secIT 2020: Was tun bei Emotet-Befall?

Wenn Schadsoftware wie Emotet zuschlägt, wechselt für die Betroffenen der Normalbetrieb in rasanter Geschwindigkeit auf Krisensituation und es stellt sich die Frage, wie man reagieren kann. Wenn plötzlich alle wichtigen Daten samt “modernem”, stets mit dem Netzwerk verbundenen Backup gelöscht oder verschlüsselt wurden und die eigenen Systeme bloß noch Überbringer der Erpressernachricht sind, dann kann man erst einmal nur aus der Defensive heraus handeln.

In der Defensive und unter Zeitdruck

Der Faktor Zeit spielt also eine große Rolle. Es gilt "schnell, aber ohne Hektik" zu handeln, fasst der IT-Forensiker und Sachverständige Martin Wundram, der auf der Sicherheitskonferenz secIT über seine Erfahrungen mit Emotet & Co. berichtet, die wichtigste Regel zusammen. Bei zu langsamer Reaktion droht eine weitere Ausbreitung der Infektion und vielleicht sogar Datenabfluss, bei zu schnell und womöglich planlos ausgeführten Maßnahmen können Datenspuren verloren gehen oder bereits neu aufgesetzte, „saubere“ Systeme erneut infiziert werden, erläutert Wundram.

Besonders wichtig ist bei einem Malware-Befall in Unternehmen ein kontrolliertes und im Team abgestimmtes, sauber dokumentiertes Vorgehen. Es gilt zunächst, einen Maßnahmenplan inklusive sinnvoller Priorisierung aufzustellen, diesen abzuarbeiten und dabei den Überblick zu behalten. Ein wichtiger Erfolgsfaktor ist, dass nicht nur IT-Experten an dem Fall arbeiten, sondern auch die Unternehmensführung sich aktiv einbringt, wichtige Entscheidungen schnell und verbindlich trifft, klare Prioritäten erkennt und setzt (welche Systeme müssen wann, wie und wo wieder laufen?) und die dazu notwendigen Ressourcen bereitstellt. Dazu gehört auch die Entscheidung, ob Systeme neu aufgesetzt oder aus Backups wieder eingespielt werden und welches Restrisiko letztlich akzeptiert wird.

Keine Erfolgsgarantie – aber ein Hoffnungsschimmer

Es gibt bei Vorfällen wie einem Emotet-Befall nicht "die" einheitliche und einzige Vorgehensweise, die garantiert zum Erfolg führt. Incident Response – also der kontrollierte Umgang mit IT-Sicherheitsvorfällen, um diese bestmöglich zu bewältigen – erfolgt zwar auf Basis von Standards und grundsätzlich bewährten Abläufen, letztlich jedoch immer von Fall zu Fall individuell. Die gute Nachricht ist aber: Wenn Täter gleichartig vorgehen oder gleichartige, vielleicht sogar im Kern weitgehend identische Schadsoftware zum Einsatz kommt, können erprobte Maßnahmen helfen: So können etwa von vertrauenswürdiger Stelle ermittelte sogenannte “Indicators of Compromise”, zum Beispiel Listen bekannter von Tätern benutzter IP-Adressen, den IT-Experten bei der Vorfallsbewältigung Hinweise geben, um auffälligen Netzwerktraffic oder auffällige Systemprozesse zu identifizieren.

Auch der Wissensaustausch mit anderen Experten und weitere Informationsquellen können bedeutsam sein. So fanden etwa die Administratoren bei Heise eher zufällig heraus, dass einige Office-Versionen für den Firmeneinsatz die Gruppenrichtlinien ohne Warnung für den Benutzer ignorieren – fatal, wenn es dabei um das Deaktivieren von Makros geht, die ja bekanntermaßen das Haupteinfallstor von Emotet sind. Unabhängig von konkreten Ereignissen sollte man sich frühzeitig mit dem Ernstfall auseinandersetzen. Martin Wundram rät, sich beispielsweise folgende Fragen zu stellen: Ist Ihr Backup sicher, kennen Sie jedes Ihrer IT-Systeme? Wie würden Sie reagieren, was würden Sie tun, wenn morgen Emotet wütet?

Weitere Praxistipps zu ersten Maßnahmen, aber auch Vermeidungsstrategien gibt der IT-Sicherheits- und Forensikexperte auf der von Heise veranstalteten secIT, die am 25. und 26. März 2020 in der Congresshalle in Hannover stattfindet. Das vollständige Programm ist auf der Veranstaltungswebseite zu finden. (ur)