Anatomie einer Katastrophe – Emotet Trojaner bei Heise

Freitag, 14. Juni 2019, von Michael Beez

Wer unseren Facebook-Feed in dieser Woche verfolgt hat, dem dürfte unser Beitrag über die Heise Gruppe nicht entgangen sein. Diese hatte sich eine schwerwiegende Infektion durch den Trojaner Emotet eingefangen der Große Teile der IT-Infrastruktur komplett lahmlegte. Dies führte zu langen Ausfallzeiten und für einen Gesamtschaden sorgte, der wohl im unteren bis mittleren sechsstelligen Bereich zu finden sein dürfte.

Kurz zu den Hard-Facts. Die Heise Gruppe ist eine seit 1949 bestehende Verlags- und Mediengruppe aus Hannover. Neben zahlreichen Medienpublikationen (Gelbe Seiten, Mac and I, Romane und Reiseführer) ist die Firma vor allem stark im Bereich IT vertreten. Fachmagazine wie C´T, Mac and I oder das Portal Heise online dürften Profis wie auch Laien ein Begriff sein.

Mit etwa 700 Mitarbeitern (Quelle: Wikipedia) gehört die Heise Gruppe sicherlich nicht zu den kleinen Unternehmen in der Deutschen Medienlandschaft. Doch gerade dieses Beispiel zeigt einmal mehr auf wie schnell man sich eine solche Infektion - ob nun Trojaner, Virus oder Superwurm – einfangen kann, dass dies horrende Schäden verursachen kann und vor allem, dass wirklich niemand vor einer solchen Attacke gefeit ist. Ob nun ein 2-Mann Betrieb oder weltweit operierendes Unternehmen, treffen kann es grundsätzlich jeden.

Heise geht mit dem Angriff und der Aufarbeitung danach sehr transparent um und möchte es so anderen Firmen ermöglichen daraus zu lernen und etwas für das eigene Unternehmen mitzunehmen. Dazu berichtet man offen und unverblümt auf der eigenen Webseite und hat hier auch den Grund allen Übels sowie einen ausführlichen Online-Podcast veröffentlicht. Diesen finden Sie hier (bitte klicken).

Was die gesamte IT-Abteilung sowie externe Spezialisten über Tage hinweg in Atem hielt, begann mit dem harmlosen Öffnen einer kontaminierten E-Mail. Diese hatte sich auf einen tatsächlichen Geschäftsvorgang bezogen und kam von einem vermeintlichen Geschäftspartner. In der Mail wurde dazu aufgefordert ein angehängtes Word-Dokument zu öffnen. Beim Öffnen des Dokuments erschien eine (gefälschte) Fehlermeldung, die dazu aufforderte, „Enable Editing“ anzuklicken. Dieser Aufforderung kam der Mitarbeiter nach – und so nahm das Unheil seinen Lauf.

Über eine ähnliche Welle hatten wir bereits im Januar berichtet. Auch hier waren Word-Dokumente, infiziert mit dem Trojaner GandCrab im Umlauf. Technisch gesehen sind diese Mails nicht besonders ausgereift. Es wird lediglich mit der Neugier des Users gespielt, der wie oben beschrieben, dazu verleitet wird das Dokument doch zu öffnen. Ein vorhandenes Anti-Viren Programm ist in diesem Fall leider auch kein Allheilmittel. Gerade auf Grund der Tatsache, dass sich solche Trojaner häufig schnell verändern kann es dazu kommen, dass die Datenbanken der Virenscanner nicht immer rechtzeitig mit den aktuellsten Informationen gefüttert werden können.

Gerade im aktuellen Beispiel scheint es so zu sein, dass der Trojaner auf ältere Windows PC´s abzielte die noch mit dem Betriebssystem Windows 7 unterwegs sind. Im vorliegenden Fall von Heise wurden die Windows 10 Rechner vollkommen vom Angriff und der folgenden Verschlüsselung verschont. Der Grund dafür ist bislang noch unklar. Wir möchten daher die Gelegenheit nutzen und nochmals dringend empfehlen den Umstieg von Windows 7 auf Windows 10 möglichst frühzeitig – sofern noch nicht geschehen – vorzunehmen.

Haben Sie ein akutes Problem oder Fragen bezüglich der IT-Sicherheit? Planen Sie die Umstellung Ihrer IT und haben Sie Fragen dazu? Sprechen Sie uns gerne an. Als unabhängiger Dienstleister helfen wir Ihnen selbstverständlich gerne weiter und erarbeiten auf Wunsch auch gerne gemeinsam mit Ihnen ein tragfähiges Konzept für die Zukunft. Bei Fragen stehe ich Ihnen jederzeit gerne unter +49 (07141) 48874-49 oder via Mail beez@aces-online.de zur Verfügung.

Freundliche Grüße

Michael Beez
Marketing & Sales Manager


Bildrechte: fotolia.de #169435664 | Urheber: arrow

Weitere Informationen

Aces News - Übersicht

Besuchen Sie Aces auch auf den sozialen Plattformen Facebook, Twitter und Xing.