Videoblog: Darum sind Emotet & Co. gefährlich - und wie sich Unternehmen dagegen schützen können - IT-techBlog: Cybersecurity, Cloud Computing, Künstliche Intelligenz & Co.

geschätzter Leseaufwand: 3 Minuten

Während unserer Videointerview-Session am Münchner Flughafen habe ich mit Matthias Canisius von SentinelOne auch über das allgegenwärtige Thema Trojaner und Ransomware wie Emotet gesprochen. Heraus kamen sehr interessante Erkenntnisse und Tipps für Unternehmen.

So begegnet man der dateilosen Malware am ehesten

Dateilose (oder Fileless) Malware stellt nach wie vor eine große Herausforderung dar, die sich eher im Aufschwung als im Abschwung befindet. So trifft der Begriff „fileless“ auf mehr als die Hälfte aller Malware-Attacken zu. Dabei handelt es sich vor allem um Schadsoftware-Typen, die unter den Begriffen „Makros“, „Powershell“ und anderen bekannt sind.

Zu dem derzeit immer noch bekanntesten Makrovirus zählt Emotet, der 2014 zum ersten Mal in freier Wildbahn entdeckt wurde und seitdem in regelmäßig neuem Gewand große Schäden verursacht. Das besonders perfide an Emotet ist seine nahezu unscheinbare Vorgehensweise: Man glaubt als Anwender, etwas Legitimes wie ein Word-Dokument zu öffnen, holt sich damit aber einen Makrotrojaner auf den Rechner, der so erst sein destruktives Potential entfalten kann. Denn die Malware gaukelt dem System ein bekanntes Verhalten vor, das dank der Tarnung des Trojaners herkömmlicher Antiviren-Software kaum oder gar nicht auffällt. An dieser Stelle kommt eine Technik zum Einsatz, die sich Endpoint Detection and Response (EDR) nennt.

Die Idee dahinter ist recht einfach: Endpunkte eines Netzwerks (also PCs, Notebooks, Smartphones, Server, etc.) werden zu einer logischen Einheit verknüpft und ständig mit dem Verhalten anderer Systeme abgeglichen, und das möglichst in Echtzeit. Erkennt die zugrunde liegende EDR-Lösung anhand dieser Überwachung eine Anomalie, kann sie eingreifen und den Angriff gegebenenfalls abwehren. Dabei spielt es keine Rolle, ob der Trojaner mit oder ohne Datei auf einem Rechner landet. Denn es wird lediglich überprüft, ob das Verhalten auf dem (vermeintlich) attackierten Rechner gut- oder bösartig ist.

Darum sind nach wie vor Emotet-Angriffe auf Firmen „erfolgreich“

Das Kammergericht Berlin ist wohl das aktuell unrühmlichste Beispiel, wie und warum Kryptotrojaner wie Emotet nach wie vor „erfolgreich“ sein können. Darüber wundern sich auch Security-Experten wie Matthias Canisius, der während unseres Gesprächs einräumt, dass es trotz aller personeller und monetärer Ressourcen nach wie vor in vielen Firmen an den Basics mangelt. Das beginnt beim Patch Management, also den geplanten Update-Prozessen bis hin zu einer sinnvollen Segmentierung von Netzwerken.

Darüber hinaus finden Matthias und sein Team bei Netzwerkanalysen immer wieder veraltete Endpoint-Systeme wie PCs mit Windows 95 und anderen Schwachstellen. Das hat leider oft mit der Annahme zu tun, dass Sicherheit nichts kosten darf und schon keinen Schaden anrichten wird. Außerdem tun sich viele Anwender und Unternehmensleiter nach wie vor mit erforderlichen Veränderungen schwer. Denn das Einrichten und Implementieren wirkungsvoller Sicherheitsmechanismen beginnt mit einem Umdenken und Anpassen an die neuen Begebenheiten. Wird jedoch mit den erforderlichen Veränderungen zu lange gewartet, vergrößert sich der technologische Abstand zwischen Angreifer (Emotet & Co.) und Opfer (die angegriffenen Unternehmen) jeden Tag ein bisschen mehr.

Mehr Aufklärung und wirkungsvolle Technik ist für mehr Sicherheit erforderlich

Doch warum kann sich neben all den technischen Schwachstellen Malware weiterhin scheinbar ungehindert verbreiten? Nun, einen der Gründe sieht Matthias in der fehlenden oder zumindest nur schwach ausgeprägten Aufklärung vieler Anwender. Denn nur wenn ich mir darüber bewusst bin, was das Öffnen eines mir unbekannten PDF-Dokuments an Folgen nach sich ziehen kann, verhalte ich mich auch richtig. Zwar sind viele Unternehmen dazu übergegangen, mithilfe von selbst produzierten Videos das Bewusstsein der Anwender*innen zu schärfen. Was aber offenkundig nicht automatisch zu einem „homo securitas“ führt, wie es Matthais nennt.

Denn immer noch ignorieren viele Nutzer*innen, dass ihr Verhalten zu einem unmittelbaren Schaden für das gesamte Unternehmen führen kann. Daher ist zwar die richtige Aufklärung notwendig, aber nicht das alleinige Heilmittel. Denn nur in Kombination mit wirkungsvollen technischen Abwehrmaßnahmen kann der Schutz vor Emotet und Co. gelingen.