Emotet – Aktuelle Informationen

Die bekannteste Schadsoftware-Familie Emotet breitet sich erneut rasant aus. Mehr als 27.800 Varianten wurden durch Experten von GDATA im ersten Halbjahr 2020 bisher identifiziert. Durch die neuste Version wird dem Nutzer suggeriert, dass für die Nutzung von Microsoft Word ein Upgrade notwendig sei, damit die Inhalte einer Datei aufgerufen werden können. Die Nachrichten nutzen Social Engineering, um Nutzer davon zu überzeugen, den Dateianhang zu öffnen. Anknüpfungspunkte sind beispielsweise Rechnungen, Versandinformationen, Lebensläufe, Details zu einer Bestellung oder wichtige Informationen zur COVID-19-Pandemie. Insbesondere das aktuelle Infektionsgeschehen rund um die COVID-19-Pandemie wird immer wieder als Aufhänger genutzt (bspw. über Bereitstellung von Schutzmasken, Beantragung von Krediten und Förderungen sowie Empfehlungen und Ratschlägen der WHO oder des Bundesministeriums für Gesundheit).


Was ist Emotet?

Bei Emotet handelt es sich um eine Schadsoftware, die ursprünglich als Trojaner zur Manipulation von Online-Banking-Transaktionen entwickelt wurde. Mittlerweile hat sich der Virus jedoch als eine Art Allzweckwaffe der Cyberkriminellen etabliert. Der Grund hierfür ist eine einzigartige Flexibilität und Funktionalität des Schädlings. Emotet fungiert in vielen Fällen lediglich als „Türöffner“. Es handelt sich um einen sog. Maleware-Distributor. Die Gefahr durch Emotet liegt außerdem darin, dass bei einer Infektion neben den E-Mail-Kontakten des Nutzers auch Kommunikationsinhalte ausgelesen werden.


Wie funktioniert Emotet?

Der Trojaner ist in der Lage, authentisch aussehende E-Mails zu verschicken. Emotet erlangt die entsprechendenInformationen durch das Auslesen von Kontaktbeziehungen und E-Mail-Inhalten aus den Postfächern infizierter Systeme. Diese Informationen nutzen die Täter zur weiteren Verbreitung des jeweiligen Schadprogramms. Es werden gezielt E-Mails verschickt, die scheinbar von bereits bekannten Kontakten kommen und oft auch Auszüge aus einer früheren Kommunikation enthalten. Aufgrund der korrekten Angabe der Namen und E-Mail-Adressen von Absender und Empfänger in Betreff, Anrede und Signatur wirken diese Nachrichten authentisch. Sprachlich weisen die E-Mails kaum noch Fehler in Rechtsschreibung oder Grammatik auf. Dies verleitet zum unbedachten Öffnen des infizierten Dateianhangs oder der in der Nachricht enthaltenen Links.

Ist das System erst einmal infiziert, lädt Emotet weitere Schadsoftware nach, wie zum Beispiel den Banking-Trojaner Trickbot. Es kann aber grundsätzlich jede Art von Malware entalten sein, welche Zugangsdaten ausspäht und den Cyberkriminellen einen Zugriff auf die IT-Infrastruktur gewährt. Emotet durchsucht das Adressbuch und Kommunikationen seiner Opfer und verbreitet sich im Anhang von vermeintlich authentischen E-Mails im Schneeballsystem immer weiter. Außerdem wird eine Verbreitung im gesamten Netzwerk des Opfers möglich. Die Schadprogramme führen zu einem Datenabfluss oder ermöglichen durch Verschlüsselung die vollständige Kontrolle über das System. Bei Verschlüsselung folgt meist eine Lösegeldforderung zur Wiederherstellung der Dateien.


Wie kann man sich schützen?

Neben allgemein erforderlichen technischen und organisatorischen Maßnahmen wie bspw. Installation von Sicherheitsupdates für Betriebssystem und Anwendungsprogramme (Web-Browser, E-Mail-Clients, Office-Anwendungen usw.), regelmäßige Backups und Einschränkungen von administrativen Benutzer-Rechten kann der bedeutsamste Schutz durch das Deaktivieren von Makros in Office-Anwendungen erreicht werden. Setzen Sie zudem eine Antiviren-Software ein und aktualisieren Sie diese immer wieder. Viele Infektionsfälle betreffen E-Mails mit angehängten .doc-Dateien, also veralteten Word-Versionen. Es empfiehlt sich, derartige Anhänge generell abzuweisen.

