Keine Angst vor Emotet

Malware erkennen und vorbeugen

Fachleute bewerten diese Malware als die gefährlichste derzeit: Emotet. Wir erläutern die Gefahr und geben Tipps, wie man Emotet und andere Malware erkennen und sich dagegen schützen kann.

Emotet ist ein Trojaner, der MS Windows-Systeme befällt. Auf infizierten Systemen werden Kontakte, Korrespondenzen und Zugangsdaten/Passwörter ausgelesen und für die Weiterverbreitung genutzt. Im weiteren Verlauf der Infektion kann es zur Verschlüsselung des infizierten Systems und angeschlossener Geräte kommen. Aktuelle Emotet-bedingte Ausfälle an Hochschulen und anderen öffentlichen Einrichtungen scheinen auch durch Verschlüsselung verursacht zu sein.

Wir berücksichtigen aktuelle Infektionswege und Abläufe. Aber auch Angreifer lernen, passen ihre Angriffe an und werden professioneller. Die Tipps und weiterführenden Informationen werden wir bei Bedarf anpassen.

So kommt es zur Emotet-Infektion

Sie erhalten eine (Spam-)E-Mail, die

  • (vermeintlich) von einem bekannten Kommunikationspartner stammt,
  • als Antwort auf eine Ihrer E-Mails an den Kommunikationspartner verfasst ist und
  • ein MS Office-Dokument oder einen Link zu einem solchen Dokument enthält. Dieses Dokument enthält Schadcode in Form sogenannter Makros, die zur Infektion führen.

Wenn Sie dem Link folgen und heruntergeladene/beigefügte Office-Dokumente öffnen, kann dies bereits zur Infektion Ihres Rechners führen. Bei nach Standardvorgaben eingestellten Office-Produkten (Excel, Word, Powerpoint, ..) werden Sie noch vor der Ausführung von Makros gewarnt. Lassen Sie dies beim leistesten Verdacht nicht zu!

Eine Infektion bleibt in der Regel zunächst unbemerkt. Im Hintergrund werden aber bereits E-Mails, Kontaktdaten und Passwörter ausgelesen und an Angreifer geschickt. Die Passwörter werden für Angriffe auf andere Rechner in Ihrem Netz verwendet, die Infektion kann sich so ohne Ihr aktives Zutun weiterverbreiten.

Weitere Schadsoftware, die - unter Umständen auch mit zeitlicher Verzögerung - Ihren Rechner und angeschlossene Laufwerke und Geräte verschlüsselt, wird unbemerkt auf Ihren Rechner geladen und ausgeführt.

Plausibilitätskontrolle: verdächtige E-Mails identifieren

Investieren Sie bei jeder Mail, die Sie zu einer Handlung auffordert, einen kurzen Check:

  • Ist Ihnen der Absender bekannt?
  • Erwarten Sie ein Dokument vom Absender?
  • Sind Betreff und Inhalt der E-Mail sinnvoll?
  • Weist ein Link auf ein Ziel, das Sie erwarten würden?
  • Stimmen Absendername und Absender-Mail-Adresse überein?

Wenn Sie nicht alle Fragen spontan bejahen können, sollten Sie die Anhänge nicht öffnen und Download-Links nicht folgen. Befolgen Sie bitte die unten stehenden Hinweise für den Verdachts- oder Infektionsfall.

Hilfestellung bieten auch die weiterführenden Links zum E-Mail-Betrug und Phishing-Erkennung am Seitenende.

Immer wichtig: Security-Basics

Diese Tipps sollten stets befolgt werden - unabhängig vom Verdacht auf Schadsoftware:

  • Kein Backup - kein Mitleid.
    Emotet lädt häufig Verschlüsselungstrojaner nach. Wer nicht regelmäßig Backups anfertigt, erhält seine Daten in der Regel nicht zurück - oder muss hohe Lösegelder zahlen. Backups sollten NICHT auf Laufwerken oder ständig angeschlossenen Festplatten abgelegt werden, da ein Verschlüsselungstrojaner auch diese Daten verschlüsseln würde. (s. auch Infoseite zur Datensicherung)
  • Automatische Updates
    Malware verbreitet sich von infizierten Rechnern aus häufig über Sicherheitslücken in Betriebssystem, Browser oder Mailprogrammen. Wer nicht die aktuellen Updates installiert hat, kann so unter Umständen durch die Infektion von Kollegen-Rechnern im gleichen Netz gefährdet sein. (s. auch Infoseite zu Updates)
  • Antiviren-Software ist Pflicht
    Die Antiviren-Software sollte sich regelmäßig aktualisieren, damit auch schnell neue Schadsoftware erkannt werden kann. (s. auch Infoseite zur Landeslizenz SOPHOS)
  • Starke Passwörter für (Admin-)Accounts
    Die Verbreitung der Infektion erfolgt häufig durch erratene Passwörter. Alle Passwörter - vor allem aber diejenigen mit besonderen Berechtigungn, wie administrativen Accounts - dürfen nicht leicht erratbar sein. (s. auch Infoseite zu sicheren Passwörtern)

Ich habe eine verdächtige E-Mail entdeckt!

