Wie sich Behörden und Unternehmen vor Emotet schützen können

Wie die Emotet-Angriffe auf verschiedenen Ebenen ablaufen, muss auch die Verteidigung auf einen Mix aus verschiedenen Maßnahmen setzen. Der etwas verpönte Klassiker ist Antivirensoftware mit Signaturerkennung. Die E-Mails oder Dateien eines Computers werden mit einer Datenbank abgeglichen, in der Analysten zuvor Signaturen von bereits bekannter Schadsoftware abgelegt haben. Diese sei jedoch machtlos gegen eine Schadsoftware wie Emotet, die nach dem Baukastensystem funktionierte und sich ständig verändere, erklärt Lange. Die Signaturen sind bei der Veröffentlichung längst nicht mehr aktuell. "Innerhalb einer Woche ändert sich das Sicherheitslagebild komplett", sagt Lange.

Stellenmarkt
  1. Datenbankadministrator (m/w/d)
    operational services GmbH & Co. KG, verschiedene Standorte
  2. Professur (W 2) für Technische Informatik
    Hochschule Furtwangen, Furtwangen
Detailsuche

"Auf die Geschwindigkeit der Hersteller kann man sich nicht mehr verlassen." Klassische AV-Software sei daher nur noch ein Grundschutz, mit dem rund 20 Prozent der Angriffe erkannt würden, sagt Lange. Um es mit der schnellen Entwicklung von Emotet aufzunehmen, brauche es eine Anomalieerkennung. "Das ITDZ Berlin setzt auf ein mehrstufiges Filterverfahren", erklärt Lange. Dabei solle nicht nur auf ein Tool oder einen Anbieter gesetzt werden. Zudem sollten sich die Admins die Anbieter genau anschauen, denn viele kaufen die gleichen Filterlisten auf dem Markt ein. Ein mehrstufiges Verfahren mit den gleichen Filterlisten sei aber kein mehrstufiges Verfahren mehr, betont Lange. "Wir trauen den Werbeversprechen der Anbieter nicht mehr und testen die Dienste intensiv."

Letztlich müssten alle Ebenen miteinbezogen werden, vom Server über das Netzwerk, den Endpunkt, bis zum Mitarbeiter, sagt Lange. Dabei dürfe nichts als sicher angesehen werden. Das Motto müsse Zero Trust (kein Vertrauen) sein. Das ITDZ Berlin betreibe zudem selbst Forschung und beobachte die sozialen Medien. Beispielsweise habe die Citrix-Sicherheitslücke auf Twitter große Wellen geschlagen, nachdem sie aktiv ausgenutzt worden sei - so könne man schnell auf aktuelle Gefahren aufmerksam gemacht werden.

Cloud oder Sandboxing

Auch Schäfers sieht Filter und signaturbasierte Ansätze alleine als nicht mehr zeitgemäß an. Moderne Cloud-Infrastrukturen würden beispielsweise Anhänge testen oder schauen, was sich hinter einem Link in einer E-Mail verbirgt. Bei großen Cloudanbietern würden täglich Milliarden E-Mails aufschlagen, entsprechend hätten diese einen besseren Überblick über die aktuellen Gefahren und bessere Filter, erklärt Schäfers. "Aus Datenschutzperspektive ist die Cloud eher fragwürdig", betont Schäfers. Das gelte gleich zweimal für Behörden, die die Daten der Bürger schützen müssten und nicht bei US-Anbietern ablegen könnten. Die deutschen Cloudpläne Gaia-X könnten dieses Problem jedoch lösen, meint Schäfers. Eine Alternative zur Cloud sei eine Sandbox-basierte Schadsoftwareerkennung auf dem eigenen Mailserver. Das gebe es mit Cuckoo auch in Open Source.

Golem Akademie
  1. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    20.-24.06.2022, virtuell
  2. Automatisierung (RPA) mit Python: virtueller Zwei-Tage-Workshop
    11./12.07.2022, Virtuell
Weitere IT-Trainings

Schäfers hofft darauf, dass die Behörden und Kommunen ihre IT bündeln und so von Synergieeffekten profitieren könnten. Beispielsweise könnte ein gemeinsames IT-Security-Team aufgebaut werden. Denn jede Kommune könne das schon allein deshalb nicht leisten, weil der Markt an IT-Security-Leuten begrenzt sei.

Angriffe mit Word-Makros funktionieren seit 20 Jahren

"Solche Angriffe mit Word-Makros funktionieren seit 1999. Damals war das Melissa-Virus die große Nummer", sagte der Diplompsychologe und CCC-Pressesprecher Linus Neumann auf dem Chaos Communication Congress. "Jeden Bug und jedes Problem, das wir haben, lösen wir sofort, aber dieses halten wir einfach nur aus und tun überhaupt nichts."

