"Auf die richtige Fehlerkultur kommt es an"

Wie unterscheidet sich die neue Emotet-Variante von der ursprünglichen?

Tim Berghoff: Sie unterscheidet sich in erste Linie in technischen Details zum Beispiel in der Kommunikation. Die Kommunikation zwischen dem jeweiligen Emotet-Client, der auf irgendeinem individuellen Server oder Anwender-PC liegt, war schon immer verschlüsselt. An dieser Verschlüsselung ist jetzt etwas geändert worden. Diese arbeitet mittlerweile mit einem https-Zertifikat. Emotet ist ja keine neue Schadsoftware, man kann sie durchaus als ein "reifes Produkt" im Bereich der organisierten Softwarekriminalität ansehen. Die Menschen, die diese Software entwickelt haben, wissen genau was sie tun. Sie stellen auch ein sehr breites Portfolio an technischen Möglichkeiten zur Verfügung, das dann auch entsprechend abgerufen werden kann.

Es heißt ja, dass das ursprüngliche Botnet zerstört wurde und die Betreiber jetzt deshalb das TrickBot-Netz verwenden.

Berghoff: Ja das ist korrekt. Die Infrastruktur von Emotet ist über Jahre gewachsen und gepflegt worden. Sie ist jedoch nach wie vor nicht betriebsfähig, aber die Schadsoftware existiert natürlich noch. TrickBot und Emotet haben auch ein Stück weit eine gemeinsame Geschichte, die einige Jahre zurückgeht. Da kann man jetzt natürlich mutmaßen, was da im Hintergrund abläuft, ob da alte Bande neu aufgelegt worden sind, oder ob man sich jetzt die Dienstleistung für das Verteilen der Schadsoftware eingekauft hat. Die Erfahrung hat gezeigt, dass da eine ganze Menge Austausch und Kooperation stattfindet. Am Ende des Tages ist die Verteilung von Schadsoftware nichts anderes als klassische Software-Distribution.

"Die Drahtzieher werden versuchen, an alte Erfolge anzuknüpfen"

Emotet hat in den vergangenen Jahren große Schäden angerichtet. Wie schätzen Sie die Gefahr der neuen Version ein? Wird sich das Szenario wiederholen?

Berhoff: Ich denke das ist eine realistische Einschätzung. Solche Schäden werden weiterhin auftreten. Vielleicht anfangs nicht in der Höhe, wie es zu Emotets Hochzeiten der Fall war, aber man wird natürlich darauf hinarbeiten, hier wieder ins Geschäft zu kommen. Wir müssen uns vergegenwärtigen, dass die Betreibergesellschaft, die hinter Emotet steckt, zehn komplette Monatsumsätze eingebüßt hat, da die Infrastruktur durch die Strafverfolgungsbehörden vom Netz genommen wurde. So etwas wieder neu aufzubauen, kostet eine ganze Menge Zeit und Geld. Das hat viele Schäden verhindert. Doch die Drahtzieher werden versuchen, wieder an alte Erfolge anzuknüpfen. Unternehmen hatten zwar jetzt eine Atempause und die Möglichkeit, über ihre eigene Sicherheitsstrategie nachzudenken. Allerdings hat die Erfahrung gezeigt, dass Gefahren als nicht mehr relevant eingestuft werden, sobald der akute Druck fehlt. Was an Vorbereitungen nicht stattgefunden hat, das wird sich in den kommenden Monaten rächen.

Bedeutet das also, dass Unternehmen aktuell nicht auf solche Angriffe vorbereitetet sind?

Berghoff: Ich denke, dass sich an dem Grad der Vorbereitung nicht viel geändert hat. Einige Unternehmen haben aber mit Sicherheit Schritte unternommen, um ihre IT-Sicherheit zu verbessern - nicht nur wegen Emotet, sondern wegen anderer Sachzwänge, die sich um Corona und die Home-Office-Situation drehen. Insgesamt wird es aber immer noch Unternehmen geben, die Verbesserungspotenzial und -bedarf haben, was ihre Sicherheit angeht. Und gerade diese Unternehmen sind anfällig für solche Angriffe.

Was würden Sie diesen Unternehmen raten?

Berghoff: Wenn ein Unternehmen sich darauf vorbereiten möchte, gehört dazu grundsätzlich erst einmal eine Bestandsaufnahme dessen, was im Moment an Sicherheitsmaßnahmen vorhanden ist. Und dann die Beantwortung der Frage, ob man auf bestehende Maßnahmen aufbauen kann oder ob das Unternehmen sagt, da fangen wir komplett auf der 'grünen Wiese' an. Letzteres ist sicherlich ein Ausnahmefall, aber solche Fälle gibt es.

