Die Schadsoftware Emotet schleicht wieder durch die Gegend. Haben Sie Türen und Fenster geschlossen?

Ich werde oft gebeten zu prüfen, ob eine Informatikumgebung sicher ist. Die wichtigsten Punkte kann aber jede Anwenderin, jeder Anwender selber prüfen. Diese Prüfpunkte möchte ich im Folgenden anhand der Bedrohung durch die Schadsoftware Emotet erläutern.

In den Vereinigten Staaten und in Grossbritannien breitet Emotet sich wieder aus. In der Regel läuft das über Phishing: In einer E-Mail wird der Empfänger aufgefordert, einen Link oder eine Datei anzuklicken. Tut er das, kann Emotet sich in einen bestehenden E-Mail-Austausch zwischen zwei Personen einschleusen. Damit ist es oft nur schwer als Gefahr zu erkennen. Vom infizierten Computer ausgehend breitet Emotet sich daraufhin rasend schnell aus und knackt auch Passwörter für den Zugriff auf andere Computer und Laufwerke.

Mit ein paar wenigen Massnahmen kann das Risiko eines Schadens jedoch erheblich gesenkt werden.

Meine Ausführungen basieren auf dem Minimalstandard zur Verbesserung der IKT-Resilienz (Abwehrkraft gegen Bedrohungen) des Bundes. Dieser Standard verwendet Kategorien von Massnahmen, deren Inhalt ich im Folgenden anhand der Einbruchsgefahr in ein Haus erläutere:

  1. Awareness and Training: Die Hausbewohner sollten elementare Sicherheitsmassnahmen wie das Schliessen der Türen bei Abwesenheiten kennen.
  2. Zugriffsmanagement und -steuerung: Sie sollten wissen, wer welche Schlüssel zu Ihrem Haus besitzt.
  3. Inventar Management: Wissen Sie, wo welche Wertgegenstände in Ihrem Haus aufbewahrt werden? Wenn nicht, werden Sie einen Diebstahl nicht bemerken.
  4. Datensicherheit: Bewahren Sie die Wertgegenstände an sicheren Orten auf, z.B. in einem Panzerschrank?
  5. Geschäftsumfeld und Risikomanagement: Was sind bei einem Einbruch die grössten Bedrohungen für Ihr Haus?
  6. Governance: Kennen Sie die gesetzlichen Verpflichtungen, die Sie bei einem allfälligen Einbruch den Hausbewohnern und Nachbarn gegenüber haben?
  7. Detection Processes: Wie stellen Sie fest, dass eingebrochen wurde?
  8. Vorfälle, Analyse, Mitigation: Wie gehen Sie nach einem Einbruch konkret vor? Wie begrenzen Sie den entstandenen Schaden?
  9. Kommunikation: Wer wird nach einem Einbruch wie informiert?
  10. Verbesserungen: Wie verbessern Sie laufend die Sicherheit Ihres Hauses?

Hier die in meinen Augen wichtigsten 10 Massnahmen für eine sichere Informatikumgebung:

  1. Awareness and Training: Ihre Mitarbeitenden müssen die Gefahren von Microsoft Excel- und Word-Dateien mit Makros kennen. Sie müssen auch wissen, dass das Anklicken von unbekannten Links gefährlich ist.
  2. Zugriffsmanagement und -steuerung: Stellen Sie sicher, dass die normalen Anwender keine Administratorenrechte auf ihren Geräten haben. Das heisst: Normale Benutzer sollten im Windows 10 mit Standardrechten versehen werden, denn Emotet verbreitet sich mit Administratorenrechten viel schneller aus als mit normalen Rechten. Deaktivieren Sie zudem die Makros in den Microsoft-Produkten.
  3. Inventar Management: Wissen Sie, wo überall Sie Personendaten oder sonstige heikle Unternehmensdaten gespeichert haben (USB-Sticks, Cloud-Anbieter, Ihr Informatikleistungserbringer)? Haben Sie sichergestellt, dass Sie eine funktionierende Datensicherung haben, welche nicht über ein Datennetz zugreifbar ist (offline Backup)? Emotet verschlüsselt oder löscht alle Daten, auf die über ein Datennetz Zugriff besteht, und sucht zuerst nach Datensicherungen.
  4. Geschäftsumfeld und Risikomanagement: Welcher Datenverlust würde die Existenz Ihres Unternehmens bedrohen? Stellen Sie für diese Daten eine funktionierende Datensicherung bereit. Bei einem Emotet-Befall werden Sie diese Datensicherung brauchen.
  5. Governance: Prüfen Sie, ob der Verlust oder der Abfluss gewisser Daten ein Straftatbestand wäre. Beispiel: Sie machen sich strafbar, wenn Informationen über die sozialen Verhältnisse eines Mitarbeitenden oder eines Kunden in falsche Hände geraten.
  6. Datensicherheit: Haben Sie sichergestellt, dass Personendaten Ihrer Kunden und Mitarbeitenden grundsätzlich verschlüsselt sind, wenn sie versandt oder auf mobilen Datenträgern gespeichert werden? Schadsoftware leitet oft gefundene Daten weiter. Wenn diese Daten unverschlüsselt sind, werden Sie sie schon bald im Darkweb finden können. Haben Sie im Trust Center von Word und Excel Makros im Trust Center deaktiviert?
  7. Detection Processes: Stellen Sie sicher, dass die Kommunikation mit Ihrem Informatikleistungserbringer so gut klappt, dass dieser Sie über verdächtige Aktionen auf Ihren Computern informiert. Oft wird ein Befall mit Schadsoftware erst nach Monaten erkannt, weil Hinweise ignoriert wurden.
  8. Vorfälle, Analyse, Mitigation: Haben Sie sichergestellt, dass Sie bei einem Vorfall sofortige Hilfe bekommen, damit die Daten wiederhergestellt werden können? Im Extremfall müssen nach einem Emotet-Befall alle Computer neu installiert werden.
  9. Kommunikation: Überlegen Sie sich, wie Sie gegenüber Kunden und Mitarbeitenden kommunizieren würden, wenn Sie von einem gravierenden Vorfall betroffen wären.
  10. Verbesserungen: Überprüfen Sie alle diese Punkte regelmässig.

Es sind also wie beim Einbruchsschutz eines Hauses relativ wenige Massnahmen notwendig, um eine ansprechende Sicherheit zu erreichen. Diese Massnahmen können Sie ohne externe Hilfe durchführen.

Falls aber mit einem Schadsoftware-Befall die Existenz von Ihnen oder anderen Personen bedroht werden könnte, lohnt es sich, den oben erwähnten Minimalstandard zur Verbesserung der IKT-Resilienz genau durchzulesen.

Fragen, Anmerkungen, Korrekturen und Widerspruch sind erwünscht. Bitte verwenden Sie dazu entweder das E-Mail oder Twitter (siehe Fusszeile).