Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

Anzeige

Anzeige

Phishing Mail

Die Schadsoftware Emotet bedroht derzeit deutschlandweit Unternehmensnetzwerke und verursacht Schäden in Millionenhöhe. Dirk Schrader, CMO beim Sicherheitsexperten Greenbone, erklärt, wie sich Unternehmen mit nur wenigen koordinierten Maßnahmen nicht nur gegen Emotet, sondern gegen jede Art von Cyber-Angriffen härten können.

In Deutschland sind derzeit nach eigenen Angaben beispielsweise das Maschinenbauunternehmen Krauss Maffei mit Hauptsitz in München sowie das Klinikum Fürstenfeldbruck in Bayern betroffen. Sie haben mit großflächigen Computerausfällen zu kämpfen und können den normalen Betrieb nur mühsam aufrechterhalten. Dabei gibt es durchaus Routinen, die Netzwerke gegen die Auswirkungen solcher Angriffe schützen können.

Die Emotet-Verantwortlichen gehen äußerst perfide vor: Ihre Phishing-E-Mails sind glaubwürdig formuliert und können sogar von einem Kontakt aus dem eigenen Adressbuch kommen, der sich bereits mit der Schadsoftware infiziert hat. Denn das ist das Tückische an der Malware: Im Gegensatz zu herkömmlichen Angriffen versendet Emotet Spam-Mails aus dem eigenen E-Mail-Programm an die Kontakte im Adressbuch. Die Empfänger stufen die Nachricht dann mit großer Wahrscheinlichkeit als vertrauenswürdig ein und infizieren ihr eigenes System. Mitarbeitersensibilisierung allein reicht hier also nicht mehr aus.

Cyber Resilience: Makro-Einstellungen und PowerShell-Berechtigungen überprüfen

Betrachtet man den Aufbau von Emotet genauer, ergeben sich auf technischer Ebene Ansatzpunkte, um sich vor einem Angriff zu schützen. Denn der Ablauf der Infektion nutzt eine Reihe von Elementen, die eine resiliente Infrastruktur mit einer flexiblen und präventiv ausgerichteten Sicherheitsarchitektur nicht aus dem Tritt bringen kann.

So überträgt sich die Infektion nicht sofort, wenn der E-Mail-Empfänger einen Anhang öffnet, sondern erst, wenn er auch die zugehörigen Makros in der angehängten Datei, etwa einem Word-Dokument, ausführt. Das bedeutet: Bei üblichen MS-Office-Einstellungen muss ein Mitarbeiter die Schadsoftware im Anhang manuell aktivieren, um sie auf das Netzwerk zu übertragen. Die meisten Mitarbeiter benötigen Makros für das normale Tagesgeschäft jedoch nicht. Daher empfiehlt es sich, diese standardmäßig vollständig zu deaktivieren, also auch das manuelle Ausführen durch entsprechende Rechtevergabe zu unterbinden. Ein gutes Schwachstellen-Management-Tool kann hier helfen und scannen, welche Benutzer-Accounts das Ausführen von Makros erlauben. Gleiches gilt für PowerShell- beziehungsweise Administratoren-Rechte, denn momentan sind auch diese notwendig, um Emotet überhaupt zu laden.

Nachladen von Emotet-Tools erkennen

Auch wenn Emotet das IT-System bereits infiziert hat, gibt es noch Verteidigungsmaßnahmen. So lädt die Schadsoftware verschiedene Tools nach, um etwa Zugangsdaten auszuspionieren oder Daten zu verschlüsseln. Diese Standard-Tools können so als Indicators of Compromise genutzt werden. Ob nachgeladene Emotet-Tools in der eigenen IT-Infrastruktur aktiv sind, lässt sich ebenfalls mithilfe eines Schwachstellen-Management-Tools, wie dem Greenbone Security Manager, erkennen.

Alter Bekannter spielt noch immer eine Rolle

Emotet verteilt sich vom infizierten System aus auch über die sogenannte SMB-Schwachstelle. Diese ist bereits aus den WannaCry- und Eternal-Blue-Angriffen bekannt und lässt sich über das entsprechende Update schließen. Viele Unternehmen haben nach dem WannaCry-Ausbruch ihre Netze von außen unzugänglich für die SMB-Kommunikation gemacht, aber nicht die interne Kommunikation. Hier ist eine Prüfung auf die entsprechenden Schwachstellen das Mittel der Wahl, um noch offene System zu finden und die Lücke zu schließen.

Fazit: Domino-Effekt unterbrechen

Besonders für kritische Infrastrukturen wie Krankenhäuser können Cyber-Angriffe katastrophale Folgen haben – und nicht nur wirtschaftliche Schäden nach sich ziehen, sondern auch eine Gefahr für den Menschen darstellen. Um resilient gegen die aktuelle Schadsoftware Emotet zu werden, müssen Unternehmen nur wenige koordinierte Maßnahmen einsetzen und diese regelmäßig überwachen. Diese Aufgabe kann ein Schwachstellen-Management-Tool automatisiert und kontinuierlich übernehmen. Netzwerke können so nicht nur gegen Emotet, sondern gegen jede Art von Cyber-Angriffen gehärtet werden und auch unter widrigen Bedingungen ihre Funktion aufrechterhalten.

www.greenbone.de
 

GRID LIST
Notfall Knopf

Die Zeit läuft: Worauf es bei der Notfallreaktion ankommt

Wie bei jedem Notfall – Feuer, Herzinfarkt oder Verkehrsunfall – spielt auch bei…
Torhüter FCA

Torhüter der IT – der FC Augsburg setzt auf „Made in Augsburg"

Der 1907 gegründete Traditionsverein FC Augsburg (FCA) nutzt zur Verwaltung seiner…
Tb W190 H80 Crop Int A03eb03b6c06e9e89dbea9d04fe772e2

IT Sicherheit - vom Spielverderber zum Beschleuniger der Digitalisierung

Moderne IT-Security muss einerseits die Herausforderungen der digitalen Transformation…
Hand hält Wolke mit Schloss

Forcepoint Next Generation Firewall

Evasion-Techniken bilden eine besondere Gefahr für die IT-Sicherheit in Unternehmen.…
Tb W190 H80 Crop Int C196c32d831cae80f568a6bbc332af89

VPN-Verschlüsselung ist nicht für alle Szenarien sinnvoll

Datenschutzskandale, Sicherheitslücken, Hacking und diverse Szenarien der…
Tb W190 H80 Crop Int B43bafc6bf035187fc81a02a47f08a7e

QUICK Technology: Alternative zu Public-Key-Infrastrukturen

Rund ein Jahr, nachdem die Europäische Datenschutz-Grundverordnung endgültig in Kraft…