Kommentar

Emotet bringt resiliente IT-Netzwerke nicht aus dem Tritt

Die Schadsoftware Emotet bedroht derzeit deutschlandweit Unternehmensnetzwerke und verursacht Schäden in Millionenhöhe. Dirk Schrader, CMO beim Sicherheitsexperten Greenbone, erklärt, wie sich Unternehmen mit nur wenigen koordinierten Maßnahmen nicht nur gegen Emotet, sondern gegen jede Art von Cyber-Angriffen härten können.

In Deutschland sind derzeit nach eigenen Angaben beispielsweise das Maschinenbauunternehmen Krauss Maffei mit Hauptsitz in München sowie das Klinikum Fürstenfeldbruck in Bayern betroffen. Sie haben mit großflächigen Computerausfällen zu kämpfen und können den normalen Betrieb nur mühsam aufrechterhalten. Dabei gibt es durchaus Routinen, die Netzwerke gegen die Auswirkungen solcher Angriffe schützen können.

Anzeige

Die Emotet-Verantwortlichen gehen äußerst perfide vor: Ihre Phishing-E-Mails sind glaubwürdig formuliert und können sogar von einem Kontakt aus dem eigenen Adressbuch kommen, der sich bereits mit der Schadsoftware infiziert hat. Denn das ist das Tückische an der Malware: Im Gegensatz zu herkömmlichen Angriffen versendet Emotet Spam-Mails aus dem eigenen E-Mail-Programm an die Kontakte im Adressbuch. Die Empfänger stufen die Nachricht dann mit großer Wahrscheinlichkeit als vertrauenswürdig ein und infizieren ihr eigenes System. Mitarbeitersensibilisierung allein reicht hier also nicht mehr aus.

Cyber Resilience: Makro-Einstellungen und PowerShell-Berechtigungen überprüfen

Betrachtet man den Aufbau von Emotet genauer, ergeben sich auf technischer Ebene Ansatzpunkte, um sich vor einem Angriff zu schützen. Denn der Ablauf der Infektion nutzt eine Reihe von Elementen, die eine resiliente Infrastruktur mit einer flexiblen und präventiv ausgerichteten Sicherheitsarchitektur nicht aus dem Tritt bringen kann.

So überträgt sich die Infektion nicht sofort, wenn der E-Mail-Empfänger einen Anhang öffnet, sondern erst, wenn er auch die zugehörigen Makros in der angehängten Datei, etwa einem Word-Dokument, ausführt. Das bedeutet: Bei üblichen MS-Office-Einstellungen muss ein Mitarbeiter die Schadsoftware im Anhang manuell aktivieren, um sie auf das Netzwerk zu übertragen. Die meisten Mitarbeiter benötigen Makros für das normale Tagesgeschäft jedoch nicht. Daher empfiehlt es sich, diese standardmäßig vollständig zu deaktivieren, also auch das manuelle Ausführen durch entsprechende Rechtevergabe zu unterbinden. Ein gutes Schwachstellen-Management-Tool kann hier helfen und scannen, welche Benutzer-Accounts das Ausführen von Makros erlauben. Gleiches gilt für PowerShell- beziehungsweise Administratoren-Rechte, denn momentan sind auch diese notwendig, um Emotet überhaupt zu laden.

Nachladen von Emotet-Tools erkennen

Auch wenn Emotet das IT-System bereits infiziert hat, gibt es noch Verteidigungsmaßnahmen. So lädt die Schadsoftware verschiedene Tools nach, um etwa Zugangsdaten auszuspionieren oder Daten zu verschlüsseln. Diese Standard-Tools können so als Indicators of Compromise genutzt werden. Ob nachgeladene Emotet-Tools in der eigenen IT-Infrastruktur aktiv sind, lässt sich ebenfalls mithilfe eines Schwachstellen-Management-Tools, wie dem Greenbone Security Manager, erkennen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Alter Bekannter spielt noch immer eine Rolle

Emotet verteilt sich vom infizierten System aus auch über die sogenannte SMB-Schwachstelle. Diese ist bereits aus den WannaCry- und Eternal-Blue-Angriffen bekannt und lässt sich über das entsprechende Update schließen. Viele Unternehmen haben nach dem WannaCry-Ausbruch ihre Netze von außen unzugänglich für die SMB-Kommunikation gemacht, aber nicht die interne Kommunikation. Hier ist eine Prüfung auf die entsprechenden Schwachstellen das Mittel der Wahl, um noch offene System zu finden und die Lücke zu schließen.

Fazit: Domino-Effekt unterbrechen

Besonders für kritische Infrastrukturen wie Krankenhäuser können Cyber-Angriffe katastrophale Folgen haben – und nicht nur wirtschaftliche Schäden nach sich ziehen, sondern auch eine Gefahr für den Menschen darstellen. Um resilient gegen die aktuelle Schadsoftware Emotet zu werden, müssen Unternehmen nur wenige koordinierte Maßnahmen einsetzen und diese regelmäßig überwachen. Diese Aufgabe kann ein Schwachstellen-Management-Tool automatisiert und kontinuierlich übernehmen. Netzwerke können so nicht nur gegen Emotet, sondern gegen jede Art von Cyber-Angriffen gehärtet werden und auch unter widrigen Bedingungen ihre Funktion aufrechterhalten.

www.greenbone.de
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.