backups können Sie Ihre Daten wiederherstellen.
- Ändern Sie alle auf dem System zum Einsatz kommenden Passwörter, da diese von Emotet ausgelesen werden können.
- Melden Sie den Vorfall auf jeden Fall der Datenschutzbehörde und erstatten Sie Anzeige. Hilfe, Tipps usw. können Sie hier finden: Kuratorium Sicheres Österreich und Bundeskriminalamt.
- Installieren Sie Schutzsoftware am Stand der Technik. Die Kosten sind wenige Euro pro Computer und Monat.
Sie haben Interesse an dieser Sicherheitslösung? Dann füllen Sie bitte dieses Formular aus und wir melden uns bei Ihnen mit allen notwendigen Informationen!
Kontaktieren Sie uns für weitere Informationen
Lösen wir gemeinsam Ihre Probleme beim Datenschutz
Nutzen Sie unser Kontaktformular oder rufen Sie uns an unter +43 2262 / 67 20 40
Weitere Informationen finden Sie in der Zeitschrift c’t 1/2019, S. 70-76.