Infrastruktur von Emotet abgeschaltet Strafverfolger stoppen die gefährlichste Schadsoftware der Welt

Deutschen Ermittlern ist zusammen mit internationalen Partnern ein spektakulärer Schlag gegen die Betreiber der berüchtigten Schadsoftware Emotet gelungen. Ob der Erfolg von Dauer ist, muss sich aber erst zeigen.
Das BKA hat zusammen mit mehreren anderen Behörden die Emotet-Infrastruktur abgeschaltet (Symbolbild)

Das BKA hat zusammen mit mehreren anderen Behörden die Emotet-Infrastruktur abgeschaltet (Symbolbild)

Foto: Sebastian Gollnow / dpa

Emotet, der »König der Schadsoftware«, ist tot, vorerst zumindest. Die Bezeichnung stammt von Arne Schönbohm, dem Präsidenten des Bundesamts für Sicherheit in der Informationstechnik (BSI). Er hatte damit einen Trojaner geadelt, der im Laufe der Jahre zur gefürchtetsten Schadsoftware der Welt geworden ist.

Allein in Deutschland hat Emotet Gerichte, Stadtverwaltungen, Krankenhäuser und Unternehmen lahmgelegt oder weiteren Schadprogrammen den Weg in die betroffenen Systeme geöffnet und damit Schäden in Millionenhöhe angerichtet: Weltweit gilt Emotet als erfolgreicher Türöffner für viele Ransomware-Infektionen, in deren Verlauf große und kleine Unternehmen um Lösegeld erpresst wurden. Die Betreiber boten diesen Türöffnerservice anderen kriminellen Gruppen auf Mietbasis an.

Nun aber haben unter anderem Ermittler des Bundeskriminalamtes (BKA) und der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) der Generalstaatsanwaltschaft Frankfurt am Main Emotet ausgeschaltet, im wahrsten Sinne des Wortes.

Emotet ist eine Schadsoftware (Malware) mit verschiedenen Funktionen. 2014 wurde sie zum ersten Mal entdeckt, damals war sie noch ein Banking-Trojaner, der Zugangsdaten zum Onlinebanking abfischte. Aliasnamen: Geodo, Heodo. 

Verbreitet wird Emotet über manipulierte E-Mail-Anhänge und Links auf verseuchte Dokumente. Die E-Mails wirken oft wie Antworten auf tatsächlich existierende Mail-Konversationen, die Emotet bei anderen Opfern abgefangen hat. Aber auch gefälschte Zahlungsaufforderungen oder aktuelle Themen aus den Nachrichten wie die Coronavirus-Pandemie können der Aufhänger für Emotet-verseuchte Mails sein.

Zwischen 2016 und 2017 änderte sich das Geschäftsmodell der Entwickler. Emotet gilt heute als Türöffner für andere Kriminelle. Sie können Zugänge zu Emotet-infizierten Computern mieten und dadurch ihre eigenen Schadprogramme verbreiten, etwa Ransomware.

In »einer international konzertierten Aktion mit Strafverfolgungsbehörden aus den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA«, heißt es in der Pressemitteilung, wurde »die Infrastruktur der Schadsoftware Emotet mit Unterstützung von Europol und Eurojust übernommen und zerschlagen«.

Zweieinhalb Jahre haben die Ermittlungen von BKA und ZIT gegen die Betreiber von Emotet gedauert, bis es zu diesem Schlag kam. Dabei wurden zunächst in Deutschland und dann in mehreren weiteren Ländern die Command-and-Control-Server identifiziert, über die Emotet gesteuert wurde. Allein in Deutschland wurden nun 17 Server beschlagnahmt, weltweit waren es Europol zufolge  Hunderte.

Ermittler leiteten Datenverkehr um

In der Ukraine übernahmen die Strafverfolger bei einem der mutmaßlichen Betreiber zunächst die Kontrolle über die Emotet-Infrastruktur. Dadurch, heißt es in der Pressemitteilung, »war es möglich, die Schadsoftware auf betroffenen deutschen Opfersystemen für die Täter unbrauchbar zu machen«. Das heißt: Dort, wo Emotet bereits in ein System eingedrungen war, wurde die Malware so verschoben, dass sie keinen Schaden mehr anrichten kann. Zudem konnte sie nur noch mit Servern kommunizieren, die zur Beweissicherung betrieben wurden.

