Emotet und E-Mailsicherheit. So schützen Sie Ihr Unternehmen.
Seit Monaten werden Privatpersonen und Unternehmen Opfer von Angriffen mit dem High Tech-Trojaner Emotet. Die Schäden gehen in die Millionen. Einfache Maßnahmen zum Schutz vor Emotet gibt es im Unternehmensumfeld aber nicht. Sie können z.B. nicht ohne weiteres die Nutzung von MS-Office verbieten. Das Patchen von IT-Systemen im Unternehmensumfeld kann in der Regel nicht innerhalb weniger Tage erfolgen. Ebenso können Sie nie sicherstellen, dass alle Nutzer ausreichend sensibilisiert und geschult sind. Sie können nur darauf hinwirken, dass die Basisschutzmaßnahmen aus dem BSI-Grundschutz etabliert sind und ausreichende Schulungs- und Awarenessmaßnahmen durchgeführt werden. Ein erhebliches Restrisiko bleibt jedoch bestehen.
Erweiterter Basisschutz. Diese Maßnahmen müssen Sie prüfen.
Sie sollten prüfen, ob in Ihrem Unternehmen die nachfolgenden erweiterten Schutzmaßnahmen vor Emotet etabliert sind.
| Schutzmaßnahme | Umgesetzt Ja/Nein |
| Werden E-Mailanhänge folgender Office-Dateitypen am zentralen Gateway abgefangen? (doc, docm, dot, dotm, potm, ppa, ppam, ppsm, ppt, pptm, xla, xlam, xls, xlsb, xlsm, xlt, xltm) | |
| Werden Makros in Office Dateien grundsätzlich gesperrt? | |
| Ist der Browser mit einem Skriptblocker oder Adblocker ausgestattet? | |
| Werden sichere Passwörter verwendet? (Passphrasen mit min 10 Zeichen) | |
| Erfolgt die Administration des Netzwerkes ausschließlich auf besonders gehärteten Rechnern? (Keine E-Mail, kein Internet, keine offenen USB-Ports usw.) | |
| Wird verhindert, dass Domänenadministratoren sich an Arbeitsplatzrechnern anmelden können? | |
| Haben Arbeitsplatzrechner besonders geschützte lokale Administratoren-Accounts? |
Erweiterter Basisschutz im Unternehmen. Darauf sollten Sie hinwirken.
Trojaner führen zum einen Schadcode aus, der nicht immer von Virenscannern erkannt wird und starten zum anderen anormale Prozesse. Es gibt auf dem Markt Programme, die jedes Programm in einer sogenannten Sandbox starten. In der Sandbox werden die Prozesse analysieren und erst dann freigeben, wenn keine Anomalien erkannt wurden. Beispiele hierfür ist der ePolicy Orchestrator von McAfee. Eine andere Methode ist das Führen einer Whitelist von genehmigten Programmen. Dabei wird auf Betriebssystemseite jedes Programm oder jeder Prozess, der nicht genehmigt wurde abgebrochen. Hierzu bietet Microsoft für Unternehmensnetze das Produkt „Applocker“ oder für große Netze das Tool „Defender Application Control“ an. Beide Tools können zentral administriert werden. Mit der aktuellen „Microsoft Defender Advanced Threat Protection“ können Unternehmen eine umfassende Lösung nutzen, die sich nativ in Endpunkte, Identitäten, E-Mails und Anwendungen einklinkt. Solche Lösungen sind jedoch mit erheblichen Kosten verbunden. Als Datenschutzbeauftragter sollten Sie dennoch darauf hinwirken, dass der Einsatz solcher Tools zumindest unter Risikogesichtspunkten geprüft wird. Schließlich drohen bei Datenpannen durch Emotet erhebliche Bußgelder und auch Schäden durch Betriebsausfälle sowie Kosten für neue IT-Systeme, die sehr schnell existenzbedrohend werden können.
Erweiterter Basisschutz. Dieses Modell für Ihr Active Directory sollten Sie kennen.
Emotet arbeitet nach der Methode der Eskalation von Rechten. Das heißt, dass stets versucht wird mit einem erbeuteten Account höhere Rechte, bis hin zum Domänenadmin zu erlangen. Es gilt also die verschiedenen Netzwerksysteme so voneinander zu trennen, dass solche Übergriffe nicht stattfinden können. Microsoft empfiehlt hierzu das „Active Directory-Verwaltungsebenenmodell“ (https://bit.ly/3cHqReC) . Dieses dreistufige Ebenenenmodell wird eingesetzt, um Identitätssysteme vor solchen Angriffen zu schützen. Zu diesem Zweck werden Pufferzonen zwischen der vollständigen Kontrolle des Active Directorys (Ebene 0), den Servern und Anwendungen (Ebene 1) und den Arbeitsstationen (Ebene 3) implementiert, die das erste Ziel von Angreifern sind. Zu diesem Ebenenmodell gehören umfangreiche Prozesse, die sicherstellen, dass keine Eskalation von Rechten von einer niedrigen in die nächst höher Ebene stattfinden kann. Ebenso werden techn. Maßnahmen, wie z.B. zwei Faktor Authentisierung beschrieben.
Fazit:
Basismaßnahmen wie Virenschutz, BSI-Grundschutz und Schulungen können keinen umfassenden Schutz vor Emotet bieten. Es sind erweiterte techn. und organisatorische Sicherheitsmaßnahmen zu treffen. Hierzu zählen insbesondere Systeme, die es ermöglichen unbekannte Prozesse zu stoppen (Applocker, Whitelisting usw.) aber auch techn. und organisatorische Lösungen zur Verhinderung von Rechteeskalationen. Gerade diese Maßnahmen gehören zu den wirksamsten aber auch zu den aufwendigsten Maßnahmen. Als Datenschutzbeauftragter sollten Sie zumindest prüfen lassen inwieweit diese erweiterten Schutzmaßnahmen im Unternehmen umsetzbar sind.
