Der Trojaner „Emotet“ gilt als die derzeit gefährlichste Cyberbedrohung für Unternehmen weltweit. Immer mehr Industrieunternehmen sind betroffen. Häufig stehen bei einem Angriff die Bänder still. Die Sorge in der Branche ist groß. Dabei kann man sich mit geeigneten IT-Sicherheitslösungen vor dem Angreifer schützen. Ein Beitrag von Clemens A. Schulz, Director Desktop Security, Rohde & Schwarz Cybersecurity.

Krauss-Maffei hat es getroffen, den Aluminiumhersteller Hydro Norsk, und jüngst wurde der Maschinenbauer Pilz zum Opfer: Hacker haben sämtliche Firmendaten verschlüsselt und eine Lösegeldforderung an die Unternehmen geschickt. Tagtäglich werden Unternehmen auf diese Weise erpresst. Laut einer Cybersecurity-Studie des TÜV ist jeder fünfte IT-Sicherheitsvorfall ein Ransomware-Angriff. Die Folgen sind gravierend – auch wenn kein Lösegeld fließt. Häufig stehen infolge der Angriffe die Maschinen still. Das kann für ein mittelständisches Industrieunternehmen existenzbedrohend sein.

Hinter solchen Erpressungsangriffen steckt immer öfter die Schadsoftware Emotet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft Emotet in Verbindung mit Ransomware in seinem aktuellen Lagebericht als eine der größten Bedrohungen für Unternehmen ein. Emotet wird vom BSI sogar als „eine der größten Cyberbedrohungen der Welt“ bezeichnet.

Was macht Emotet für Industrieunternehmen so gefährlich?
Emotet ist ein Türöffner. Ist der Trojaner einmal installiert, können die Hacker ungehindert weitere Schadprogramme nachladen. Hacker nutzen ihn beispielsweise als Vorbereitung für Ransomware-Angriffe. Dabei werden sämtliche Dateien im Unternehmensnetzwerk verschlüsselt – auch die Steuerungssoftware und die Produktionsdaten sind betroffen, insofern sie auf einem Windows-Rechner laufen. Die Folgen sind gravierend: Krauss Maffei konnte seine Steuerungsanlagen in der Fertigung und der Montage aufgrund eines Ransomware-Angriffs nicht mehr starten. Die Maschinen standen von einem Moment auf den anderen still. In vielen Fällen kommt die Produktion auch deshalb zum Erliegen, weil Unternehmen – sobald sie den Angriff bemerkt haben – ihre Systeme komplett herunterfahren sollten, um ein weiteres Ausbreiten zu verhindern.  

Emotet bietet auch solchen Angreifern Zutritt, die auf Produktionsmaschinen spezialisiert sind. Deren Ziel kann es sein, die Produktionsdaten zu entwenden. Diese Industriespionage hat erhebliche Folgen für die Wettbewerbsfähigkeit des deutschen Mittelstandes.

Wie gelangt der Trojaner in das IT-System?
Emotet wird mithilfe gefälschter Emails, sogenannter Phishing-Emails, über die Office-IT in das Unternehmensnetzwerk eingeschleust. Die Emails sehen heute so echt aus, dass es schwer ist, sie als Fälschungen zu erkennen. Der Empfänger wird aufgefordert, eine angehängte Datei zu öffnen und dabei bestimmte Einstellungen am PC vorzunehmen – beispielsweise die Makros zu aktivieren. Wer dieser Aufforderung nachkommt, lädt – ohne es zu wissen – Emotet auf seinen PC.  

Sobald ein Rechner befallen ist, meldet sich Emotet beim Server des Hackers zurück. Dieser weiß dann, dass der Angriff erfolgreich war und kann weitere Malware einschleusen. Parallel dazu liest Emotet Inhalte aus Outlook-Postfächern des befallenen Systems aus – das sogenannte „Outlook-Harvesting“. Das führt dazu, dass der Spam echt wirkt und mit hoher Wahrscheinlichkeit geöffnet wird. Weitere Opfer erhalten beispielsweise gefälschte Antworten eines bekannten Kontaktes.

Wie kann sich ein Unternehmen vor Emotet schützen?
Aufgrund der sehr professionellen Phishing-E-Mails reichen Mitarbeiterschulungen zum Schutz vor Emotet nicht aus. Auch Antivirenlösungen und klassische Firewalls können den Schädling nicht abhalten. Eine schlagkräftige Schutzmaßnahme vor Cyberangriffen auf Produktionsanlagen ist es, die operationalen Netze von den IT-Netzen zu trennen. Selbst wenn die Office-IT angegriffen wird, können die Maschinen dann unbehelligt weiterlaufen.

Eine solche Trennung ist in vielen Unternehmen jedoch unrealistisch. Denn häufig werden die Netze direkt miteinander verbunden, um z. B. neue Programme und Befehle an Maschinen senden zu können. Es braucht also Sicherheitsmaßnahmen, die Angreifer aus dem gesamten Unternehmensnetz fernhalten. Am konsequentesten ist das durch eine Trennung von Internet und internem Netzwerk möglich – denn dann kann Schadsoftware nicht in das Basisbetriebssystem eindringen.

Praktisch umsetzen lässt sich das mit einem virtuellen Browser: Als Erweiterung zur hardwarebasierten Komponente wird dazu eine softwarebasierte virtuelle „Surfumgebung“ geschaffen. Die Nutzer arbeiten mit einer vom Betriebssystem separierten Maschine. Der Vorteil: Anstatt – wie bei Antivirenprogrammen – Schadcodes zu erkennen, werden alle potenziell gefährlichen Aktivitäten „proaktiv“ in diesem virtuellen Browser isoliert. Jeder Browserstart beseitigt die Schädlinge und versetzt den Browser in seinen Ausgangszustand. Selbst wenn Emotet über einen USB-Stick einen Weg ins Netzwerk findet, ließe sich der Angriff aufhalten: Um den Schädling zu aktivieren und weitere Schadsoftware nachzuladen, wäre der Zugang zum Internet notwendig, welcher jedoch durch die strikte Trennung bei einem virtuellen Browser nicht möglich ist.

Und wenn es zu spät ist?
Ein Emotet-Befall bleibt meist unentdeckt, bis es zu Folgeangriffen kommt. Handelt es sich um Ransomware, sollten Unternehmen auf keinen Fall den Lösegeldforderungen nachkommen. Denn jede erfolgreiche Erpressung motiviert den Angreifer weiterzumachen. Zusätzlich finanzieren Lösegelder die Weiterentwicklung von Schadsoftware und fördern deren Verbreitung. Zudem gibt es keine Garantie dafür, dass die Daten nach der Zahlung wieder freigeschaltet werden.

Das BSI empfiehlt, stattdessen Strafanzeige zu erstatten. Denn polizeiliche Ermittlungen ermöglichen Untersuchungen, die Betroffene selbst meist nicht durchführen können, wie etwa die Überwachung verdächtiger Server. Zusätzlich sollten Betroffene infizierte Rechner umgehend vom Netz trennen, um den Schaden möglichst einzugrenzen.