Was ist Emotet?

Emotet gilt aktuell als eines der gefährlichsten Schadprogramme weltweit.

Besonders perfide: Nach erfolgreicher Infektion des Computers lädt die Schadsoftware weitere Schadsoftware nach. In Deutschland werden insbesondere die Schadsoftware-Familien Trickbot und Qakbot durch Emotet nachgeladen.

Emotet ermöglicht den Cyberkriminellen unter anderem

• das Ausspähen der Daten des Betroffenen,
• die Manipulation des Online-Bankings durch das Nachladen der Schadprogramme Trickbot und Qakbot und auch
• die Verschlüsselung des Computersystems durch eine weitere Schadsoftware (Ryuk), mit dem Ziel, das Opfer zu erpressen.

Wie kann ich mein Computersystem mit Emotet infizieren?

Ein typischer Ablauf der Infektion beginnt oftmals mit einem schädlichen Word-Dokument, welches in der Regel über E-Mails verbreitet wird.

Durch das Öffnen und Aktivieren der Bearbeitungsmöglichkeit des Word-Dokumentes (Makro-Funktion) wird ein im Dokument eingebetteter Schadcode ausgeführt und Emotet so auf dem Computer des Opfers installiert. Die Schadsoftware Emotet lädt im nächsten Schritt wiederum weitere Schadsoftware, wie z.B. Trickbot nach, später wird oftmals die Schadsoftware Ryuk nachgeladen.

Quelle: BKA

Was macht Emotet so gefährlich?

Emotet handelt als „Türöffner“ für weitere Malware. Ist die Schadsoftware einmal auf dem Computer des Betroffenen installiert, können die Cyberkriminellen weitere Schadprogramme nachladen. Emotet ermöglicht so Verschlüsselungen, Erpressungen oder die gesamte Kontrolle über ein Netzwerk. Deswegen stellen Emotet-Angriffe eine ganz neue Qualität von „Cybercrime as a Service“ dar.

Weitere Informationen zu „Cybercrime as a Service“ finden Sie im Bundeslagebild Cybercrime Bundeslagebild 2019. Für die Verbreitung von Emotet werden ebenfalls besonders heimtückische Techniken der Verteilung genutzt.

So ist die Schadsoftware in der Lage, selbstständig personalisierte Spam-E-Mails (Nachrichten mit werbendem Inhalt in hoher Anzahl) an die Kontakte des infizierten Opfers zu verschicken.

Das funktioniert so: Emotet liest auf infizierten Systemen die Inhalte der E-Mail-Postfächer aus und erstellt auf Basis dieser Informationen neue E-Mails. Diese verschickt Emotet dann an die Kontakte des Opfers.

Da diese E-Mails an die Kontakte vertraute Betreffzeilen, den Namen des Opfers, dessen E-Mailadresse und Inhalte vorangegangener Nachrichten enthalten, bieten sie einen hohen Wiedererkennungswert. Das verleitet die angeschriebenen Kontakte des Opfers dazu, die infizierten Anhänge der E-Mails zu öffnen oder schadhafte Links anzuklicken.

Wer wird durch Emotet bedroht?

Jeder ist von Emotet bedroht. Die Computersysteme sowohl von Unternehmen, Behörden als auch Privatpersonen können infiziert werden.

Wie kann ich mich privat gegen Emotet schützen?

• Halten Sie Ihr Betriebssystem und Dritt-Software stets auf dem neusten Stand!
• Nutzen Sie eine Antiviren-Software und aktualisieren Sie diese immer wieder.
• Sichern Sie regelmäßig Ihre Daten (Backups) und halten diese am besten „offline“ vor.
• Seien Sie misstrauisch bei Links oder Anlagen in E-Mails mit unbekanntem Absender.
• Haben Sie aber auch ein gesundes Misstrauen, wenn Ihnen etwas bei vermeintlich bekannten Absendern ungewöhnlich vorkommt. Öffnen Sie Dateianhänge und Links von E-Mails nur mit Vorsicht. Bei einer verdächtigen E-Mail sollten Sie im Zweifelsfall den Absender anrufen und sich nach dem tatsächlichen Versand der Inhalte erkundigen.

 Weitere Informationen finden Sie auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Wie können sich Unternehmen gegen Emotet schützen?

• Entwerfen Sie Verfahrensweisen und Anleitungen, wie sich Ihre Mitarbeitenden im Falle eines Cyberangriffs verhalten sollen.
• Aktualisieren Sie Ihr Sicherheitskonzept regelmäßig.
• Schulen Sie Ihre Mitarbeitenden hinsichtlich Cybersicherheit.
• Legen Sie (vom System getrennte) Back-Ups Ihres Systems an.
• Erstatten Sie im Fall einer Infektion unverzüglich Strafanzeige bei Ihrer Zentralen Ansprechstelle Cybercrime (ZAC). Eine Übersicht über die Ansprechstellen finden Sie hier.

Weitere Informationen finden Sie auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Wie erkenne ich, dass ich betroffen bin?

