{"id":7990,"date":"2021-02-10T14:06:01","date_gmt":"2021-02-10T13:06:01","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=7990"},"modified":"2025-12-22T12:01:11","modified_gmt":"2025-12-22T11:01:11","slug":"emotet-trojaner-wurde-zerschlagen","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/emotet-trojaner-wurde-zerschlagen\/","title":{"rendered":"Emotet zerschlagen: K\u00f6nig der Schadsoftware entthront"},"content":{"rendered":"

Arne Sch\u00f6nbohm, Pr\u00e4sident des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI), \u00e4u\u00dferte sich im Jahr 2019 \u00fcber den Erpressungstrojaner Emotet und nannte ihn<\/a> \u201eK\u00f6nig der Schadsoftware\u201c. Nun wurde dieser K\u00f6nig entthront: Ermittlern ist es gelungen, Kontrolle \u00fcber die Infrastruktur der Emotet-Trojaner zu bekommen. Im heutigen Beitrag berichten wir \u00fcber diesen, wie wir finden freudigen, Ermittlungserfolg und blicken auf die Emotet-Opfer. Zudem wagen wir einen kleinen Blick in die Zukunft des Sch\u00e4dlings.<\/p>\n

Emotet ausgeschaltet<\/h2>\n

Wie die europ\u00e4ische Polizeiagentur Europol<\/a> sowie das Bundeskriminalamt<\/a> (BKA) mitteilten, ist es internationalen Ermittlern am 26. Januar gelungen, die Infrastruktur hinter Emotet zu zerschlagen, einem der weltweit gef\u00e4hrlichsten Malware-Netzwerke. \u00dcber zwei Jahre haben Ermittler aus acht L\u00e4ndern unter deutscher sowie niederl\u00e4ndischer Leitung ermittelt; erstmals war Emotet im Jahr 2014 aufgetaucht.<\/p>\n

Eine Europol-Sprecherin erkl\u00e4rte: Emotet w\u00e4re eines der \u201egef\u00e4hrlichsten Instrumente f\u00fcr Cyberattacken. [\u2026] Die Emotet-Infrastruktur funktionierte im Kern wie ein erster T\u00fcr\u00f6ffner in Computersysteme auf weltweiter Ebene. Das System konnte auf einzigartige Weise ganze Netzwerke infizieren nur durch den Zugang zu ein paar wenigen Apparaten\u201c, so die Beh\u00f6rde.<\/p>\n

In einer Pressemeldung<\/a> zeigt sich auch das BSI \u00fcber den Erfolg der Ermittler begeistert. BSI-Pr\u00e4sident Sch\u00f6nbohm erkl\u00e4rt: \u201eVor bald drei Jahren bereits war es das BSI, das Emotet als \u201aK\u00f6nig der Schadsoftware\u2018 bezeichnet hatte. Seitdem haben wir immer wieder eindringlich vor der Gef\u00e4hrdung durch Emotet gewarnt und auf die teils erheblichen Folgen f\u00fcr Unternehmen, Beh\u00f6rden, Institutionen und nicht zuletzt auch f\u00fcr die B\u00fcrgerinnen und B\u00fcrger hingewiesen. Die Liste der Gesch\u00e4digten ist lang: Krankenh\u00e4user mussten ihren medizinischen Betrieb einstellen, Gerichte und Stadtverwaltungen wurden lahmgelegt, unz\u00e4hlige Unternehmen hatten keinen Zugriff auf ihre wichtigen Gesch\u00e4ftsdaten und digitalen Prozesse. Auch Zehntausende Rechner von Privatpersonen wurden mit Emotet infiziert, mit der Folge, dass das Online-Banking manipuliert oder Passw\u00f6rter ausspioniert wurden.\u201c<\/p>\n

Das BSI hat nun die Aufgabe, die in der Beweissicherung ermittelten IP-Adressinformationen betroffener Anschl\u00fcsse an die jeweilig zust\u00e4ndigen Netzbetreiber weiterzuleiten. Die Provider sind ihrerseits angehalten, ihre betroffenen Kunden \u00fcber Emotet-Infektionen zu informieren. Das BSI stellt auf seiner Website Informationen dar\u00fcber bereit<\/a>, wie die Desinfektion der IT gelingen kann.<\/p>\n

