Menü

Kommentar: Emotet und die Lehren aus dem Dynamit-Phishing

Alle reden über kritische Infrastruktur, keiner über IT der Apotheke nebenan. Doch bei Trojanerwellen hilft nur Security in der Breite, findet Jürgen Schmidt.

Von
vorlesen Drucken Kommentare lesen 286 Beiträge
Kommentar: Lehren aus dem Dynamit-Phishing mit Emotet-Trojaner

(Bild:  Drajay1976 (CC BY-SA 3.0))

Ein Kommentar von Jürgen Schmidt

Jürgen Schmidt - aka ju - ist Chefredakteur von heise Security und verantwortlich für den Bereich Sicherheit bei c't. Von Haus aus Diplom-Physiker, arbeitet er seit über 15 Jahren bei Heise und interessiert sich auch für die Bereiche Netzwerke, Linux und Open Source.

Wenn man zurückschaut, kann man durchaus bilanzieren: Wir haben bei der Sicherheit der IT tatsächlich Fortschritte gemacht. Doch die konzentrieren sich auf wenige Bereiche wie kritische Infrastruktur, Finanzdienstleister und Großkonzerne, die sich Sicherheit leisten können. Die Frage, die sich derzeit mit Macht in den Vordergrund drängt, lautet aber: "Wie bekommen wir die IT des Mietwagenverleihs, des Bäckers und Apothekers oder der Stadtverwaltung vernünftig sicher?"

Diese Auswahl ist kein Zufall. Sie beruht auf ganz konkreten Infektionen durch Emotet in den jüngsten Tagen. Auf dessen Einsatz von Hightech-Angriffs-Techniken ist deren IT schlicht nicht vorbereitet. In all diesen Bereichen berichten Praktiker, die einen Blick hinter die Kulissen werfen konnten, von wirklich grauslichen Zuständen: Komplette Festplatten für das ganze Netz exportiert. Alle arbeiten als Admin, die Passwörter liegen in einer Doc-Datei auf dem Desktop des Arbeitsplatzrechners. Security-Update-Warnungen sind abgeschaltet, weil sie nerven. 

Zum Dynamit-Phishing des Emotet-Trojaners

Was klingt wie ein absurdes Security-Horror-Kabinett, ist ganz konkreter Alltag in vielen Firmen, Vereinen und Institutionen, die damit bisher ganz gut über die Runden gekommen sind. Doch die Zeit ist vorbei.

Möchtegern-Experten mögen noch so verächtlich "Ist doch nur Phishing" schnauben. Wenn sie sich mal mit realen Sicherheitsvorfällen befassen würden, stellten sie schnell fest: Spear-Phishing ist eine der schärfsten Waffen der staatlich geförderten Elite-Hacker. Mit der durchdringen sie selbst die Sicherheitsvorkehrungen von Banken und Rüstungskonzernen. Und das Dynamit-Phishing von Emotet hat eine ähnliche Durchschlagskraft – geht dabei aber auch in die Breite. Es trifft nicht mehr nur das (hoffentlich) gut geschulte Personal wichtiger Regierungsorganisationen und Betreiber kritischer Infrastruktur, sondern den Bäcker, den Apotheker, den Mietwagenverleih und die Stadtverwaltung. Und da mangelt es ganz oft an elementaren Basics.

Die Frage ist also: Wie kommen wir da zu mehr Sicherheit? Mit einem vagen "Wir müssten mal ..." ist es nicht getan. Und die ITler dort als Idioten abzustempeln, geht völlig am Problem vorbei. Die könnten das besser, wenn man ihnen die Zeit, die Leute und das Budget gäbe. Ganz ehrlich? Ich habe da auch kein Patentrezept in der Schublade. Nur eine vage Idee kann ich anbieten: Man müsste es schaffen, dass Sicherheit nicht nur als Verursacher von Kosten und Unbequemlichkeit wahrgenommen wird, sondern als positiver Wert. Am besten als einer, der auf der richtigen Seite einer Buchhaltungsbilanz auftaucht. Der Rest passiert dann (fast) von allein. 

Anmerkung: Kennen Sie auch Security-Beispiele aus dem Gruselkabinett? Dann schreiben Sie doch im Forum, was Sie erlebt haben.

So funktioniert das Dynamit-Phishing des Emotet-Trojaners


(axk)

Anzeige
Anzeige