Beim ITDZ Berlin ist das jedoch nicht der Fall: "Wenn wir die Systeme eines Kunden sicher betreuen sollen, müssen die Makros digital signiert oder, wenn dies nicht möglich ist, deaktiviert werden", erklärt Lange. Die einzige Möglichkeit, unsignierte Makros zu benutzen, sei eine befristete Ausnahmegenehmigung der Berliner Senatsverwaltung für Inneres und Sport. "Makrobasierte Kleinstanwendungen müssen aus Sicherheitsgründen ersetzt werden", betont Lange. Manche Behörden nehmen einfach keine Mails mehr mit Office-Dokumenten im Anhang oder Links in der Mail mehr an. Auch das bietet einen gewissen Schutz, solange die Dokumente nicht anderweitig eingeschleppt werden, beispielsweise per USB-Stick.

Auch Neumann und Schäfers betonen, dass Makros per Gruppenrichtlinie komplett deaktiviert werden müssten. Alternativ müssten die Makros vorher von der IT abgesegnet und signiert werden, sagt Schäfers. Das klappe selbst mit Externen, wenn deren Zertifikate akzeptiert würden. Damit könnten viele Unternehmen, Behörden und Nichtregierungsorganisationen, bei denen Makros weiterhin zum Einsatz kommen, ein seit 20 Jahre bestehendes Sicherheitsproblem lösen. Die Mitarbeiter können schlicht nicht mehr dazu gebracht werden, die Schadmakros auszuführen. Dennoch müssen auch die Mitarbeiter in die IT-Sicherheit einbezogen werden.

Fehler passieren

"Schulungen sind sehr wichtig", betont Lange. Es ist wichtig, dass die Mitarbeiter wissen wie die Tools funktionieren, mit denen sie arbeiten. Das führe auch zu besseren Fehlermeldungen, weil die Nutzer verstehen, was da passiert. Das wiederum vereinfache die Arbeit des Sicherheitsteams immens. Dazu gehöre auch eine vernünftige Fehlerkultur, sagt Lange. Menschen machen Fehler, besser sie werden ermutigt, diese zu melden und zuzugeben, anstatt sie zu verheimlichen. Nur dann kann man mit ihnen arbeiten und Schlimmeres verhindern.

"Die Herausforderung ist letztlich, Usability und Security unter einen Hut zu bringen", sagt Lange. "Wenn wir die Mitarbeiter zu einem 20-stelligen Passwort zwingen, klebt am Ende wieder ein Post-it mit dem Passwort am Bildschirm." Ein Authentifizierungs-Dongle, das man einfach abziehen könne, sei deutlich einfacher zu handhaben. "In diese Richtung müssen wir mehr machen", sagt Lange.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Behörden entscheiden sich immer wieder für Unsicherheit
  1.  
  2. 1
  3. 2
  4. 3


GodsBoss 11. Mär 2020

Also gerade wenn die einzig sinnvolle Variante ist, die Makros sofort und für immer...

Tuxinator 09. Mär 2020

....ist natürlich von Anfang an Unfug erster Güte. MS ist nicht das am weitesten...

.mojo 05. Mär 2020

Als einer der im tiefsten Sumpf der Behörden arbeitet: Es liegt nicht nur an der...

ul mi 05. Mär 2020

Du hast da höflicherweise das "wir wissen nicht, was das Makro macht, das hat der...



Aktuell auf der Startseite von Golem.de
Varia RCT716 Dashcam
Jetzt filmen Radfahrer zurück - mit Radarunterstützung

Rücklicht plus Fahrzeugwarnung und Dashcam: Garmin stellt mit dem Varia RCT716 ein Gerät vor, das Bewegtbilder nach Unfällen liefert.

Varia RCT716 Dashcam: Jetzt filmen Radfahrer zurück - mit Radarunterstützung
Artikel
  1. Smartphone: Pebble-Gründer wünscht sich ein iPhone Mini mit Android
    Smartphone
    Pebble-Gründer wünscht sich ein iPhone Mini mit Android

    Der Pebble-Gründer Eric Migicovsky will einen Hersteller davon überzeugen, ein Oberklasse-Smartphone in einem kompakten Gehäuse anzubieten.

  2. Halbleiter & SMIC: Chip-Nachfrage für Smartphones und PC fällt wie ein Stein
    Halbleiter & SMIC
    Chip-Nachfrage für Smartphones und PC fällt "wie ein Stein"

    Chinesische Kunden von SMIC haben volle Lager und ordern weniger Chips. Andere Halbleiter sollen den Einbruch auffangen.

  3. Microsoft: .NET 7 verbessert Kommandozeile und Performance
    Microsoft
    .NET 7 verbessert Kommandozeile und Performance

    Im knappen Monatsrhythmus veröffentlicht Microsoft Previews für das kommende .NET 7. Im Fokus stehen derzeit Startzeit, CLI und natives AOT-Kompilieren.
    Von Fabian Deitelhoff

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 87€ Rabatt auf SSDs • PNY RTX 3080 12GB günstig wie nie: 974€ • Razer Basilisk V3 Gaming-Maus 44,99€ • PS5-Controller + Samsung SSD 1TB 176,58€ • MindStar (u. a. MSI RTX 3090 24GB Suprim X 1.790€) • Gigabyte Waterforce Mainboard günstig wie nie: 464,29€ [Werbung]
    •  /