BSI-Tipps zur Office-Konfiguration um Emotet-Trojaner abzuwehren | Compliance

Haufe Online Redaktion

BSI-Tipps zur Office-Konfiguration um Emotet-Trojaner abzuwehren — Bild: Haufe Online Redaktion Vorsicht vor E-Mails mit Anhang, es könnte ein Emotet-Trojaner enthalten sein

Schon länger macht der Emotet-Trojaner bei IT-Sicherheitsexperten für Sorgen. Die Schadsoftware verbreitet sich über verseuchte Office-Dokumente in Mail-Anhängen. Besonders gefährlich ist, dass diese E-Mails kaum noch als Gefahr erkannt werden können, weil sie sich aufgrund vorhergehender Spionage so gut tarnen, dass selbst aufmerksame Nutzer keinen Verdacht schöpfen. Das BSI gibt nun aktuelle Sicherheitshinweise, wie Unternehmen sich durch Konfiguration ihrer Office-Anwendungen besser schützen können.

Anders als bei den meisten konventionellen Viren-Spam-Mails ist es bei Emotet-Angriffen den Adressaten im normalen Alltag nahezu kaum möglich, diese E-Mails als gefährliche Nachrichten zu identifizieren, deren Dateianhänge keinesfalls geöffnet, sondern die besser gleich gelöscht werden sollten.

Emotet-Trojaner führt zielgerichtet gut vorbereitete und gut getarnte Attacken durch

Dazu gehen die Angreifer mehrstufig vor. Zunächst sammeln sie Informationen auf anderen, bereits befallen Rechnern, indem sie hier auf die E-Mail-Postfächer zugreifen und dabei Mail-Adressen und häufig auch Betreffzeilen oder sogar Inhalte der Nachrichten erfassen. Anschließend nehmen sie per E-Mail mit gefälschten Absenderadressen und beispielsweise unter Bezug auf reale Gegebenheiten Kontakt mit den potenziellen Opfern auf. Diese E-Mails wirken sehr authentisch bis hin zu Details wie der üblichen Anrede oder der individuellen Absender-Signatur und erwecken daher keinerlei Verdacht beim Empfänger.

Schädling steckt bei Emotet üblicherweise im mitgeschickten Dateianhang

Der Schädling steckt bei Emotet üblicherweise in dem mitgeschickten Dateianhang, einem Office-Dokument. Um die Malware zu aktivieren müssen die Empfänger die Datei allerdings nicht nur einfach öffnen, sondern zudem auch explizit das Ausführen von Makros bzw. aktiven Inhalten erlauben. Erst mit diesen Berechtigungen kann sich der Schädling dann einnisten, anschließend aber erhebliche Schäden anrichten, denn es kann hierüber weitere Malware nachgeladen werden und vom befallenen Rechner aus können anschließend auch andere Rechner im Netz befallen werden.

Emotet-Trojaner bringt gefährliche Office-Dokumente

Dass über die Makros in (Microsoft-) Office-Dokumenten, also etwa Word-, Excel- oder PowerPoint-Dateien, Schadsoftware übertragen werden kann, ist lange bekannt und schon früher hat es derartige Versuche gegeben.

Standardmäßig ist das Ausführen von Makros in allen halbwegs aktuellen Office-Anwendungen zunächst deaktiviert, allerdings können die Anwender die Ausführung meistens manuell doch freischalten.
Genau hier setzen die Angreifer an, indem sie entsprechende Hinweise einfügen, mit denen die Mail-Empfänger dazu gebracht werden, diese Freigabe zu erteilen.

BSI-Empfehlungen zur sicheren Konfiguration

Angesichts der nach wie vor hohen Bedrohungslage durch Emotet hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) jetzt Empfehlungen zur Konfiguration von Office-Anwendungen herausgegeben.

Diese Empfehlungen richten sich an mittelgroße und größere Organisationen, die die Office-Arbeitsplatzrechner mittels der Gruppenrichtlinien in einer Active-Directory-Umgebung verwalten.
Es gibt dabei sowohl Hinweise zu Microsoft Office allgemein, als auch jeweils separate Anleitungen zu den verschiedenen Office-Komponenten (Word, Excel, Outlook, PowerPoint, Access, Visio), die jeweils für die Versionen 2013, 2016 und 2019 gültig sind.
Sie finden diese Dokumente zur Office-Konfiguration im Informationspool des BSI.

