Anzeige

Anzeige

VERANSTALTUNGEN

Blockchain Summit
26.03.19 - 26.03.19
In Frankfurt, Kap Europa

ELO Solution Day München
27.03.19 - 27.03.19
In Messe München

Hannover Messe 2019
01.04.19 - 05.04.19
In Hannover

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

ACMP Competence Days München
10.04.19 - 10.04.19
In Jochen Schweizer Arena GmbH, Taufkirchen bei München

Anzeige

Anzeige

Phishing Mail

Die Schadsoftware Emotet bedroht derzeit deutschlandweit Unternehmensnetzwerke und verursacht Schäden in Millionenhöhe. Dirk Schrader, CMO beim Sicherheitsexperten Greenbone, erklärt, wie sich Unternehmen mit nur wenigen koordinierten Maßnahmen nicht nur gegen Emotet, sondern gegen jede Art von Cyber-Angriffen härten können.

In Deutschland sind derzeit nach eigenen Angaben beispielsweise das Maschinenbauunternehmen Krauss Maffei mit Hauptsitz in München sowie das Klinikum Fürstenfeldbruck in Bayern betroffen. Sie haben mit großflächigen Computerausfällen zu kämpfen und können den normalen Betrieb nur mühsam aufrechterhalten. Dabei gibt es durchaus Routinen, die Netzwerke gegen die Auswirkungen solcher Angriffe schützen können.

Die Emotet-Verantwortlichen gehen äußerst perfide vor: Ihre Phishing-E-Mails sind glaubwürdig formuliert und können sogar von einem Kontakt aus dem eigenen Adressbuch kommen, der sich bereits mit der Schadsoftware infiziert hat. Denn das ist das Tückische an der Malware: Im Gegensatz zu herkömmlichen Angriffen versendet Emotet Spam-Mails aus dem eigenen E-Mail-Programm an die Kontakte im Adressbuch. Die Empfänger stufen die Nachricht dann mit großer Wahrscheinlichkeit als vertrauenswürdig ein und infizieren ihr eigenes System. Mitarbeitersensibilisierung allein reicht hier also nicht mehr aus.

Cyber Resilience: Makro-Einstellungen und PowerShell-Berechtigungen überprüfen

Betrachtet man den Aufbau von Emotet genauer, ergeben sich auf technischer Ebene Ansatzpunkte, um sich vor einem Angriff zu schützen. Denn der Ablauf der Infektion nutzt eine Reihe von Elementen, die eine resiliente Infrastruktur mit einer flexiblen und präventiv ausgerichteten Sicherheitsarchitektur nicht aus dem Tritt bringen kann.

So überträgt sich die Infektion nicht sofort, wenn der E-Mail-Empfänger einen Anhang öffnet, sondern erst, wenn er auch die zugehörigen Makros in der angehängten Datei, etwa einem Word-Dokument, ausführt. Das bedeutet: Bei üblichen MS-Office-Einstellungen muss ein Mitarbeiter die Schadsoftware im Anhang manuell aktivieren, um sie auf das Netzwerk zu übertragen. Die meisten Mitarbeiter benötigen Makros für das normale Tagesgeschäft jedoch nicht. Daher empfiehlt es sich, diese standardmäßig vollständig zu deaktivieren, also auch das manuelle Ausführen durch entsprechende Rechtevergabe zu unterbinden. Ein gutes Schwachstellen-Management-Tool kann hier helfen und scannen, welche Benutzer-Accounts das Ausführen von Makros erlauben. Gleiches gilt für PowerShell- beziehungsweise Administratoren-Rechte, denn momentan sind auch diese notwendig, um Emotet überhaupt zu laden.

Nachladen von Emotet-Tools erkennen

Auch wenn Emotet das IT-System bereits infiziert hat, gibt es noch Verteidigungsmaßnahmen. So lädt die Schadsoftware verschiedene Tools nach, um etwa Zugangsdaten auszuspionieren oder Daten zu verschlüsseln. Diese Standard-Tools können so als Indicators of Compromise genutzt werden. Ob nachgeladene Emotet-Tools in der eigenen IT-Infrastruktur aktiv sind, lässt sich ebenfalls mithilfe eines Schwachstellen-Management-Tools, wie dem Greenbone Security Manager, erkennen.

Alter Bekannter spielt noch immer eine Rolle

Emotet verteilt sich vom infizierten System aus auch über die sogenannte SMB-Schwachstelle. Diese ist bereits aus den WannaCry- und Eternal-Blue-Angriffen bekannt und lässt sich über das entsprechende Update schließen. Viele Unternehmen haben nach dem WannaCry-Ausbruch ihre Netze von außen unzugänglich für die SMB-Kommunikation gemacht, aber nicht die interne Kommunikation. Hier ist eine Prüfung auf die entsprechenden Schwachstellen das Mittel der Wahl, um noch offene System zu finden und die Lücke zu schließen.

Fazit: Domino-Effekt unterbrechen

Besonders für kritische Infrastrukturen wie Krankenhäuser können Cyber-Angriffe katastrophale Folgen haben – und nicht nur wirtschaftliche Schäden nach sich ziehen, sondern auch eine Gefahr für den Menschen darstellen. Um resilient gegen die aktuelle Schadsoftware Emotet zu werden, müssen Unternehmen nur wenige koordinierte Maßnahmen einsetzen und diese regelmäßig überwachen. Diese Aufgabe kann ein Schwachstellen-Management-Tool automatisiert und kontinuierlich übernehmen. Netzwerke können so nicht nur gegen Emotet, sondern gegen jede Art von Cyber-Angriffen gehärtet werden und auch unter widrigen Bedingungen ihre Funktion aufrechterhalten.

www.greenbone.de
 

GRID LIST
Security Concept

Strategie zur Einbettung der Security in die Infrastruktur

VMware hat einen neuen Sicherheitsansatz vorgestellt, der den „Verteidigern“ gegenüber…
IT-Security

Mit UEBA die Sicherheit der IT erhöhen

Der Großteil aller Cyberattacken wird von gängigen Sicherheitslösungen nicht erkannt. Die…
Security Baum

Mit Security as a Service gegen den Fachkräftemangel

Security as a Service wird bei Großunternehmen und KMUs immer beliebter: Die sich ständig…
Handschlag mit Kette und Schloss

Tipps: IT-Risiken bei Fusionen und Übernahmen senken

Die Zusammenführung zweier Unternehmen ist selten einfach. Denn neben Organisation,…
IoT

Technische Umsetzung von IoT-Security

Die Experten von Kaspersky Lab haben gemeinsam mit weiteren Mitgliedern des Industrial…
CISO

Investitionen in die IT-Sicherheit dem Vorstand erklären

Da es keine hundertprozentige IT-Sicherheit gibt, scheinen Investitionen in den Schutz…