Bild Shulman

»Gewisse Vorsichtsmaßnahmen sollte man vorab treffen. Mindestens ebenso wichtig ist es jedoch, dass man vorbereitet ist, wenn es einen dann doch mal erwischt hat.«




| FRAUNHOFER SIT
08.04.2020 Fachinformation

»Man kann nur verteidigen, wenn man weiß, wie man angreift«

Dr. Haya Shulman ist „Director Cybersecurity Analytics and Defences“ am Fraunhofer-Institut für Sichere Informations­technologie und bei ATHENE zuständig für die Mission Cybersicherheit. In ihren Zuständigkeits­bereich fallen auch die Forschungen über den berüchtigten Virus Emotet. 

Kontakt

Chefredakteurin VDE dialog

Seit 2014 gibt es immer wieder Ärger mit Emotet, zuletzt bei der Stadt Frankfurt, der Uni in Gießen und dem Kammergericht in Berlin. Was macht diesen Virus so gefährlich?

Emotet ist nicht unbedingt gefährlicher als andere Malware. Ursprünglich war es nur ein sogenannter Banking-Trojaner, der Online-Banking-Zugangsdaten abfangen kann. Das größere Problem ist jedoch inzwischen, dass Emotet eine Verbreitung von anderer Malware erlaubt – also zum Beispiel solche, die Daten verschlüsselt oder Passwörter ausspioniert. Und das kann dann eben jede Menge Schaden anrichten.

Wie wird Emotet verbreitet?

Typischerweise wird Emotet durch E-Mail-Phishing verbreitet, also durch das Klicken auf Links oder Dateien, die man zugemailt bekommt. Er nutzt aber auch Lücken in Routern, sodass er sich auch von alleine verbreitet. Wenn er sich dann mal irgendwo festgesetzt hat, kann es zudem sein, dass er sich nicht gleich aktiviert, sondern erst einmal schläfrig bleibt.

Aber wer hat Emotet damals überhaupt entwickelt – und warum?

Das weiß man nicht genau. Solche Malware wird vor allem von bestimmten Staaten entwickelt, um andere auszuspionieren, oder auch, um ihnen einfach zu schaden. Bei Emotet nimmt man an, dass der Ursprung in Osteuropa liegt. Das zu beweisen ist aber sehr schwer. Inzwischen gibt es aber auch im Darknet einen großen Markt, in dem mit Malware unterschiedlichster Art gehandelt wird – wenn man zum Beispiel Kreditkartennummern haben oder Spam-Mails verschicken möchte. Die Gründe, um so einen Dienst in Anspruch zu nehmen, sind vielfältig, das kann politische oder kriminelle Motive haben.

Und bei Emotet geht es dann um die Zahlung von Lösegeld?

Nicht unbedingt. Am Anfang gab es wohl noch irgendwelche Erpresser, die man mit Bitcoins bezahlen konnte. Doch zu einer Entschlüsselung der Daten hat das damals schon nicht geführt. Denn ein weiteres Problem von Emotet ist, dass es oft keinen Schlüssel gibt. Das heißt, es gibt weder eine Person, die man identifizieren und kontaktieren könnte, noch würde es etwas bringen.

Warum werden dann Einrichtungen wie jüngst die Stadt Frankfurt oder die Universität Gießen angegriffen?

Bei ihnen handelt es sich wahrscheinlich eher um zufällige Opfer. Und es gibt eben auch keinen Nutznießer eines solchen Angriffs mehr. Das Problem ist einfach, dass sich Emotet inzwischen auch völlig unkontrolliert im Netz verbreitet.

Was kann man dann dagegen tun, um sich gegen einen Virus wie Emotet zu schützen?

Es gibt gewisse Vorsichtsmaßnahmen, die man vorab treffen sollte – wie zum Beispiel immer ein aktuelles Virenschutzprogramm auf dem Rechner zu haben oder alle Nutzer zu ermahnen, dubiose Links oder Anhänge in den Mails nicht zu öffnen. Mindestens ebenso wichtig ist es jedoch, dass man vorbereitet ist, wenn es einen dann doch mal erwischt hat. Dann muss man nämlich sehr schnell reagieren, den oder die betroffenen Computer reinigen und dann einfach die Programme und Dateien wieder neu aufspielen – vorausgesetzt natürlich, man hat regelmäßig daran gedacht, ein Backup zu machen.

Welche Möglichkeiten haben Sie denn, um bei ATHENE gegen solche Bedrohungen zu kämpfen?

Wir versuchen zum Beispiel die Netz­werke zu identifizieren, die diese Malware verbreiten. Wenn wir das schaffen, können Firewalls die Kommunikation mit solchen Netzwerken blockieren. Wir bauen derzeit auch an einer Plattform für automatisierte Malware-Analyse, die E-Mails mit bösartigem Inhalt von sich aus erkennt und in Quarantäne schickt. Und wir zeigen natürlich auch entsprechende Sicherheitslücken auf, indem wir selbst versuchen, die Netze zu hacken.

Das heißt, Sie betätigen sich auch als White-Hat-Hacker? 

Ja, natürlich. Man kann nur verteidigen und Schutzmechanismen entwickeln, wenn man weiß, wie man angreift. Die Unternehmen reagieren darauf zwar oft verärgert, aber es ist doch besser, wir entdecken frühzeitig die Sicherheits­lücken, als wenn sie von den „Bösen“ erkannt werden. Zudem decken wir ja nicht nur die Lücken auf, sondern wir sagen auch, wie sie zu schließen sind und geben dafür in der Regel auch noch einige Monate Zeit, bis wir die Sache veröffent­lichen.

Das Interview führte Martin Schmitz-Kuhl durch.