Das heißt also eine Bestandsaufnahme zu machen und einfach mal Fragen zu stellen wie: Wo sind denn zum Beispiel exponierte Systeme, die aus dem Netz erreichbar sind? Wie sieht es mit dem E-Mail-Filter und der Antivirus-Software aus? Sind meine Mitarbeiter auf dem aktuellen Stand, was ihre Sicherheitsschulungen angeht? So ein Grundkatalog an Fragen sollte ganz am Anfang stehen. Dieser ist häufig von der Erkenntnis begleitet, dass bei der Sicherheit noch sehr viel Nachholbedarf besteht und man nicht alles mit den eigenen Leuten hinbekommt. Zumindest nicht, wenn das halbwegs zeitnah und tragfähig geschehen soll. Da wäre es für ein Unternehmen durchaus sinnvoll, sich von externen Security-Spezialisten unterstützen zu lassen.

Das dürfte aber zum Teil schwierig sein, wenn dafür kein extra Budget verfügbar ist - gerade in kleineren Unternehmen. Wie können Unternehmen trotzdem davon überzeugt werden, sich Hilfe zu holen?

Berghoff: Die Fragestellung, wie man Ausgaben in diesem Bereich rechtfertigen kann, ist mindestens so alt wie die IT-Sicherheitsindustrie selbst. Für jemanden, der diesen Bereich federführend betreut, ist es schwierig einzuschätzen, wieviel Schäden und Produktionsausfälle erspart bleiben. Das Idealszenario ist, dass "nichts passiert", also keine Zwischenfälle und Angriffe auftreten.

Allerdings kann man sich auf Zahlen stützen, die wir in einigen Statistiken erhoben haben. Diese zeigen, wie die Kosten aussehen, wenn ein solcher Angriff erfolgreich war. Wenn zum Beispiel eine Schadsoftware das Netzwerk für vier Tage außer Betrieb setzt, was keine Seltenheit ist, dann kostet das jeden Tag und jede Stunde den Betrag X. Dann kann man eine ganz einfache Rechnung aufmachen und sagen, wir haben auf der einen Seite Kosten für Sicherheitsmaßnahmen wie Awareness-Trainings oder technische Maßnahmen. Und auf der anderen Seite haben wir die Kosten, die wir vermeiden, wenn wir proaktiv handeln. Das ist zwar in vielen Köpfen schon angekommen, aber noch nicht in dem Maße verinnerlicht, wie es der Fall sein sollte. Da kann man nur mit den Kosten argumentieren, die nicht anfallen, wenn tatsächlich mal etwas passiert.

"Hier sehe ich die Management-Ebene in der Pflicht"

Welche generellen Sicherheitsrisiken sehen Sie für die Zukunft?

Berghoff: Der Klassiker ist nach wie vor die Bedrohung per E-Mail, also E-Mails mit Anhängen, die Schadsoftware wie Emotet enthalten. Das ist eine relativ stabile Konstante an dieser Stelle. In den kommenden Monaten und Jahren werden wir wahrscheinlich sehen, dass Angreifer sich zunehmend auf Dienstleister und Lieferketten spezialisieren, um dafür zu sorgen, dass im Falle einer Lösegeldforderung der Hebel groß genug ist. Da gab es in diesem Jahr schon einige Beispiele, wie auf ein Wasserwerk und einen Pipeline-Betreiber in den USA oder Media Markt. Da wird der Trend auch hingehen. Gerade wenn Angreifer sagen 'Wenn wir jetzt dieses Unternehmen erpressen, zum Beispiel mit einer Ransomware, dann haben wir eine höhere Chance, dass ein Lösegeld bezahlt wird'. Vor allem wenn die Unternehmen wissen, dass da noch andere betroffen sind, weil dann eine bestimmte Dienstleistung nicht zur Verfügung steht. Die Kriminellen können natürlich versuchen, das Unternehmen direkt anzugreifen, das ist aber ziemlich aufwändig. Sie können aber auch stattdessen die Lohnbuchhaltung angreifen. Daraus ergeben sich dann natürlich weitere Konsequenzen.

Das heißt, das sollten Security-Verantwortliche auf jeden Fall für ihre Sicherheitsstrategie berücksichtigen?

Berghoff: Genau. Die Beziehungen zwischen einem Unternehmen und diversen Zulieferern und Dienstleistern müssen genauso unter die Lupe genommen werden wie die anderen Bereiche. Wichtig ist, dass ein Unternehmen erst einmal für sich identifiziert, welche Risiken tatsächlich bestehen. Die Erfahrung hat gezeigt, dass Unternehmen vielfach Bedrohungsszenarien für sich als relevant erachten, die es gar nicht sind. Zum Beispiel irgendwelche APT-Angriffe - hierfür ist das Risiko wesentlich geringer als etwa für eine ganz normale Phishing-E-Mail. Unternehmen machen sich häufig an der falschen Stelle Gedanken. Das ist aber auch kein neues Phänomen. Das beobachten wir schon seit mehreren Jahren. Da bröckelt das Fundament unten weg und die Antwort lautet dann: "Baut obenrum schnell weiter".

