Emotet-Trojaner greift Heise-Netz an

Chronologie eines Angriffs

Wie Heise Online auf seinem Portal ganz offen berichtet, wurde der Verlag Heinz Heise und die Heise Gruppe bereits am 13. Mai 2019 von dem Trojaner Emotet angegriffen. (Heise Medien, zu denen c’t und heise online gehören, waren nicht betroffen). Der sofort nach Erkennung eingeleitete harte Shutdown, also das komplette kappen des Internet-Zugangs, konnte die Verschlüsselung wichtiger Daten gerade noch verhindern. Der Angriff kam wie so häufig über eine E-Mail mit Anhang von einem vermeintlichen aber dem Namen nach bekannten Geschäftspartner. Das Öffnen der Datei und die danach durchgeführte Aktion des Anwenders nach einer gefälschten Fehlermeldung startete den Trojaner. Zuerst äußerste sich das nur durch Alarmmeldungen der eingesetzten AV-Lösungen hier und dort. Erst als am Nachmittag des gleichen Tages der Log-Auswertung der Firewall ungewöhnlich häufige Verbindungen aus dem Heise Netz z.B. über TCP-Port 449 zu bekannten Emotet Servern auffielen, kam man dem wahren Grund der Probleme näher.

Heise zog daraufhin Forensiker und Incident-Response Spezialisten hinzu um a) den Betrieb ohne neues Risiko teilweise wieder aufzunehmen und b) das Windows-Netz der befallenen Bereiche wieder neu aufzusetzen. Allein dafür sind Heise laut eigenen Aussagen Kosten in Höhe von ca. 50.000 € entstanden. Wie Heise das auf seinem Portal beschreibt, handelt es sich hierbei nicht um hochgerechnete Zahlen wie sie häufig in Risikobewertungen auftauchen, sondern um konkret entstandene Kosten. Die Gesamtkosten für Ausfall von Produktivität, zusätzliche Überstunden sowie Umsatzausfälle schätzt Heise um einen weiteren 5-stelligen Betrag höher.

Wir finden es bemerkenswert wie offen und ehrlich Heise mit der Attacke und den Folgen umgeht. Eine Vertuschung der Vorfälle bei Heise wäre tatsächlich unrühmlich gewesen, meldet doch Heise selbst täglich neue Sicherheitslücken bei Herstellern und Angriffe auf Unternehmen. 

Lernen aus den Fehlern

Die Lehren aus dem Incident zieht Heise und öffentlich und lädt zu einem Live-Webinar am 3. Juli 2019 ein. Hier erfahren Sie mehr über gestaffelte Verteidigungskonzepte, Design-Probleme bei Windows und Active Directory und Best Practices gegen Angriffe dieser Art. Heise führt dieses Webinar zusammen mit Security-Spezialisten durch. Wir gehen davon aus, dass die veranschlagten Kosten für das Webinar kein Deckungsbeitrag für die bei Heise entstandenen Kosten sind, sondern das Geld wert sind. 

FAZIT: Die nachfolgend aufgeführten Empfehlungen des BSI sind nicht neu. Beherzigen Sie diese IT-Security Basics, haben Sie einen guten Schutz und Ihre Hausaufgaben diesbezüglich grundsätzlich erledigt. Vergessen Sie nicht Ihre Mitarbeiter regelmäßig über Vorsichtsmaßnahmen und aktuelle Gefahren zu informieren.

Das BSI rät …

• Betriebssysteme und Applikationen durch Patches und Sicherheitsupdates immer aktuell zu halten
• Anti-Viren Software stets aktualisieren
• Regelmäßige Backups (inkl. Datenverschlüsselung und Ransomware-Zugriffsschutz (Anm. der Redaktion))
• Vorsicht bei verdächtigen E-Mails mit Anhängen. Speziell Anhänge in Form von Office Dokumenten sind riskant
• Rufen Sie bei Verdacht und Im Zweifel lieber den Absender an, bevor Sie unbekannte Anhänge öffnen