Ein Erkennungsmerkmal ist, dass im Absenderfeld der Name nicht zur angezeigten E-Mail-Adresse passt. Auffallend sind zudem ein sehr kurzer Text sowie Dateianhänge oder eingefügte Links mit der Aufforderung, diese zu öffnen. Die Schadsoftware verbirgt sich dann entweder im angehängten Dokument oder auf der verlinkten Website. Öffnen Sie auch bei vermeintlich bekannten Absendern nur mit Vorsicht Dateianhänge von E-Mails (insbesondere Office-Dokumente) und prüfen Sie in den Nachrichten enthaltene Links, bevor sie diese anklicken. Links und Anhänge sollten keinesfalls sorglos geöffnet werden. Eine entsprechende Sensibilisierung der Beschäftigten ist daher in jedem Fall ratsam, da der wohl entscheidendste Sicherheitsfaktor der Mensch bleibt. Wird im eigenen Posteingang eine verdächtige Nachricht eines bekannten Absenders erkannt, sollte der angegebene Absender informiert werden.


Was ist bei einer Infizierung zu tun?

Informieren Sie Ihr Umfeld – und zuerst die IT – über die Infektion, denn Ihre E-Mailkontakte sind in diesem Fall besonders gefährdet. Die Schäden können sowohl wirtschaftlich als auch datenschutzrechtlich immens sein. Die Folge einer Infektion durch Emotet ist häufig ein großflächiger oder nahezu vollständiger Ausfall der IT-Infrastruktur. Aus diesen Gründen sollten in jedem Fall die betroffenen Rechner von Netzwerk isoliert werden. Anschließend müssen alle Schadkomponenten entfernt werden. Alle bei dem betroffenen System genutzten Zugangsdaten sind im Regelfall zu ändern, da diese abgegriffen werden konnten.


Ist eine Meldung an die Aufsichtsbehörde und eine Information der Betroffenen erforderlich?
(Art. 33, 34 DS-GVO)

Sollte es zu einer Infektion durch Emotet kommen, liegt eine Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DS-GVO, weshalb eine ist eine Meldung an die zuständige Datenschutzaufsichtsbehörde gemäß Art. 33 DS-GVO verpflichtend ist.

Eine Information an das betriebliche Umfeld ist schon deshalb sinnvoll, da nur so eine Ausbreitung von Emotet gestoppt werden kann. Bestehende Kontakte bzw. Kommunikationspartner werden mit hoher Wahrscheinlichkeit auf Grund der abgegriffenen Daten attackiert. Durch eine entsprechende Information besteht die Chance, dass eine Vorbereitung auf einen personalisierten Angriff ermöglicht wird. Datenschutzrechtlich besteht gemäß Art. 34 DS-GVO sogar eine Verpflichtung zur Benachrichtigung der Betroffenen, falls ein hohes Risiko für diese vorliegt – bei einer Emotet-Infektion ist davon auszugehen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Datenschutzverletzung
  • Emotet
  • Informationssicherheit
  • IT-Sicherheit
  • Schadsoftware
Lesen

Datenschutz im Berufsalltag

Es gibt kaum noch Bereiche, in denen personenbezogene Daten nicht regelmäßig verarbeitet werden. Ein bedachter und verantwortungsvoller Umgang hilft, die Gefahr von Datenschutzverletzungen auf ein Minimum zu reduzieren. Im Folgenden finden Sie einige Anregungen für einen datenschutzkonformen Umgang, welche an dieser Stelle unter Berücksichtigung der häufigsten Datenschutzverletzungen am Arbeitsplatz zusammengefasst wurden.


Sichern Sie Ihren Arbeitsplatz vor Zugriffen Dritter

Beim Verlassen des Arbeitsplatzes dürfen keine Dokumente und Dateien mit personenbezogenen Daten offenliegend zurückgelassen werden. Sichern Sie aus diesem Grund die verwendeten Endgeräte per passwortgeschützten Sperrbildschirm, schließen Sie geöffnete Akten und verwahren Sie diese nach Möglichkeit in verschließbaren Aktenschränken. Bei einer längeren Abwesenheitszeit sind zudem die Büroräume zu verschließen. Dabei sollten die verwendeten Schlüssel keine näheren Bezeichnungen enthalten, die im Falle eines Verlustes Rückschlüsse auf die Zugehörigkeit zulassen. Geben Sie zudem unter keinen Umständen personengebundene Schlüssel oder Passwörter weiter.