Technische Unterstützung erhielten die Behörden dabei von der Firma G Data CyberDefense, bei der man nun davon ausgeht, »dass ein Großteil der Infrastruktur« lahmgelegt ist. Die Operation sei ein »massiver Schlag« gewesen.

Allerdings ist es möglich, dass der »König der Schadsoftware« ein Vermächtnis hinterlassen hat: Falls Emotet auf den infizierten Systemen rechtzeitig weitere Schadsoftware nachgeladen hat, wäre die weiterhin aktiv.

Selbst Sicherheitsexperten, die Emotets Aktivitäten genau verfolgen, wurden von dem Schlag der Behörden überrascht. Unter dem Namen »Cryptolaemus« hatten sich 2018 mehrere Spezialisten von verschiedenen Unternehmen und Organisationen zusammengetan, um so viele Informationen über Emotet zu sammeln wie möglich und damit IT-Administratoren zu helfen, ihre Systeme frei von Emotet zu halten oder Infektionen zumindest frühzeitig zu erkennen. In den Statusmeldungen der Gruppe vom Montag  heißt es: »Interessanter Start in die Woche.« Zunächst habe man eine normale Welle von Spammails beobachtet, über die Emotet verbreitet wird. »Dann hörte es ganz plötzlich auf. Wir wissen nicht, was passiert ist, ob es ein technisches Problem oder etwas anderes ist.«

Vorerst bleiben einige Fragen offen: Werden die Emotet-Betreiber nun eine neue Infrastruktur aufbauen, und wie lange bräuchten sie dafür? Bisher haben sie sich als einfallsreich und agil erwiesen. Und schon der Fall Trickbot hat gezeigt, dass die Abschaltung von Infrastruktur nicht zwingend das Ende einer kriminellen Gruppe bedeutet: US-Behörden und auch Microsoft hatten im Oktober bekannt gegeben, die Infrastruktur des Banking-Trojaners lahmgelegt zu haben. Aber nur einen Monat später  war Trickbot wieder aktiv. Sherrod DeGrippo vom IT-Sicherheitsunternehmen Proofpoint findet es daher »schwierig zu beurteilen, welche Auswirkungen die jetzt erfolgten Maßnahmen langfristig bringen werden«. Aber wenn man bedenke, »dass es sich um eine Aktion gegen die Backend-Infrastruktur des Emotet-Botnets handelt, könnte dies wirklich das Ende bedeuten«.

Oberstaatsanwalt Benjamin Krause von der ZIT sagte dem SPIEGEL: »Unser Ziel war es, die Infrastruktur dauerhaft abzuschalten.« Auch bei G Data heißt es, ein Neuaufbau würde zumindest Zeit und Geld kosten.

Ob ein Vorgehen gegen die Betreiber selbst, deren Gruppe »Mummy Spider« genannt wird, näher rückt, ist ebenfalls unklar. Die ukrainische Polizei hat im Rahmen der Operation zwei Männer festgenommen, »die das ordnungsgemäße Funktionieren der Infrastruktur für die Verbreitung des Virus sicherstellten und dessen reibungslosen Betrieb unterstützten«, wie die Behörde mitteilte . Von der Razzia gibt es auch ein Video .

Die eigentlichen Hintermänner werden aber in Russland vermutet, auch wenn das bisher nicht endgültig bewiesen ist. Eine Verhaftung schien bisher praktisch ausgeschlossen. Krause sagte, die Täter seien noch immer unbekannt: »Die Ermittlungen hören aber mit dem heutigen Tag nicht auf.«

Auch BSI-Präsident Schönbohm betrachtet Emotet noch nicht als erledigtes Problem. »Wenn Sie Informationen Ihres Providers über eine Emotet-Infektion Ihrer Systeme erhalten, nehmen Sie diese bitte ernst«, teilte er mit und verwies auf die Hilfestellung seiner Behörde . »Bereinigen Sie Ihre Systeme! Wenn Emotet Ihre Systeme infiziert hat, müssen wir davon ausgehen, dass dies auch anderer Schadsoftware gelungen ist.«