Ist Ihnen der Absender persönlich bekannt, sollten Sie nachfragen, ob die E-Mail tatsächlich vom Absender stammt. Benutzen Sie dazu IMMER Ihre eigenen oder öffentlich verfügbare Kontaktdaten. Eine direkte Antwort per E-Mail würde einem Angreifer Ihre Adressdaten bestätigen.

Wenn die Herkunft unklar ist oder Sie mit dem Absender keinen Kontakt aufnehmen können oder wollen, können Sie diese E-Mail zur weiteren Abklärung an eine Vertrauensperson in Ihrem Bereich oder an uns weiterleiten. Lassen Sie uns die E-Mail bitte als Anlage an abuse@rub.de zukommen, damit wir auch die sogenannten E-Mail-Header analysieren können.

Was tut die RUB, um Ihre Daten zu schützen?

Bereits als schädliche erkannte Makros und Viren werden seit Jahren bei der Annahme von E-Mails gefiltert. Die Stabsstelle für Informationssicherheit hat im Dezenber 2019 eine erweiterte E-Mail- und Netzfilterung schädlicher Inhalte im Emotet-Kontext in die Wege geleitet, Beschäftigte über die Bedrohungslage informiert und eine Arbeitsgruppe mit Verantwortlichen von IT.Services und NOC initiiert. Die Verantwortlichen arbeiten mit Hochdruck an Maßnahmen zur Vorsorge und Schadensabwehr.

An der RUB werden E-Mails mit bereits bekanntem Schadcode oder bekannten gefährlichen Download-Links blockiert und abgewiesen. Zentral von IT.Services administrierte Rechner in der Verwaltung und anderen Einrichtungen sind nach Möglichkeit so eingestellt, dass potentiell gefährliche, aktive Inhalte (sogenannte Makros) nicht ausgeführt werden dürfen.

Das Hochschulrechnernetz ist über sogenannte VLANs in verschiedene, mitunter kleinteilige Segmente aufgeteilt. Diese Maßnahme vermeidet eine großflächige Verbreitung der Infektion durch Ausnutzen von Schwachstellen.

Wer den zentralen Fileservice (z.B. Netapp- oder UV-Ffiler-Laufwerke) nutzt, ist gegen großflächige Verschlüsselung abgesichert, sofern man dieSnapshot-Option gebucht hat. Bitte überprüfen Sie gegebenenfalls Ihren Fileshare-Auftrag. Auch der von IT.Services angebotene Backup-Dienst für Server sichert Backup-Daten gegen Verschlüsselung.

Das sollten Sie zur Sicherheit Ihrer Daten tun:

Die Filterung und weitere technische Maßnahmen greifen nur bei bereits als schädlich klassifzierten Dokumenten und Links. Da die Angreifer den Schadcode, Dokumente und Links immer wieder verändern, können technische Lösungen immer nur mit Zeitverzug angepasst werden.

Die letzte Hürde sind Sie als Nutzer von E-Mail-Diensten. Bitte beherzigen Sie die folgenden Empfehlungen:

