Trojaner-Befall bei Heise

Durch eine getarnte Email vom 13. Mai konnte sich eine Emotet-Infektion auf die Heise Gruppe und den Verlag Heinz Heise ausbreiten. Sowohl interne, als auch externe IT-Spezialisten kümmern sich derzeit um die Beseitigung der Infektion.

Trotz Vorwissen und Schulung der Mitarbeiter kann es doch jedem passieren: man öffnet eine E-Mail die sich mit vermutlich bekanntem Absender und Betreff tarnt und hilft dem Virus somit ins interne IT-System zu gelangen. So ist es jetzt auch dem Herausgeber der IT-Zeitschrift c't Heise Medien passiert. Der Mitarbeiter, der die Mail öffnete, klickte auf den Button einer Meldung die erscheint, als er den Anhang öffnen möchte. Dadurch konnte wurde das Windows-System infiziert. Die eingesetzten Anti-Viren-Programme, wie zum Beispiel Avira schlugen direkt Alarm. Nach einer oberflächlichen Bereinigung der Systeme ist man sicher, dass das Problem dadurch gehoben wurde. 

Was ist Emotet?

Emotet ist die derzeit wohl zerstörerischste Schad-Software. Deren Erschaffer operieren weltweit und attackieren nicht nur Firmen, sondern auch Behörden. Die Methode von Emotet nennt sich Dynamit-Phishing und funktioniert wie folgt: das Opfer erhält eine Email, die scheinbar eine Antwort auf eine von ihm verfasste Mail zu sein scheint. Um diese Tarnung möglich zu machen, müssen schon zuvor vertrauliche Daten gestohlen werden. Dann werden weitere Schadprogramme in das System des Opfers geschleust. Das Ziel von Emotet ist es, Daten zu sammeln, indem IT-Komponenten und Backups lokalisiert werden. Oft wird Lösegeld erpresst, sogar Summen in Höhe des Firmen-Umsatzes.

Doch erst Wochen später wird festgestellt, dass zahlreiche Computer in Kommunikation mit fremden Netzen aufgebaut haben und sogar unberechtige Zugriffe auf interne Daten stattfanden. Nachdem der Versuch scheiterte, das Problem selbst zu lösen, zogen die zuständigen Administratoren externe IT-Experten hinzu. Nun wird unter Hochdruck gemeinsam daran gearbeitet, den Cyberangriff aufzuklären und die Systeme Unternehmen wieder zum Laufen zu bekommen. Weiterhin sollen auch zukünftige Sicherheitslücken geschlossen und Sicherheitsmaßnahmen getroffen werden.

Infiziert durch Emotet

Der Virus hat nach der erstmaligen Infektion auch weitere Infektionen in das System geschleust, eine dieser Schädlinge ist unter dem Namen Trickbot bekannt. Diese befielen dann alle Computer mit Windows 10 und Admin-Rechten. Emotet infiziert daraufhin auch alle vernetzten Windows-7-Rechner. Doch Heise hatte Glück im Unglück, denn es wurde nicht, wie bei Emotet üblich, anschließend ein Verschlüsselungs-Trojaner installiert. Dies ist wahrscheinlich darauf zurückzuführen, dass die Internet-Verbindung der infizierten Systeme getrennt wurde. Um das Risiko einer erneuten Infektion gering zu halten, bleiben die Geräte vorerst außer Betrieb. Die Administratoren wollen alle Rechner neu aufsetzen und bessere Sicherheitsmaßnahmen einführen. Bisher ist nicht bekannt, welche Daten die Verursacher stehlen konnten, der Vorfall ist jedoch bereits zur Anzeige gebracht.