Die Universität Gießen ist größtenteils offline, in Frankfurt blieben vorübergehend Ämter geschlossen und das Klinikum Fürth nahm zeitweise keine neuen Patienten auf - in den vergangenen zwei Wochen wurden mehrere öffentliche Einrichtungen in Deutschland mit Schadsoftware infiziert. Auch Bundesbehörden waren betroffen. In deren Namen wurden E-Mails mit Schadsoftware verschickt.
Es sei in der vergangenen Woche im größeren Umfang zu erfolgreichen Infektionen mit Schadsoftware gekommen, sagte eine Sprecherin des Bundesamts für Sicherheit in der Informationstechnik (BSI). Das dem BSI unterstellte Notfallteam CERT-Bund teilte am Freitag auf Twitter mit, es habe innerhalb von 48 Stunden Netzbetreiber und Provider über mehr als 500 Fälle von Trickbot-Infektionen informiert. Trickbot ist eine Schadsoftware, die Onlinebanking-Zugangsdaten ausspioniert. Betroffen seien Privatnutzer, Dutzende Unternehmen, mehrere Schulen, Universitäten, Krankenhäuser und Kommunalverwaltungen.
Trojaner Emotet befällt Bundesbehörden
Auch vor Spam-Mails, die vorgeben, zur Unterstützung der Klimaaktivisten Greta Thunberg aufzurufen, warnte das CERT-Bund auf Twitter. Diese enthielten die Schadsoftware Emotet. Dieser Trojaner wird laut BSI bei einem Großteil der aktuellen Angriffe eingesetzt. Das Programm wird auch "König der Schadsoftware" genannt.
Es tarnt seine Attacken besonders geschickt, indem es E-Mails als Teil bestehender Konversationen erscheinen lässt. Mitte der Woche warnte das BSI vor einem Emotet-Befall mehrerer Bundesbehörden. Als Folge seien schadhafte E-Mails im Namen der Behörden verschickt worden. Nach einer schnellen Isolierung der infizierten Systeme könne die Bundesverwaltung mittlerweile uneingeschränkt arbeiten, hieß es am Freitag vom BSI.
Auch bei der Stadt Frankfurt herrsche wieder weitgehend Normalbetrieb, sagte ein Sprecher am Freitag. Die Stadt hatte am Mittwochnachmittag nach einem Alarm ihr IT-System sicherheitshalber heruntergefahren. Auch dort kam nach Angaben der Stadt eine Variante von Emotet zum Einsatz. Ein Mitarbeiter hatte eine als Dienstmail getarnte E-Mail mit Schadsoftware erhalten. Die Generalstaatsanwaltschaft hat inzwischen Ermittlungen zu der Attacke aufgenommen. Die benachbarte Stadt Bad Homburg stellte am Donnerstag ihr IT-System offline und schränkte nach eigenen Angaben den Service bis auf weiteres ein. Auch hier deute einiges auf Emotet hin, sagte ein Sprecher der Stadt.
Klinikum Fürth weiteres Opfer von Emotet
Ein weiteres Opfer von Emotet wurde nach bisherigen Erkenntnissen das Klinikum Fürth. Es konnte in Folge eines Cyber-Angriffs ab Freitag der vorherigen Woche vorübergehend keine neuen Patienten annehmen und musste Operationen verschieben. Am Montag teilte ein Sprecher dann mit, dass sich der Betrieb weitgehend normalisiert habe.
Emotet versteckt sich in den Anhängen von E-Mails, etwa als Word-Dokument. Sobald diese Anhänge geöffnet werden, späht das Programm die infizierten E-Mail-Systeme aus. Es dient erst einmal nur als Türöffner, so dass ein Befall nicht unbedingt sofort erkannt wird. Das Programm kann dann weitere Schadsoftware nachladen - beispielsweise Banking-Trojaner, die versuchen, digitale Geldströme in die Taschen der Cyberkriminellen umzuleiten. Andere Schadprogramme, sogenannte Ransomware, verschlüsseln flächendeckend die Daten eines infizierten Systems. Für das Passwort, mit dem die Daten wieder entschlüsselt werden können, wird ein Lösegeld (englisch: "ransom") verlangt.
Besser mehrere Backups der eigenen Daten auf externen Medien
Um Emotet nicht auf den Leim zu gehen, sollten E-Mail-Empfänger den Absender der E-Mail genau prüfen und nicht nur den angezeigten Namen, rät das BSI. Außerdem sollten Nutzer E-Mails auf Ungereimtheiten prüfen. Christoph Fischer rät: "Nachdenken, bevor man klickt." Er befasst sich seit mehr als 30 Jahren mit IT-Sicherheit. Mit seiner Beratungsfirma habe er unter anderem dem Bundestag geholfen, als dieser 2015 Opfer eines Cyberangriffs wurde. Außerdem empfiehlt Fischer mehrere Backups der eigenen Daten auf externen Medien. Gegenüber USB-Sticks hätten DVDs oder etwa Blu-Rays den Vorteil, dass sie in der Regel nicht im Nachhinein infiziert werden können.
Auf eine Bedrohung wie Emotet sind die meisten Unternehmen laut Fischer nicht ausreichend eingestellt: "Jeder müsste eigentlich seine Sicherheitskonzepte noch einmal anfassen, vor dem Hintergrund, was gerade passiert, und schauen, ob es überhaupt noch zeitgemäß ist." Außerdem leide die IT-Sicherheit am Fachkräftemangel. Es gebe zu wenige kompetente Kräfte. Viele wollten auch nicht in dem Bereich arbeiten: "Das ist ein anstrengender Job."
Bei dem Angriff auf die Universität Gießen ist nach Erkenntnissen der auch hier ermittelnden Generalstaatsanwaltschaft Frankfurt die Ransomware Ryuk am Werk gewesen. Das gleiche Programm, das laut Medienberichten vor kurzem auch für eine Cyberattacke auf die Stadtverwaltung der US-Metropole New Orleans verantwortlich ist. In New Orleans war nach dem Angriff sogar der Ausnahmezustand ausgerufen worden. Ryuk kann auch durch Emotet auf einen Rechner gelotst werden. Die Universität Gießen teilte am Freitag mit, dass E-Mail-Dienste wieder zur Verfügung stünden. Ansonsten seien die IT-Systeme noch weitgehend offline, hieß es auf Anfrage. Die Wiederherstellung werde voraussichtlich nicht vor nächstem Jahr abgeschlossen sein. (dpa/rs)