Wenn im Rahmen der aktuellen polizeilichen Maßnahmen bekannt geworden ist, dass eines Ihrer Geräte mit der Schadsoftware Emotet infiziert ist, werden Sie durch Ihren Internet-Provider benachrichtigt. Außerdem hilft es, Ihre Antivirensoftware auf dem neuesten Stand zu halten, sodass diese aktuelle Bedrohungen auf Ihrem Computer erkennt und Sie darüber informiert.

Ich wurde durch meinen Internet-Provider informiert, dass ich von Emotet betroffen bin. Was ist der Hintergrund der Benachrichtigung?

Im Rahmen eines beim Bundeskriminalamt im Auftrag der Zentralstelle zur Bekämpfung der Internet- und Computerkriminalität bei der Generalstaatsanwaltschaft Frankfurt am Main (ZIT) geführten Ermittlungsverfahrens gegen die Verbreiter der Malware Emotet wurde festgestellt, dass zumindest eines der von Ihnen genutzten Computersysteme zu der Infrastruktur der Täter kommuniziert. Das bedeutet, dass eines oder sogar mehrere Geräte, die mit Ihrem Internetanschluss verbunden sind, mit der Schadsoftware Emotet infiziert sind. Diese Computer können nach der Infektion durch den oder die Täter eingesetzt werden, um weitere Straftaten zu begehen, insbesondere um persönliche Daten (wie Nutzernamen und Passwörter) von Nutzern des infizierten Rechners auszuspähen.

Darüber hinaus ist die Malware Emotet insbesondere dafür bekannt, weitere Schadsoftware nachzuladen. Hierbei handelt es sich um weitere Trojaner oder aber auch besonders heimtückische Ransomware. Eine Infektion mit einer Ransomware führt im Regelfall zur Verschlüsselung von Daten auf einzelnen Computern oder in ganzen Netzwerken mit dem Ziel, Lösegeld zu erpressen.

Was bedeutet das für mich?

Sie sind Opfer einer Straftat geworden (hier einer Datenveränderung, strafbar gem. § 303a Strafgesetzbuch), indem ohne Ihr Wissen Schadsoftware auf einem Ihrer Computer installiert wurde. Es besteht die Gefahr, dass die Täter Zugang zu Ihren persönlichen Daten hatten oder Sie aufgrund der nachgeladenen Schadsoftware nicht mehr auf Ihren Computer und Ihre Daten zugreifen können. Wir raten Ihnen, alle Ihre Zugangsdaten, die Sie auf den betroffenen Systemen (zum Beispiel im Web-Browser) gespeichert oder eingegeben haben, zu ändern und Ihre Systeme zu bereinigen. Weitere Informationen finden Sie unter dem Punkt: „Was sollte ich jetzt tun?“

Was hat das Bundeskriminalamt unternommen?

Im Rahmen der international durchgeführten strafprozessualen Maßnahmen hat das Bundeskriminalamt die Malware Emotet auf betroffenen Computersystemen in Quarantäne verschoben.

Zur Beweissicherung und um den betroffenen Nutzern eine vollständige Bereinigung der Systeme zu ermöglichen und damit weitere Straftaten zu verhindern, ist eine Identifizierung der betroffenen Systeme notwendig. Hierfür wurden die Kommunikationsparameter der Schadsoftware so angepasst, dass die Opfersysteme nicht mehr zur Infrastruktur der Täter, sondern zu einer zur Beweissicherung eingerichteten Infrastruktur kommunizieren. Dabei werden folgende Daten übermittelt:

• IP-Adressinformationen des festgestellten Anschlusses,
• Hinweise auf aktuell laufende Programme (z.B. Firefox) auf dem infizierten Rechner
• der vom Nutzer vergebene Computername (z.B. Max Mustermann_PC)

Was macht das Bundeskriminalamt mit den Informationen?

Die IP-Adressinformationen des festgestellten Anschlusses werden von der vom Bundeskriminalamt zur Beweissicherung genutzten Infrastruktur über das Bundesamt für Sicherheit in der Informationstechnik (BSI) an die für die jeweiligen IP-Adressen zuständigen Internetprovider übermittelt, damit diese ihre betroffenen Kunden gezielt darüber informieren können, dass ihr Rechner infiziert ist. Ziel ist es, die Opfersysteme zu erkennen und bereinigen zu lassen und dadurch die Ausbreitung von sowohl Emotet als auch weiterer Schadsoftware zu stoppen, damit keine weiteren Straftaten begangen werden können.

Was sollte ich jetzt tun?

Sie müssen davon ausgehen, dass sich neben der Infektion mit Emotet auch weitere Schadsoftware auf mindestens einem Computersystem in Ihrem lokalen Netzwerk befindet. Sorgen Sie daher unbedingt für eine Desinfektion ihrer Systeme!

Hinweise, wie Sie eine solche Bereinigung durchführen, finden Sie beispielsweise hier.

Wir appellieren dringend an Sie, bei Cyberangriffen jeder Art unverzüglich Strafanzeige bei Ihrer örtlich zuständigen Polizeidienststelle zu erstatten – erfolgreiche Cyberkriminelle werden Angriffe wiederholen und die Polizei kann nur Kriminalität bekämpfen, wenn Sie sie über eine Straftat informieren!

nach oben