Entfessele dein Jagdfieber

Zur Lage: Wo Emotet wütet und wo nicht

Meldung von doelf, Donnerstag der 19.12.2019, 23:56:52 Uhr

In Firmen und Behörden ist die Stimmung dieser Tage sehr angespannt. Einerseits wird vielerorts am Umstieg auf Windows 10 gearbeitet, andererseits finden Viren und Hacker immer wieder prominente Opfer. So ist die Justus-Liebig-Universität Gießen seit Tagen offline, die Stadt Frankfurt am Main nahm heute ihre IT-Systeme vom Netz und auch Bad Homburg musste alle Stecker ziehen. Und immer wieder liegt ein Verdacht in der Luft: Emotet.

Emotet mit neuer Taktik
Unter den Schadprogrammen ist Emotet eigentlich ein alter Hut: Der Trojaner, welcher es primär auf Bankdaten abgesehen hatte, wurde erstmals im Juni 2014 von Trend Micro entdeckt. In den folgenden Jahren hatte sich Emotet als sehr wandelbar erwiesen, denn das Programm lädt zahlreiche andere Schädlinge nach und versucht sich inzwischen am beliebten Konzept "Verschlüsseln und Erpressen". Alle Hersteller von Virenschutz-Software haben Emotet und seine Varianten auf dem Schirm, doch seit einigen Tagen steigt die Zahl der Infektionen wieder an. Das Problem besteht darin, dass die Phishing-Mails inzwischen ohne verseuchten Anhang kommen und auf diese Weise unter den wachsamen Augen der meisten Anti-Viren-Programme hindurch schlüpfen. Stattdessen versuchen die E-Mails, die in Hinblick auf Absender und Anliegen meist täuschend echt wirken, den Nutzer zum Aufruf eines Links zu verleiten, von dem aus der Angriff gestartet wird.

Mehrere Behörden infiziert
Wie das "Bundesamt für Sicherheit in der Informationstechnik" (BSI) gestern berichtete, konnte Emotet Rechner in mehreren Behörden der Bundesverwaltung befallen. Auf den infizierten Rechnern sucht Emotet nach E-Mails, modifiziert diese, damit sie wie authentische Antworten oder Nachfragen aussehen, und bindet Links auf seine Schadseiten ein. Diese E-Mails werden dann an die jeweiligen Kontakte verschickt, um die Infektion in neue Netze zu tragen. Ob auch E-Mails mit Schadprogrammen als Anhang verschickt wurden, ist unklar. Wenn ein Link im Webbrowser geöffnet oder ein Anhang ausgeführt wurde, besteht jedenfalls akute Gefahr und alle Geräte im lokalen Netz müssen überprüft werden.

Die Universität Gießen geht vom Netz
Schon am 8. Dezember 2019 meldete die Justus-Liebig-Universität Gießen (JLU) einen "schwerwiegenden IT-Sicherheitsvorfall" und nahm alle Systeme offline. Seither findet eine umfassende Untersuchung statt und man hofft, "bis zum Ende der Woche erste gesicherte Aussagen zum Umfang des Schadens an den Servern der JLU" machen zu können. Mit 1.200 USB-Sticks wurden Virus-Scans durchgeführt, alle Studierenden mussten sich persönlich neue E-Mail-Passwörter unter Vorlage ihrer Ausweise abholen und das Landeskriminalamt ermittelt. Als Grund für den Abschaltung ihrer IT-Systeme nennt die Hochschule offiziell einen Hackerangriff. Auf welchem Weg die Kriminellen in die Netze vordringen konnten, wurde bisher nicht verraten.

Frankfurt am Main schaltet ab
Die Stadt Frankfurt am Main schien es am heutigen Donnerstag erwischt zu haben: "Ein kritischer Vorfall auf einem Rechner" hatte die Warnglocken der Verantwortlichen schrillen lassen und den städtischen IT-Systemen eine Zwangspause beschert. Das Internetangebot unter frankfurt.de ging offline, städtische Mitarbeiterinnen und Mitarbeiter konnten nicht per E-Mail erreicht werden und alle Anwendungen, die auf den Servern der Stadt laufen, ließen sich nicht mehr aufrufen. Nach einer Prüfung geben die Hessen allerdings Entwarnung: Es hat keine Infektion gegeben und im Laufe des morgigen Freitags soll in den Amtsstuben wieder Normalität einkehren. Die Natur des kritischen Vorfalls bleibt derweil unklar.

Bad Homburg ist nicht mal telefonisch erreichbar
Auch die Stadt Bad Homburg hegt den Verdacht, dass sich in ihrem Netzwerk eine Schadsoftware tummelt. Alle IT-Systeme wurden heruntergefahren und der Service, den die Stadtverwaltung und alle ihre Ausstellenstellen derzeit bieten können, ist extrem eingeschränkt. Selbst die Telefonanlagen sind betroffen, so dass aktuell keine telefonische Erreichbarkeit gewährleistet ist. Da die Lage zur Stunde noch unklar ist, muss die Mobilitätszentrale im Bahnhof am morgigen Freitag geschlossen bleiben. Ein kleiner Trost für Eltern: Zumindest die Kindertageseinrichtungen der Stadt werden ganz normal geöffnet haben.

Es ist nicht immer Emotet
Obiger Blick auf vier prominente Opfer zeigt, dass nicht immer Emotet der Schuldige ist. Nur im Fall der Bundesbehörden sind Emotet-Infektionen gesichert, die Lage in Gießen und Bad Homburg ist unklar und Frankfurt am Main ist offenbar mit einem blauen Auge davongekommen. Dass Problem selbst bleibt jedoch: E-Mails mit Anhängen oder Links stellen eine potentielle Gefahr dar, selbst wenn sie auf den ersten Blick authentisch erscheinen. Im Zweifelsfall sollte man den Absender auf einem alternativen Weg, beispielsweise per Telefonanruf kontaktieren, um die Echtheit der Mail abzuklären. Angehängte Dateien sollte man vor dem Öffnen bei VirusTotal hochladen, wo sie von einer Vielzahl von Virenscannern untersucht werden. Auch verdächtige URLs kann VirusTotal überprüfen und so das Risiko eines Angriffs minimieren. Eines sollte man dabei jedoch nie vergessen: Eine absolute Sicherheit gibt es nicht!

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]