Der Fall Emotet zeigt, wie wichtig es ist, entsprechende IT-sicherheitstechnische Maßnahmen im Vorfeld eines eines Angriffs umzusetzen, um die Schäden zu minimieren. Seit 2014 häufen sich die Berichte über Beeinträchtigungen bis hin zum Komplettausfall ganzer IT-Systemlandschaften. Im September 2019 wurden die Universität Gießen, die Stadtverwaltung Frankfurt am Main und Bad Homburg angegriffen. Im Jahr 2020 häuften sich die Angriffe auf Krankhäuser. Die Folgen waren fatal. Im Fall der Krankenhäuser konnten teilweise die Notaufnahmen nicht mehr ordnungsgemäß arbeiten.
Welche Maßnahmen können ergriffen werden, um das Schadenspotential zu minieren?
Hier gibt es ein konkretes Vorgehensmodell, welches sich generell mit den Risiken im Bereich der IT auseinandersetzt:
- Identifikation des Analysebereichs
- Identifizieren von Risiken
- Bewerten der Risiken
- Interpretation der Ergebnisse
Zudem sollte man sich Gedanken machen, welches Ziel der Urheber von Emotet verfolgt, wie dieses erreicht wird und welche Teile der IT-Infrastruktur direkt oder indirekt betroffen sind.
Da die Entwickler von Emotet ihre Software und die Infrastruktur vermieten, geht das BSI davon aus, dass in erster Linie ein finanzielles Interesse besteht. Aus Gründen des Umfangs wird hier nicht die funktionsweise von Emotet beschrieben, welche jedoch unter diesem Link sehr gut zu verstehen ist: Funktionsweise Emotet.
Das gefährliche an Emotet ist, dass diese Software mit anderer kombinierbar ist. Zu Beginn eines Selbsttests gilt es Recherchen anzustellen. Insbesondere Analysen von Malware-Forschern und frei verfügbare Incident-Reports können hier helfen. Der Incident-Report beim Angriff auf das Kammergericht Berlin ist frei verfügbar: https://www.berlin.de/sen/justva/presse/pressemitteilungen/2020/pm-11-2020-t-systems-forensik_bericht_public_v1.pdf
Ein Standardwerk, wenn es um Malware geht ist die Mitre-ATT&CK-Matrix.
Zurzeit gelten ausschließlich Phishsing-E-Mails mit angehängte Worddokumenten als Angriffsvektor. Daher sollte zu Beginn erkannt werden, welche Systeme Teile der E-Mail-Infrastruktur sind. Diese sollten auf Schwachstellen geprüft werden. Insbesondere nicht mehr benutzte Mailserver oder Proxyserver sollten beachtet werden. Auch E-Mail Gateways, Anti-Virussysteme, Exchange Server und lokale E-Mail Clients müssen auf Ihre Risiken und Schwachstellen geprüft werden. Nicht zuletzt, falls doch eine Angriff-E-Mail durchgeht, müssen die Mitarbeiter sensibilisiert werden, um die Risiken zu minimieren.
Das konkrete Vorgehen kann gerne von unseren Experten besprochen werden. Kontaktieren Sie uns gern per E-Mail oder telefonisch, Ihr mabs4.0 Deutschland-Tea