  • Vorsicht bei Anhängen
    In fast allen Datei-Formaten kann sich Schadcode verbergen. Das größte Einfallstor sind derzeit aber die veralteten Microsoft Office-Formate (sogenannte Legacy-Formate: .doc, .xls, .ppt ..). In ihnen können unbemerkt (schädliche) Makros enthalten sein.
    Vorsicht auch bei aktuellen Microsoft-Office-Formaten    , wenn die Datei die Endung .docm, .xlsm, .pptm, .. hat. Hier können schädliche Makros enthalten sein.
    Häufig versteckt sich Schadcode in passwortgeschützten ZIP-Dateien. Das Passwort zum Entschlüsseln wird dann meist in derselben E-Mail mitgeschickt. Angreifer umgehen damit die Analyse durch zentrale Filter.
  • Sichere Office-Einstellungen
    Mit Voreinstellung installierte Microsoft Office-Produkte (Word, Excel, Outlook, Powerpoint, ..) warnen vor der Ausführung von Makros und lassen die Ausführung der Makros erst nach Bestätigung durch den Nutzer zu. Wer sicher gehen will, sollte die persönlichen Office-Einstellungen kontrollieren und die Ausführung von Makros gegebenenfalls abstellen. (so geht`s ..)
  • PDF statt Word
    Für Dokumente, die nur zur Kenntnisnahme verschickt werden, die also nicht mehr weiter bearbeitet werden, sollte das PDF-Format bevorzugt werden. Versenden Sie selbst nur PDF-Dokumente und bitten Sie Kommunikationspartner, Ihnen zukünftig nur noch PDF-Dokumente zu schicken. Bei Bewerbungen oder Ausschreibungen sollten Sie darauf hinweisen, dass nur PDF-Dokumente entgegengenommen werden.
    Aktuelle Office-Pakete bieten einen einfachen PDF-Export ohne Zusatzsoftware an.
  • Risiken in PDFs!
    PDFs können auch aktive Inhalte enthalten, z.B. eingebettete Office-Dokumente, Schadcode oder Links zu Download-Portalen mit Schadsoftware. Verwenden Sie eingebaute Schutzmechanismen wie "Geschützte Ansicht" bei Adobe Acrobat. Achten Sie auf enthaltene Links. (so geht`s ..)
  • Datenaustausch per E-Mail vermeiden
    Der Mail-Austausch von Dateien zur gemeinsamen Arbeit wird mitunter als bequem empfunden. Verständigen Sie sich besser über einen gemeinsamen Ablage- und Arbeitsort für diese Dateien. Neben dem Sicherheitsaspekt können sich alle Beteiligten darauf verlassen, stets aktuelle Versionen zu bearbeiten. An der RUB werden dazu zentral administrierte Plattformen wie Fileservice, Sciebo, Seafile Cloud Server und Sharepoint angeboten.

Anleitungen finden Sie auf unserer Themenseite zur sicheren Konfiguration.

Trotz aller Vorsicht: Sie haben einmal zu schnell geklickt.

Wenn Sie ein verdächtiges Dokument geöffnet oder ausgeführt haben und jetzt unsicher sind, sollten Sie eine Vertrauensperson in Ihrem Bereich, das Servicecenter von IT.Services oder uns benachrichtigen. Schicken Sie uns die verdächtige E-Mail - nach Möglichkeit als Anlage - zur weiteren Analyse an abuse@rub.de.

Zur Vermeidung weiterer Infektionen sollten Sie die Netzwerk-Anbindung (Hochschulrechnernetz, Eduroam, sonstige Internetanbindungen) Ihres Rechners kappen, bis Entwarnung kommt.

Der Ernstfall: Mails werden in Ihrem Namen verschickt.

Erhalten Sie Nachricht, dass in Ihrem Namen E-Mails verschickt werden, die nicht von Ihnen veranlasst sind, kann dies auf harmlose Adress-Sammelei aber auch auf einen Emotet-Befall hinweisen. Bitte kontaktieren Sie uns zur weiteren Abklärung.

Weiterführende Informationen

Wie man gefälschte E-Mails erkennen kann, kurze Lernvideos und Tipps zu Spam- und Phishing-Mails auf mobilen Geräten zeigen unsere Themenseiten:
E-Mail-Betrug
Top-Tipps zur Informationssicherheit


Die zur Initial-Infektion verschickten Emotet-Mails haben derzeit alle den gleichen Aufbau: Der Absendername (Anzeigename/Displayname) gehört zu einem bekannten E-Mail-Kontakt/Kollegen/Geschäftspartner - die verwendete Absender-Adresse ist aber jemand anderes (ein anderes Emotet-Opfer). Der E-Mail-Text enthält eine Original-Mail, die man selbst an den Absender verschickt hatte, und die Antwort auf diese Original-Mail. Beispiele solcher E-Mails zeigt unsere Meldung vom 19.12.2019: Vermehrt Angriffe auf öffentliche Einrichtungen.


Besondere Gefahr besteht bei der Analyse eines Geräts durch den Administrator. Meldet sich ein Administrator an einem infizierten Gerät an, das noch mit dem Internet verbunden ist, können mit seinen Zugangsdaten alle von ihm administrierten Geräte infiziert werden.

Wichtige Hinweise für eine sichere Administration und Analyse von Vorfällen finden sich unter Hinweisen für Admins.

Bei (Emotet-)Infektionen ist das Risiko von Datenschutzverletzungen zu analysieren. Erläuterungen finden sich auf der Infoseite zu Datenpannen.

zur Startseite

Bildquellen:
pixabay.de | geralt