Schadsoftware stört öffentliche Einrichtungen

DPA
DPA

Deutschland,

Kurz vor Weihnachten legten Cyberattacken öffentliche Einrichtungen lahm. Vor allem der Trojaner Emotet treibt sein Unwesen und geht dabei besonders raffiniert vor.

IT Security Wissenschaftler trainieren in einem Cybersicherheitszentrum. Kurz vor Weihnachten legten Cyberattacken öffentliche Einrichtungen lahm. Foto: Frank Rumpenhorst/dpa
IT Security Wissenschaftler trainieren in einem Cybersicherheitszentrum. Kurz vor Weihnachten legten Cyberattacken öffentliche Einrichtungen lahm. Foto: Frank Rumpenhorst/dpa - dpa-infocom GmbH

Das Wichtigste in Kürze

  • Die Universität Giessen ist grösstenteils offline, in Frankfurt blieben vorübergehend Ämter geschlossen und das Klinikum Fürth nahm zeitweise keine neuen Patienten auf.

In den vergangenen zwei Wochen wurden mehrere öffentliche Einrichtungen in Deutschland mit Schadsoftware infiziert. Auch Bundesbehörden waren betroffen. In deren Namen wurden E-Mails mit Schadsoftware verschickt.

Es sei in der vergangenen Woche im grösseren Umfang zu erfolgreichen Infektionen mit Schadsoftware gekommen, sagte eine Sprecherin des Bundesamts für Sicherheit in der Informationstechnik (BSI). Das dem BSI unterstellte Notfallteam CERT-Bund teilte auf Twitter mit, es habe innerhalb von 48 Stunden Netzbetreiber und Provider über mehr als 500 Fälle von Trickbot-Infektionen informiert.

Trickbot ist eine Schadsoftware, die Onlinebanking-Zugangsdaten ausspioniert. Betroffen seien Privatnutzer, Dutzende Unternehmen, mehrere Schulen, Universitäten, Krankenhäuser und Kommunalverwaltungen.

Auch vor Spam-Mails, die vorgeben, zur Unterstützung der Klimaaktivisten Greta Thunberg aufzurufen, warnte das CERT-Bund auf Twitter. Diese enthielten die Schadsoftware Emotet. Dieser Trojaner wird laut BSI bei einem Grossteil der aktuellen Angriffe eingesetzt. Das Programm wird auch «König der Schadsoftware» genannt. Es tarnt seine Attacken besonders geschickt, indem es E-Mails als Teil bestehender Konversationen erscheinen lässt. Mitte der Woche warnte das BSI vor einem Emotet-Befall mehrerer Bundesbehörden. Als Folge seien schadhafte E-Mails im Namen der Behörden verschickt worden. Nach einer schnellen Isolierung der infizierten Systeme könne die Bundesverwaltung mittlerweile uneingeschränkt arbeiten, hiess es am Freitag vom BSI.

Auch bei der Stadt Frankfurt herrsche wieder weitgehend Normalbetrieb, sagte ein Sprecher am Freitag. Die Stadt hatte am Mittwochnachmittag nach einem Alarm ihr IT-System sicherheitshalber heruntergefahren. Auch hier kam nach Angaben der Stadt eine Variante von Emotet zum Einsatz.

Ein Mitarbeiter hatte eine als Dienstmail getarnte E-Mail mit Schadsoftware erhalten. Die Generalstaatsanwaltschaft hat inzwischen Ermittlungen zu der Attacke aufgenommen. Die benachbarte Stadt Bad Homburg stellte am Donnerstag ihr IT-System offline und schränkte nach eigenen Angaben den Service bis auf weiteres ein. Auch hier deute einiges auf Emotet hin, sagte ein Sprecher der Stadt.

Ein weiteres Opfer von Emotet wurde nach bisherigen Erkenntnissen das Klinikum Fürth. Es konnte in Folge eines Cyber-Angriffs ab Freitag der vorherigen Woche vorübergehend keine neuen Patienten annehmen und musste Operationen verschieben. Am Montag teilte ein Sprecher dann mit, dass sich der Betrieb weitgehend normalisiert habe.

Emotet versteckt sich in den Anhängen von E-Mails, etwa als Word-Dokument. Sobald diese Anhänge geöffnet werden, späht das Programm die infizierten E-Mail-Systeme aus. Es dient erst einmal nur als Türöffner, so dass ein Befall nicht unbedingt sofort erkannt wird. Das Programm kann dann weitere Schadsoftware nachladen - beispielsweise Banking-Trojaner, die versuchen, digitale Geldströme in die Taschen der Cyberkriminellen umzuleiten. Andere Schadprogramme, sogenannte Ransomware, verschlüsseln flächendeckend die Daten eines infizierten Systems. Für das Passwort, mit dem die Daten wieder entschlüsselt werden können, wird ein Lösegeld (englisch: «ransom») verlangt.

Um Emotet nicht auf den Leim zu gehen, sollten E-Mail-Empfänger den Absender der E-Mail genau prüfen und nicht nur den angezeigten Namen, rät das BSI. Ausserdem sollten Nutzer E-Mails auf Ungereimtheiten prüfen. Christoph Fischer rät: «Nachdenken, bevor man klickt.» Er befasst sich seit mehr als 30 Jahren mit IT-Sicherheit. Mit seiner Beratungsfirma habe er unter anderem dem Bundestag geholfen, als dieser 2015 Opfer eines Cyberangriffs wurde. Ausserdem empfiehlt Fischer mehrere Backups der eigenen Daten auf externen Medien. Gegenüber USB-Sticks hätten DVDs oder etwa Blu-Rays den Vorteil, dass sie in der Regel nicht im Nachhinein infiziert werden können.

Auf eine Bedrohung wie Emotet sind die meisten Unternehmen laut Fischer nicht ausreichend eingestellt: «Jeder müsste eigentlich seine Sicherheitskonzepte noch einmal anfassen, vor dem Hintergrund, was gerade passiert, und schauen, ob es überhaupt noch zeitgemäss ist.» Ausserdem leide die IT-Sicherheit am Fachkräftemangel. Es gebe zu wenige kompetente Kräfte. Viele wollten auch nicht in dem Bereich arbeiten: «Das ist ein anstrengender Job.»

Bei dem Angriff auf die Universität Giessen ist nach Erkenntnissen der auch hier ermittelnden Generalstaatsanwaltschaft Frankfurt die Ransomware Ryuk am Werk gewesen. Das gleiche Programm, das laut Medienberichten vor kurzem auch für eine Cyberattacke auf die Stadtverwaltung der US-Metropole New Orleans verantwortlich ist.

In New Orleans war nach dem Angriff sogar der Ausnahmezustand ausgerufen worden. Ryuk kann auch durch Emotet auf einen Rechner gelotst werden. Die Universität Giessen teilte am Freitag mit, dass E-Mail-Dienste wieder zur Verfügung stünden. Ansonsten seien die IT-Systeme noch weitgehend offline, hiess es auf Anfrage. Die Wiederherstellung werde voraussichtlich nicht vor nächstem Jahr abgeschlossen sein.

Kommentare

Mehr in News

Unfall in Schänis
Musk
2 Interaktionen

Mehr aus Deutschland