Was uns auch häufig passiert, ist, dass Geschäftsführer an uns herantreten und sagen, dass sie einen Penetrationstest brauchen. Denn irgendwo haben sie mal gehört, dass das wichtig ist. Das stimmt auch, aber das ist nicht der erste Schritt auf dem Weg zu einer vernünftigen Sicherheitsstrategie. Das ist erst dann sinnvoll, wenn man schon einiges in Sicherheit investiert hat und feststellen will, wo noch Lücken sind. Davor ist so ein Test nur bedingt aussagekräftig. Und da ist es die Aufgabe des Sicherheitsdienstleisters zu sagen: 'Wir verstehen dass du das möchtest, aber eigentlich ergibt das jetzt an dieser Stelle noch keinen Sinn, wir sollten uns erst mal auf das und das konzentrieren'.

Welche Erfahrungen haben Sie gemacht, sind die Unternehmen einsichtig, wenn Sie sagen, das machen wir erst im nächsten Schritt? Oder gibt es da Schwierigkeiten?

Berghoff: Die Argumente sind erst mal da und unumstößlich. Die Frage ist, wie das Unternehmen dann damit umgeht. Wenn sie sagen, 'Okay, dann müssen wir uns damit eben erst mal beschäftigen', muss in den meisten Fällen erstmal intern geklärt werden, an welcher Stelle das Budget freigemacht werden kann. Die Erfahrung hat gezeigt, dass direkt nach einem Vorfall, der nicht optimal gelaufen ist, die Investitionsbereitschaft höher ist. Diejenigen, die die Budgets dafür freigeben und verantwortlich sind, also die Geschäftsführer, haben ihren CISO dabei. Diese können dann auch ihre Einschätzung dazu abgeben. Wenn auf dieser Ebene die Message angekommen ist, 'das ist das, was wir im Moment machen müssen', dann sind wir einen entscheidenden Schritt weiter. Der ganze Komplex IT-Sicherheit muss von der Leitungsebene federführend vorangetrieben werden.

Ist es denn so, dass die meisten Unternehmen erst dann aktiv werden, wenn schon etwas passiert ist?

Berghoff: Das ist tatsächlich eine Sache, die wir immer wieder beobachten. Wenn wir zum Beispiel zu Unternehmen fahren, die gerade mitten in einem Incident stecken, herrscht eine ganze Menge an Unklarheit, was jetzt im Moment Aufmerksamkeit benötigt. Viele werden völlig unvorbereitet getroffen und sind auf eine reaktive Handlungsweise festgelegt. Statt zu sagen, 'Jetzt ist hier was passiert, wir haben dafür Pläne, die setzen wir jetzt um und sind dann zeitnah wieder im Normalbetrieb'.

Also müsste das Thema Prävention noch weiter in den Vordergrund gestellt werden?

Berghoff: Genau. Dieses präventive und proaktive Handeln ist das Einzige, was an dieser Stelle noch retten kann. Bei einem rein reaktiven Ansatzist die Wahrscheinlichkeit viel höher, kalt erwischt zu werden. Das heißt, Unternehmen müssen sicherstellen, dass ihre Handlungsfähigkeit gegeben ist. Gerade wenn bestimmte Dienste nie ausfallen dürfen. Das kann beispielsweise ein Telefonsystem sein, das immer funktionieren muss, damit meine Kunden mich erreichen können.

Wenn es darum geht, proaktiv zu sein und irgendwelche Zwischenfälle und Bedrohungen soweit es geht zu minimieren, ist es wichtig, dass man die Anwender mit an Bord holt. Die ganze Technik mit Antivirus und Firewall ist schön und gut und sollte auch beibehalten werden, doch wir sind jetzt an einem Punkt, wo die Technik den Nutzer ganz einfach im Stich lässt. Das heißt, da wo der Mitarbeiter zum Ziel eines Angriffs wird, haben wir es mit Social Engineering zu tun. Genau dort hat die Software ihre Grenzen. Hier müsste eigentlich der Mensch übernehmen. Das passiert aber in vielen Fällen nicht, weil den Mitarbeitern die entsprechenden Kenntnisse fehlen. Da sind wir als Dienstleister natürlich gefordert, diese Kenntnisse zu vermitteln. Die Software-Industrie hat hier auch ein Problem geschaffen, in dem Jahre lang versucht wurde, die Benutzer von Entscheidungen fernzuhalten, um potenzielle Fehler zu minimieren.

Da braucht es dann wahrscheinlich auch Gespräche mit den Geschäftsleitungen, damit sich die Unternehmenskultur ändert.

Berghoff: Unternehmenskultur ist das richtige Stichwort. Es ist extrem wichtig, eine Fehlerkultur aufzubauen, die jetzt nicht nur sagt, wenn du einen Fehler gemacht hast, dann wirst du bestraft. Das nützt nichts, wenn es darum geht, solche Vorfälle in Zukunft zu vermeiden. Wenn jemand weiß, dass er im Fall eines Fehlers entlassen wird, ist die Wahrscheinlichkeit gering, dass er seinen Fehler anspricht. Hier sehe ich die Managementebene in der Pflicht, zu sagen: 'Es ist okay, wenn etwas nicht optimal läuft. Wir machen alle Fehler.' Das muss von der Leitungsebene mitgetragen werden, so dass für alle Mitarbeiter die gleichen Bedingungen herrschen.