Emotet – BSI-Warnung vor Schadsoftware (auch für Mac-Computer)

Aktuell informiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Bürger-Webseite zum Thema „Emotet“. Dabei handelt es sich um Schadsoftware, die vermittels E-Mails auf den Computer gelangt. Das Vorgehen ist besonders trickreich: Die Emotet-Versender bedienen sich an den Kontakten, die in E-Mail-Konten infizierter Systeme gefunden werden, und schicken dann E-Mails an ihre Opfer, die wiederum denken, dass die Nachrichten von Freunden, Bekannten, Kollegen oder anderen bereits vorhandenen Kontakten stammen. Details und die Möglichkeit, dass neben einem Windows PC auch der Apple Mac betroffen sein kann, lege ich euch hier dar.

Emotet - so heißt die Schadsoftware, die Viren, Trojaner und Ransomware aus dem Internat auf PC und Mac bringen kann. Details zur Emotet-Warnung gibt es hier.

Emotet – so heißt die Schadsoftware, die Viren, Trojaner und Ransomware aus dem Internat auf PC und Mac bringen kann. Details zur Emotet-Warnung gibt es hier.

BSI-Warnung vor gefälschten E-Mails und Emotet

Das deutsche Bundesamt für Sicherheit in der Informationstechnik mahnt auf der oben verlinkten Seite zum Thema Emotet zur Vorsicht. Da die E-Mails, in denen sich die Trojaner-Software verstecken, durch korrekte Anrede, einen bekannten Absender und vertraute Grußformeln authentisch wirken, würden viele Betroffene die mitgesendeten Dateianhänge oder eingebundenen Links unbedacht öffnen. Ist das erst einmal geschehen, dann öffnet man als Empfänger verschiedenen weiteren Infektionen Tür und Tor. So heißt es im Beitrag des BSI:

Ist der Computer erst infiziert, lädt Emotet weitere Schadsoftware nach, wie zum Beispiel den Banking-Trojaner Trickbot. Diese Schadprogramme führen zu Datenabfluss oder ermöglichen den Kriminellen die vollständige Kontrolle über das System. In mehreren dem BSI bekannten Fällen hatte dies große Produktionsausfälle zur Folge, da ganze Unternehmensnetzwerke neu aufgebaut werden mussten. Für Privatanwender kann eine Infektion den Verlust von Daten, insbesondere wichtiger Zugangsdaten, bedeuten.

Patch, Fix und Antiviren-Software

Für die Prophylaxe hat das Amt eine Liste von Maßnahmen herausgegeben, die man befolgen und beachten sollte. Darin steht unter anderem, dass man Updates für Betriebssystem und Apps zeitnah laden soll – also für Windows, macOS, Programme wie Word, Excel und E-Mail-Clients wie Thunderbird, Mail, Outlook, etc. Auch Web-Browser sollen aktuell gehalten werden. Zudem wird neben Antiviren-Software auch zu regelmäßigen Backups geraten, damit die verlorenen Daten im Fall einer Infizierung wiederhergestellt werden können.

Das Thema Antiviren-Software greife ich demnächst in einem anderen Beitrag nochmal explizit auf, aber ich würde an dieser Stelle KEINE Antiviren-Software auf dem Mac installieren, da diese nicht selten Sicherheitslücken produzieren, die man ohne sie nicht hätte. Dazu kommt, dass Apple solche Schadcodes meistens selbst mit kleinen Sicherheitsupdates vom System löscht, wenn eine Schädling tatsächlich auf Macs die Runde macht.

Und zu guter Letzt natürlich der wichtigste, aber auch logischste Hinweis vom BSI: Datei-Anhänge und Links aus E-Mails nur dann öffnen, wenn man sich sicher ist, dass sie keine Gefahr enthalten. Gegebenenfalls beim augenscheinlichen Absender nachfragen, ob überhaupt etwas gesendet wurde: 

Bei einer verdächtigen E-Mail sollten Sie im Zweifelsfall den Absender anrufen und sich nach der Glaubhaftigkeit des Inhaltes erkundigen.

Was ist wenn ich schon von Emotet betroffen bin?

Im Hinblick auf den eigenen Computer empfiehlt es sich, diesen komplett neu aufzusetzen. Das heißt, dass die Festplatte gelöscht („platt gemacht“) und das Betriebssystem frisch aufgespielt wird. Bei einer solchen Rundum-Neuinstallation gehen natürlich Daten und Apps verloren, was wiederum zum oben erwähnten Backup führt.

Zudem sollte man alle E-Mail-Kontakte informieren, dass das eigene Mailing-System betroffen ist und dass Anhänge oder Links nur nach Rücksprache geöffnet werden sollen. Auch wichtig: Alle Zugangsdaten (zumindest die Passwörter) von betroffenen Diensten und Systemen ändern. Das gilt unter anderem für die Passwörter die für Seitenzugänge, Banking und Co. im Browser (Chrome, Safari, etc.) gespeichert wurden.

Wie kommt Emotet genau auf den Rechner?

Was passiert aber beim Öffnen von Dateien genau, damit sich die Schadsoftware ihren Weg bahnen kann? Das legt unter anderem heise in diesem Beitrag dar. Kurz erklärt: Bei den E-Mail-Anhängen handelt es sich meist um Office-Dateien, also beispielsweise Word- oder Excel-Dokumente.

Diese enthalten sogenannte Makros, also automatisierte Befehlsketten, die im herkömmlichen Sinne dem Nutzer Arbeit abnehmen und z. B. Layouts anpassen oder Tabellen füllen sollen. Entsprechend modifiziert agieren sie aber auch außerhalb der Microsoft Office App und greifen etwa aufs Internet zu, um Daten abzugleichen oder herunterzuladen. Und genau da liegt der Knackpunkt – per Makro werden Viren, Trojaner und vielleicht auch Ransomware heruntergeladen.

Hier seht ihr einen Screenshot einer Word-Datei mit Makrovirus im Anhang. Wenn man sie öffnet, fragt der Mac nach, ob man die Makros ausführen oder aktivieren möchte. Solche Dateien und Mails sollte man direkt löschen.

Hier seht ihr einen Screenshot einer Word-Datei mit Makrovirus im Anhang. Wenn man sie öffnet, fragt der Mac nach, ob man die Makros ausführen oder aktivieren möchte. Solche Dateien und Mails sollte man direkt löschen.

Eigener Fall: Makro-Anfrage auf dem Apple Mac

Die meisten Berichte und Hilfe-Artikel zum Thema Emotet richten sich an PC-Nutzer mit Microsoft Windows. Jedoch kann die Office-Software von MS auch unter macOS genutzt werden. Ich selber habe letztens eine E-Mail mit einem Word-Dokument als Anhang erhalten und wurde beim Öffnen am Apple Mac gefragt, ob ich Makros aktivieren möchte (das ist eigentlich immer standardmäßig deaktiviert).

Natürlich habe ich „Nein“ geklickt – aber wenn man nicht weiß, was Makros sind, könnte man hier nichts Böses vermuten und „Ja“ klicken. Damit wäre dann schon das Einfallstor geöffnet. Um also die Gefahr für System, Festplatteninhalt, Zugangsdaten und Kontakte zu minimieren, solltet ihr an jedwedem Rechner erst nachfragen, ob der Absender wirklich etwas geschickt hat, und im Zweifelsfall keine fremden Makros ausführen.

Habt ihr noch Tipps, Hinweise oder Schilderungen eines eigenen Falls? Dann lasst gern einen Kommentar zum Thema Emotet da. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.