Emotet: Wie gefährdet sind Nutzer bestimmter Microsoft Office-365-Versionen?

27. Februar 2020

Es fehlt in einigen Versionen von Office 365 eine wichtige Sicherheitsfunktion – eine Tatsache, die bisher kaum bekannt war. Denn es werden scheinbar Gruppenrichtlinien ignoriert, ohne dass Administratoren etwas mitbekommen. Es steht zu befürchten, dass Benutzer dadurch gefährdet sind – denn unter anderem erleichtert es so eine Infektion mit der Malware Emotet.

Konkret geht es darum, dass Unternehmen zum Schutz vor Malware oft die generelle Ausführung von Makros deaktivieren – dies passiert per Gruppenrichtlinie, die der zuständige Administrator festlegt. Das BSI empfiehlt dieses Vorgehen, unter anderem um das Eindringen von Emotet in das Netzwerk zu erschweren. Die Schadsoftware nutzt häufig Makros, um sich Zugang zu verschaffen.

Anzeige
magic x optB

Allerdings gelingt dies mit einigen Versionen von Office 365 nicht, da hier Gruppenrichtlinien ignoriert werden, ohne dass Administratoren etwas mitbekommen. Das Problem bezieht sich aber nur auf die günstigeren Business-Varianten des Programms, bei Nutzung der teureren Enterprise Versionen von Office 365 passiert dies nicht – hier wird die Umsetzung der Richtlinien unterstützt.

Wie ernst Unternehmen den Schutz vor Emotet nehmen sollten zeigt die Tatsache, dass das BSI schon vermehrt explizit vor der Malware warnte und sie vor gut anderthalb Jahren als „weltweit gefährlichste Schadsoftware“ einstufte. Erst Ende 2019 wurde das Kammergericht Berlin zum Opfer von Emotet und Trickbot, die Trojaner konnten sich tagelang im Netzwerk aufhalten und Daten entwenden. Der Schaden war so verheerend, dass Gutachter einen kompletten Neuaufbau der IT-Infrastruktur empfahlen.

Gefahrenquelle: Emotet

Grundsätzlich sehen Experten die Gefahr bei Emotet vor allem darin, dass die Malware-Variante extrem flexibel ist. So nutzt sie eine Reihe verschiedenster Wege, um in das System zu gelangen. Etwa durch falsche E-Mails – mit Hilfe von Outlook-Harvesting werden Nachrichten von Kollegen gefälscht, die sehr glaubwürdig wirken. Im nächsten Schritt lädt die Schadsoftware noch zusätzliche Module wie Banking-Trojaner, Password-Stealer oder Ransomware nach. Letztere verschlüsselt alle Daten des Systems, um zur Entschlüsselung Lösegeld zu fordern und richtet somit großen Schaden in Unternehmensnetzwerken an.

Um sich effektiv vor Emotet zu schützen, können Betriebe an mehreren Punkten ansetzen. Zum einen sind organisatorische Maßnahmen wichtig – etwa durch Sensibilisierung der Mitarbeiter über die Gefahren durch E-Mail-Anhänge und Links, wie es auch das BSI empfiehlt. Bei ungewöhnlich wirkenden Mails sollte zum Beispiel vor der Öffnung von Anhängen mit dem Absender gesprochen und Auffälligkeiten direkt der Security-Abteilung gemeldet werden.

Echte Sicherheit kann aber nur durch die Nutzung von technischen Lösungen erreicht werden, bei deren Entwicklung Gefahren für die IT-Sicherheit schon bei der Entwicklung mit einbezogen wurden. Das Prinzip „Privacy by Design“ (=Datenschutz durch Technikgestaltung) ist auch in Artikel 25 der EU-DSGVO vorgeschrieben.

Auch sieht das BSI eine der größten Gefahrenquellen in Hinblick auf Emotet in der falschen Vergabe von Berechtigungen. Um dies zu verhindern ist es sinnvoll, dass Firmen bei der Wahl von Enterprise File Service darauf achten, dass diese über ein modernes Berechtigungskonzept verfügen, das sich über eine zentrale Administration steuern lässt. Zugriffsrechte müssen einfach und individuell an interne Mitarbeiter, aber auch externe Beteiligte vergeben werden können. So wird sichergestellt, dass bestimmte Personen zum Beispiel nur Leserechte haben, andere aber auch Daten bearbeiten und löschen können.

Somit behält etwa die IT-Abteilung zwar die organisatorische Hoheit, hat aber keine Lese- und Schreibrechte auf Finanz- oder Personaldaten. Alle Nutzer bzw. Daten lassen sich idealerweise in ihrer Verfügbarkeit zeitlich befristen. Da Emotet nicht selten Verschlüsselungstrojaner nachlädt, sollten Lösungen außerdem einen integrierten Ransomware-Schutz mitbringen, sodass die Daten bei einem Verschlüsselungsangriff nicht betroffen wären. Wenn Ransomware im Ernstfall lokale Laufwerke oder Netzwerklaufwerke verschlüsselt, verlieren Betriebe im Idealfall dank einer Versionierung trotzdem keine Dateien, da die unverschlüsselten Versionen der Daten automatisch separat abliegen und unbeschadet wiederhergestellt werden können.

Office 365 besteht allerdings nicht nur aus Funktionen wie Word, Excel oder Outlook. Der integrierte Speicherdienst OneDrive ist die Heimat für Millionen von unternehmenskritischen Daten. Und damit schlummert hier nicht nur die größte Angriffsfläche für Ransomware, die Nutzung des Dienstes gefährdet auch die DSGVO-Konformität von Kundendaten.

Gerade bei der Wahl des Cloud-Speichers müssen sich Unternehmen genau überlegen, auf welchen Anbieter sie setzen. So verlockend die vermeintlich einfache Datenspeicherung über OneDrive, das an Microsoft quasi „angedockt“ ist, auch sein mag: Auch dieser kostenfreie Speicherplatz wird dazu genutzt, um maschinelles Lernen zu verbessern, personalisierte Produkte und gezielte Werbung anzubieten oder Service-Provider zu versorgen und Anweisungen von Behörden nachzukommen.

Datenschutz-Grundverordnung spielt immer mit

Auch wenn der Zugriff automatisiert und von KI gesteuert wird, darf nicht vergessen werden, dass hinter diesen Anwendungen Menschen sitzen, welche die Algorithmen programmieren. Und dafür können und müssen sie auf gespeicherte Daten zugreifen. Daher kann nicht ausgeschlossen werden, dass dieser Zugriff von einem Microsoft-Mitarbeiter, einem der Partner oder Service-Provider missbraucht wird. Denn jeder nicht-autorisierte Zugriff bedeutet für den Anwender ein Sicherheitsrisiko.  Und das lässt sich deutlich minimieren, wenn eine deutsche Cloud-Lösung eingesetzt wird, die auch mit der DSGVO konform ist.

Generell zeigt die aktuelle Entdeckung bei Microsoft Office, dass Betriebe ihr internes Schutzniveau laufend überprüfen müssen, um ein Maximum an Sicherheit und die Einhaltung der EU-Datenschutzgrundverordnung zu gewährleisten. Hierzu zählt die stetige Überprüfung der eingesetzten Software und die Frage, ob deren Einstellungen das Schutzniveau erhöhen und ob Mitarbeiter ausreichend über mögliche Gefahren informiert sind.

Arved Graf von Stackelberg ist Geschäftsführer von Dracoon.

Dracoon

Lesen Sie auch