Emotet: Ermittlungen laufen<\/h3>\n

Nach Angaben des BKA sind hierzulande bislang 17 Server beschlagnahmt worden. Die Beh\u00f6rde schweigt sich derzeit noch \u00fcber m\u00f6gliche Festnahmen aus \u2013 die Ermittlungen laufen nach wie vor. Etliche Rechner sind noch immer mit Emotet infiziert, oft wissen deren Besitzer nichts davon. Wie jedoch bereits erw\u00e4hnt, werden BSI und Provider hier zusammenarbeiten und die Emotet-Opfer informieren. Erste Schritte wurden bereits unternommen:<\/p>\n

Wie das BKA erkl\u00e4rte, ist es \u201edurch die \u00dcbernahme der Kontrolle \u00fcber die Emotet-Infrastruktur [\u2026] m\u00f6glich, die Schadsoftware auf betroffenen deutschen Opfersystemen f\u00fcr die T\u00e4ter unbrauchbar zu machen.“ Daf\u00fcr habe man die Schadsoftware \u201eauf den Opfersystemen in Quarant\u00e4ne verschoben.\u201c Nicht nur Privatpersonen, sondern auch und insbesondere Unternehmen sollten jetzt also die Zeit nutzen, die IT-Sicherheit der eigenen Systeme zu \u00fcberpr\u00fcfen und gegebenenfalls anzupassen.<\/p>\n

Infrastruktur zerschlagen \u2013 aber die T\u00e4ter?<\/h2>\n

Die Ermittler haben zweifelsohne einen riesigen Erfolg zu verzeichnen \u2013 Emotet wurde vor\u00fcbergehend neutralisiert. Jedoch wurden die T\u00e4ter, die hinter Emotet stecken, nicht gefasst. Die Cybercrime-Aktivit\u00e4ten haben diesen Hinterm\u00e4nnern gro\u00dfe Gewinne eingebracht. Dass sie sich zur Ruhe setzen, ist genauso m\u00f6glich wie ein Neuaufbau der Infrastruktur.<\/p>\n

Wie sich die T\u00e4ter auch entscheiden \u2013 eines ist klar: Wo und wann immer Cyberkriminelle von Masseninfektionen profitieren k\u00f6nnen, etwa indem sie Daten weiterverkaufen oder L\u00f6segeld mittels Erpressungstrojaner erbeuten, da wird es eine solche Cyberkriminalit\u00e4t weiterhin geben. Emotet selbst hat keine Daten verschl\u00fcsselt, sondern Sch\u00e4dlinge nachgeladen, die das \u00fcbernommen haben. Aktuell existieren keinerlei Hinweise darauf, dass man auch an Schl\u00fcssel schon verschl\u00fcsselter Inhalte gekommen w\u00e4re.<\/p>\n

Dank des Engagements der Ermittlungsbeh\u00f6rden kann Emotet selbst keinen Schaden mehr anrichten. Jedoch bleiben nachgeladene Trojaner aktiv und h\u00f6chst gef\u00e4hrlich. Die Polizei m\u00f6chte mit zwei Ma\u00dfnahmen dagegen steuern: \u00dcber die integrierte Update-Funktion kommuniziert Emotet ausschlie\u00dflich mit Kontrollservern, die von der Polizei betrieben werden. Weiter wurde mit uninstall_emotet() eine neue Funktion entdeckt (s. Tweet des Sicherheitsforschers milkream<\/a>). Diese Funktion wird derzeit von Emotet-Servern an infizierte Rechner ausgeliefert und soll zum 25. April ausgef\u00fchrt werden. Diese Deinstallation k\u00f6nnte das vom BKA anvisierte \u201eVerschieben in Quarant\u00e4ne\u201c sein.<\/p>\n

Emotet & Co.: Wachsam bleiben!<\/h2>\n

Was den Ermittlungsbeh\u00f6rden gelungen ist, sind gro\u00dfartige Neuigkeiten! Nichtsdestotrotz fehlt es an zwei Punkten: Die Hinterm\u00e4nner sind nicht gefasst und die Opfersysteme noch nicht gereinigt. Wenngleich BSI und Provider Warnungen versenden, scheint fraglich, ob alle Opfer entsprechend reagieren (k\u00f6nnen). Es gilt, wachsam zu bleiben, denn die Cyberkriminellen kehren entweder selbst zur\u00fcck oder finden z\u00fcgig Nachahmer.<\/p>\n