Anzeige

Anzeige

VERANSTALTUNGEN

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

KI Marketing Day - Konferenz
18.02.20 - 18.02.20
In Wien

DIGITAL FUTUREcongress
18.02.20 - 18.02.20
In Frankfurt a.M.

Anzeige

Anzeige

Phishing Mail

Die Schadsoftware Emotet bedroht derzeit deutschlandweit Unternehmensnetzwerke und verursacht Schäden in Millionenhöhe. Dirk Schrader, CMO beim Sicherheitsexperten Greenbone, erklärt, wie sich Unternehmen mit nur wenigen koordinierten Maßnahmen nicht nur gegen Emotet, sondern gegen jede Art von Cyber-Angriffen härten können.

In Deutschland sind derzeit nach eigenen Angaben beispielsweise das Maschinenbauunternehmen Krauss Maffei mit Hauptsitz in München sowie das Klinikum Fürstenfeldbruck in Bayern betroffen. Sie haben mit großflächigen Computerausfällen zu kämpfen und können den normalen Betrieb nur mühsam aufrechterhalten. Dabei gibt es durchaus Routinen, die Netzwerke gegen die Auswirkungen solcher Angriffe schützen können.

Die Emotet-Verantwortlichen gehen äußerst perfide vor: Ihre Phishing-E-Mails sind glaubwürdig formuliert und können sogar von einem Kontakt aus dem eigenen Adressbuch kommen, der sich bereits mit der Schadsoftware infiziert hat. Denn das ist das Tückische an der Malware: Im Gegensatz zu herkömmlichen Angriffen versendet Emotet Spam-Mails aus dem eigenen E-Mail-Programm an die Kontakte im Adressbuch. Die Empfänger stufen die Nachricht dann mit großer Wahrscheinlichkeit als vertrauenswürdig ein und infizieren ihr eigenes System. Mitarbeitersensibilisierung allein reicht hier also nicht mehr aus.

Cyber Resilience: Makro-Einstellungen und PowerShell-Berechtigungen überprüfen

Betrachtet man den Aufbau von Emotet genauer, ergeben sich auf technischer Ebene Ansatzpunkte, um sich vor einem Angriff zu schützen. Denn der Ablauf der Infektion nutzt eine Reihe von Elementen, die eine resiliente Infrastruktur mit einer flexiblen und präventiv ausgerichteten Sicherheitsarchitektur nicht aus dem Tritt bringen kann.

So überträgt sich die Infektion nicht sofort, wenn der E-Mail-Empfänger einen Anhang öffnet, sondern erst, wenn er auch die zugehörigen Makros in der angehängten Datei, etwa einem Word-Dokument, ausführt. Das bedeutet: Bei üblichen MS-Office-Einstellungen muss ein Mitarbeiter die Schadsoftware im Anhang manuell aktivieren, um sie auf das Netzwerk zu übertragen. Die meisten Mitarbeiter benötigen Makros für das normale Tagesgeschäft jedoch nicht. Daher empfiehlt es sich, diese standardmäßig vollständig zu deaktivieren, also auch das manuelle Ausführen durch entsprechende Rechtevergabe zu unterbinden. Ein gutes Schwachstellen-Management-Tool kann hier helfen und scannen, welche Benutzer-Accounts das Ausführen von Makros erlauben. Gleiches gilt für PowerShell- beziehungsweise Administratoren-Rechte, denn momentan sind auch diese notwendig, um Emotet überhaupt zu laden.

Nachladen von Emotet-Tools erkennen

Auch wenn Emotet das IT-System bereits infiziert hat, gibt es noch Verteidigungsmaßnahmen. So lädt die Schadsoftware verschiedene Tools nach, um etwa Zugangsdaten auszuspionieren oder Daten zu verschlüsseln. Diese Standard-Tools können so als Indicators of Compromise genutzt werden. Ob nachgeladene Emotet-Tools in der eigenen IT-Infrastruktur aktiv sind, lässt sich ebenfalls mithilfe eines Schwachstellen-Management-Tools, wie dem Greenbone Security Manager, erkennen.

Alter Bekannter spielt noch immer eine Rolle

Emotet verteilt sich vom infizierten System aus auch über die sogenannte SMB-Schwachstelle. Diese ist bereits aus den WannaCry- und Eternal-Blue-Angriffen bekannt und lässt sich über das entsprechende Update schließen. Viele Unternehmen haben nach dem WannaCry-Ausbruch ihre Netze von außen unzugänglich für die SMB-Kommunikation gemacht, aber nicht die interne Kommunikation. Hier ist eine Prüfung auf die entsprechenden Schwachstellen das Mittel der Wahl, um noch offene System zu finden und die Lücke zu schließen.

Fazit: Domino-Effekt unterbrechen

Besonders für kritische Infrastrukturen wie Krankenhäuser können Cyber-Angriffe katastrophale Folgen haben – und nicht nur wirtschaftliche Schäden nach sich ziehen, sondern auch eine Gefahr für den Menschen darstellen. Um resilient gegen die aktuelle Schadsoftware Emotet zu werden, müssen Unternehmen nur wenige koordinierte Maßnahmen einsetzen und diese regelmäßig überwachen. Diese Aufgabe kann ein Schwachstellen-Management-Tool automatisiert und kontinuierlich übernehmen. Netzwerke können so nicht nur gegen Emotet, sondern gegen jede Art von Cyber-Angriffen gehärtet werden und auch unter widrigen Bedingungen ihre Funktion aufrechterhalten.

www.greenbone.de
 

Anzeige

GRID LIST
Mythos

Die 5 hartnäckigsten Cybersecurity-Mythen

Auch im Zeitalter der Digitalisierung ranken sich noch zahlreiche Mythen rund um das…
Star Wars Lego

IT-Sicherheit im ewigen Wettlauf mit der dunklen Seite der Macht

IT-Sicherheitsexperten in Unternehmen befinden sich im ewigen Wettlauf mit der dunklen…
Security Tablet

Traditionelles SIEM liefert zu viele Sicherheitswarnungen

In den letzten Jahren hat nicht nur die Anzahl, sondern vor allem auch die Komplexität…
2020 Ampel

Trendradar 2020: Wichtige Angriffstypen auf Webanwendungen

Zum Jahresauftakt stellt Contrast Security die momentan relevantesten…
2020

10 digitale Vorsätze für mehr IT-Sicherheit in 2020

Mit dem Rauchen aufhören, weniger Fleisch essen und öfter mal vom Auto aufs Fahrrad…
Tb W190 H80 Crop Int 15b361bcdbf1c17ac65259229064215b

Sandboxing ermöglicht Enterprise-Netzwerkschutz für KMU

Wenn man mit dem Begriff „Sandboxing“ nicht vertraut ist, mag die Assoziation spielender…