Schützen Sie Personenbezogene Daten vor neugierigen Blicken

Zum Schutz vor neugierigen Blicken sollte Ihr Arbeitsplatz so eingerichtet sein, dass Besucher oder andere unbefugte Dritte keine Einsicht auf Ihren Bildschirm nehmen können. Ist dies aufgrund der örtlichen Gegebenheiten nicht möglich, können Blickschutzfolien einen gleichwertigen Effekt erzielen. Die Verwendung von Blickschutzfolien empfiehlt sich außerdem bei der Nutzung mobiler Endgeräte an öffentlichen Plätzen und in Verkehrsmitteln. Besucher der Geschäftsräume sollten stets nur unter Aufsicht Zugang erhalten.


Geben Sie keine Auskünfte an unbefugte Dritte

Generell gilt bei der Erteilung von Auskünften, dass sowohl das berechtigte Interesse des Auskunftssuchenden als auch das schutzwürdige Interesse der betroffenen Person zu beachten und gegeneinander abzuwägen sind. Sofern eine Auskunft telefonisch verlangt wird, besteht die größte Schwierigkeit darin, den Anrufer eindeutig zu identifizieren. Vereinbaren Sie hierbei gegebenenfalls einen Rückruf und überprüfen Sie die hierfür angegebene Telefonnummer mit möglicherweise bereits bekannten Nummern. Ansonsten gilt: Prüfen Sie die Befugnis des Anfragenden, eine derartige Auskunft zu erhalten. Dieser muss sein Auskunftsrecht nachweisen, auch wenn es sich um Polizei oder Staatsanwaltschaft handelt. Beschränken Sie die Auskunft auf den absolut notwendigen Umfang und erteilen Sie die Auskünfte in Textform.


Nutzen Sie E-Mail- und Internetdienste bewusst

Achten Sie bei der Verwendung von Internet und E-Mail auf verdächtige oder ungewöhnliche Inhalte. Öffnen Sie Anhänge oder Links in E-Mails nur dann, wenn Sie den Absender kennen und einen Phishing-Versuch sicher ausschließen können.


Trennen Sie berufliches von Privatem

Die Trennung von beruflichen und privaten Angelegenheiten ist auch im Bereich des Datenschutzes unbedingt zu beherzigen. Dementsprechend sollten über den vom Arbeitgeber zur Verfügung gestellten Arbeitsmitteln, wie beispielsweise Endgeräte und Zugänge zu E-Mail-Postfächern, ausschließlich für geschäftliche Zwecke genutzt werden. Ebenso ist der Einsatz von privaten Geräten und Zugängen für geschäftliche Zwecke zu unterlassen, sofern dies nicht ausdrücklich von der Geschäftsführung erlaubt wurde.


Vernichten Sie Dokumente und Hardware mit personenbezogenen Daten Datenschutzgerecht

Werden Dokumente oder Hardware mit personenbezogenen Daten nicht mehr benötigt, sind diese datenschutzkonform zu entsorgen. Dabei muss sichergestellt werden, dass die Möglichkeit eines weiteren Zugriffs oder einer Wiederherstellung ausgeschlossen werden kann. Eine einfache Entsorgung der jeweiligen Datenträger über den Hausmüll ist nicht ausreichend. Papierunterlagen sind zumindest zu schreddern (vgl. DIN 66399, DIN EN 15713), Festplatten fachgerecht, beispielsweise über einen speziellen Dienstleister, zu entsorgen. Beachten Sie zudem, dass moderne Multifunktionsgeräte zum Teil ebenso über Festplatten verfügen, die personenbezogene Daten enthalten können.


Achten SIe auch im Homeoffice auf einen datenschutzkonformen Umgang

Auch bei der Arbeit im Homeoffice muss auf einen datenschutzkonformen Umgang mit personenbezogenen Daten geachtet werden. Stellen Sie aus diesem Grund sicher, dass Sie sämtliche der hier aufgeführten Anregungen stets auch bei der Arbeit zu Hause umsetzen.


Meldung von Datenschutzverletzungen

Sollte Ihnen dennoch eine Datenschutzverletzung unterlaufen sein oder haben Sie Kenntnis von einer solchen erlangt, wenden Sie sich bitte umgehend sowohl an Ihren Vorgesetzten als auch an Ihren Datenschutzbeauftragten. Diese untersuchen den Vorfall und entscheiden anschließend über das weitere Vorgehen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen.

    Tags:
  • Arbeitsplatz
  • Berufsalltag
  • Datenschutz
  • Datenschutzverletzung
  • DS-GVO
  • Homeoffice
Lesen