Emotet-Trojaner greift Heise-Netz an

13.
Jun
2019
Cyberattacke, Emotet-Trojaner, Malware, Schadsoftware

Der Heise-Verlag aus Hannover, selbst führend, wenn es um das Aufdecken von Schwachstellen in IT-Systemen geht, wurde dieser Tage durch den erfolgreichen Angriff eines Trojaners massiv geschädigt. Absolut vorbildlich und respektabel ist der Umgang des renommierten Verlages und IT-Branchenportals mit der eigenen Datenpanne. Hier die wichtigsten Fakten:

Chronologie eines Angriffs

Wie Heise Online auf seinem Portal ganz offen berichtet, wurde der Verlag Heinz Heise und die Heise Gruppe bereits am 13. Mai 2019 von dem Trojaner Emotet angegriffen. (Heise Medien, zu denen c’t und heise online gehören, waren nicht betroffen). Der sofort nach Erkennung eingeleitete harte Shutdown, also das komplette kappen des Internet-Zugangs, konnte die Verschlüsselung wichtiger Daten gerade noch verhindern. Der Angriff kam wie so häufig über eine E-Mail mit Anhang von einem vermeintlichen aber dem Namen nach bekannten Geschäftspartner. Das Öffnen der Datei und die danach durchgeführte Aktion des Anwenders nach einer gefälschten Fehlermeldung startete den Trojaner. Zuerst äußerste sich das nur durch Alarmmeldungen der eingesetzten AV-Lösungen hier und dort. Erst als am Nachmittag des gleichen Tages der Log-Auswertung der Firewall ungewöhnlich häufige Verbindungen aus dem Heise Netz z.B. über TCP-Port 449 zu bekannten Emotet Servern auffielen, kam man dem wahren Grund der Probleme näher.

Heise zog daraufhin Forensiker und Incident-Response Spezialisten hinzu um a) den Betrieb ohne neues Risiko teilweise wieder aufzunehmen und b) das Windows-Netz der befallenen Bereiche wieder neu aufzusetzen. Allein dafür sind Heise laut eigenen Aussagen Kosten in Höhe von ca. 50.000 € entstanden. Wie Heise das auf seinem Portal beschreibt, handelt es sich hierbei nicht um hochgerechnete Zahlen wie sie häufig in Risikobewertungen auftauchen, sondern um konkret entstandene Kosten. Die Gesamtkosten für Ausfall von Produktivität, zusätzliche Überstunden sowie Umsatzausfälle schätzt Heise um einen weiteren 5-stelligen Betrag höher.

Wir finden es bemerkenswert wie offen und ehrlich Heise mit der Attacke und den Folgen umgeht. Eine Vertuschung der Vorfälle bei Heise wäre tatsächlich unrühmlich gewesen, meldet doch Heise selbst täglich neue Sicherheitslücken bei Herstellern und Angriffe auf Unternehmen. 

Lernen aus den Fehlern

Die Lehren aus dem Incident zieht Heise und öffentlich und lädt zu einem Live-Webinar am 3. Juli 2019 ein. Hier erfahren Sie mehr über gestaffelte Verteidigungskonzepte, Design-Probleme bei Windows und Active Directory und Best Practices gegen Angriffe dieser Art. Heise führt dieses Webinar zusammen mit Security-Spezialisten durch. Wir gehen davon aus, dass die veranschlagten Kosten für das Webinar kein Deckungsbeitrag für die bei Heise entstandenen Kosten sind, sondern das Geld wert sind. 

Was macht Emotet so gefährlich?

Angriffe über die Schadsoftware Emotet sind gerade en vogue. Emotet ernährt und verbreitet sich über Kontakte, die bei infizierten Systemen gespeichert sind. Damit ist es Tätern möglich, reale E-Mail Absendernamen vorzutäuschen mit denen der E-Mail Empfänger tatsächlich erst kürzlich Kontakt hatte. Diese E-Mails haben immer einen Anhang bzw. einen Link. Durch die hohe Authentizität der gesamten E-Mail ist die Hemmschwelle des Empfängers gering. Ein einziger Klick genügt und Emotet lädt entsprechende Schadsoftware über eigene Server nach. Die Folgen sind Datenverlust, Kontrolle des Netzwerks, Produktionsausfälle und Verlust von Zugangsdaten.

 

FAZIT: Die nachfolgend aufgeführten Empfehlungen des BSI sind nicht neu. Beherzigen Sie diese IT-Security Basics, haben Sie einen guten Schutz und Ihre Hausaufgaben diesbezüglich grundsätzlich erledigt. Vergessen Sie nicht Ihre Mitarbeiter regelmäßig über Vorsichtsmaßnahmen und aktuelle Gefahren zu informieren.

Das BSI rät …

  • Betriebssysteme und Applikationen durch Patches und Sicherheitsupdates immer aktuell zu halten
  • Anti-Viren Software stets aktualisieren
  • Regelmäßige Backups (inkl. Datenverschlüsselung und Ransomware-Zugriffsschutz (Anm. der Redaktion))
  • Vorsicht bei verdächtigen E-Mails mit Anhängen. Speziell Anhänge in Form von Office Dokumenten sind riskant
  • Rufen Sie bei Verdacht und Im Zweifel lieber den Absender an, bevor Sie unbekannte Anhänge öffnen

Chefredakteur und Geschäftsführer der ProSoft GmbH

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 

Der ProBlog

ist ein Angebot der

ProSoft GmbH
Bürgermeister-Graf-Ring 10
82538 Geretsried

 

Kontakt und Support

Telefon +49 (0) 8171/405-0
Fax  + 49 (0) 8171/405-400
info@prosoft.de

Share This