Weitere Schutzmöglichkeiten gegen Emotet

Anwender in Kleinbetrieben sind ebenfalls gefährdet. Hier sollte man neben der Einhaltung der allgemeinen Sicherheitsregeln daher gleichfalls besonders vorsichtig beim Umgang mit Office-Dokumenten sein.

Nach Möglichkeit sollte man auf die Nutzung von Makros in Dokumenten generell verzichten und die Mitarbeiter entsprechend darauf hinweisen, dass bei per E-Mail zugesandten Office-Dateien niemals Makros (bzw. aktive Inhalte) aktiviert werden dürfen.
Gegebenenfalls kann es helfen, Office-Dokument mit anderen als den Microsoft-Office-Programmen zu öffnen, da hier zumindest bislang die gefährlichen Inhalte nicht aktiv werden können.
Prinzipiell kann auch durch Filter auf den Mail-Servern der Empfang von Office-Dateien generell oder speziell von Office-Dateien mit Makros blockiert werden.
Mitarbeiter sollten auf die neue Gefahrenquelle hingewiesen und entsprechend sensibilisiert werden.
Das BSI hat schon vor einiger Zeit einige generelle Sicherheitsempfehlungen zum Schutz vor Emotet veröffentlicht, die weiterhin Gültigkeit besitzen.

Wachsam bleiben!

Die Gefahr durch Emotet wird von IT-Sicherheitsexperten weiterhin als sehr groß eingestuft, wobei die Schäden, die durch einen Befall hervorgerufen werden können, schnell existenzbedrohende Ausmaße annehmen können.

Zudem wird damit gerechnet, dass die Angriffe künftig noch weiter verfeinert werden könnten und das Erkennen der gefährlichen E-Mails somit noch schwieriger wird. Möglich ist auch, dass demnächst andere Dateitypen zur Übertragung verwendet oder die verseuchten Dokumente nicht als Anhang versendet werden, sondern in den E-Mails Download-Links zu diesen Dateien enthalten sind.

Weitere News zum Thema:

BSI warnt vor Smartphones mit vorinstallierter Schadsoftware

Zunehmende Bedrohung durch Social Engineering und sinnvolle Schutzmaßnahmen

Die angespannte Lage der IT-Sicherheit

Hintergrund: Sensibilisierung und Schulung von Mitarbeiter

Die Zahl der Hackerangriffe steigt kontinuierlich. Sie richten sich immer öfter direkt gegen die Unternehmen, um sensibles Know-how zu stehlen oder Schaden anzurichten. Das Risiko steigt nicht nur durch neue, ausgefeilte Spionagetechniken, sondern vor allem durch einen nach wie vor oft sorglosen Umgang mit dem Thema IT-Sicherheit. Mitarbeiter sollten regelmäßig auf die Gefahren des Social Engineering aufmerksam gemacht werden und über aktuelle Bedrohungen informiert werden. Auch grundlegende Schulungen zu dem Thema sind sinnvoll. Je wachsamer man ist und je mehr der neuen und alten Tricks der Angreifer man kennt, desto geringer sind deren Erfolgsaussichten.

Flächendeckend Kommunikation und Einhaltung von Regeln und Maßnahmen sind genauso wichtig, wie der neueste Softwareschutz. Dieser läuft leer, wenn aus praktischen Gründen manuell deaktiviert wird oder ungeschützte mobiler Endgeräte bis in höchste Sicherheits- und Hierachieebenen vorkommen.

Meistgelesene beiträge

Neueste beiträge

Krisenpräventionsumfrage 2023 zeigt die Herausforderungen des Krisenmanagements

17.04.2024
Compliance als Grundstein der Unternehmenskultur

10.04.2024
DIHK-Umfrage sieht Datenschutzgrundverordnung als Bürokratietreiber

03.04.2024
Europaweite Datenschutzaktion zum Auskunftsrecht der Datenschutzgrundverordnung

27.03.2024
Datenschutzbehörden führen automatisierte Prüfungen von Cookie-Bannern durch

26.03.2024
Mitarbeiterkontrollen durch den Arbeitgeber – Was ist unter welchen Voraussetzungen erlaubt?

12.03.2024
Wann muss eine öffentliche Ausschreibung erfolgen?

05.03.2024
Wie Unternehmen mit dem richtigen Tool ihr Potenzial maximieren

21.02.2024
Compliance Officer als „Botschafter“ für und „Verkäufer“ von Compliance

07.02.2024
18. Europäischer Datenschutztag 2024

30.01.2024

BSI gibt Sicherheitshinweise, um den gefährlichen Emotet-Trojaner abzuwehren