Wenn es stimmt, was Europol und das BKA am Mittwoch meldeten, dann dürften Cybersicherheits-Experten in aller Welt bald ein bisschen besser schlafen. Die Behörden schreiben in abgestimmten Mitteilungen, dass es ihnen gelungen sei, einen entscheidenden Akteur in der internationalen Cyberkriminalität auszuschalten: das Botnetzwerk Emotet.
Emotet war für Cyberverteidiger und Unternehmer seit Jahren ein großes Ärgernis. 2014 zunächst als Banking-Trojaner gestartet, entwickelte sich Emotet in den folgenden Jahren zu einer modularen Schadsoftware, die eine ganze Schattenwirtschaft von Cyberkriminellen am Laufen hielt. Das Botnetz infizierte Windows-Computer meist zunächst über verseuchte Word-Dateien, die als Anhang per E-Mail geschickt wurden. Dann nistete sich Emotet in den Rechnern der Opfer ein und machte es sich gemütlich. Und nutzte die infizierten Rechner, um weitere - etwa aus den E-Mail Kontakten der bereits gekaperten Maschinen - zu infizieren. Einer Studie von 2018 zufolge infizierte so jeder befallene Rechner im Durchschnitt drei weitere Maschinen. So wuchs das Bot-Netzwerk über die Jahre stetig.
Alle Meldungen zur aktuellen Situation in der Ukraine und weltweit - im SZ am Morgen und SZ am Abend. Unser Nachrichten-Newsletter bringt Sie zweimal täglich auf den neuesten Stand. Hier kostenlos anmelden.
Die Verbreitung von Emotet fand üblicherweise in Wellen statt. Wenn das Botnetz aktiv war, beobachteten Cybersicherheitsfirmen Hunderttausende verseuchte E-Mails pro Tag. Dann verstummte das Botnetz regelmäßig für mehrere Wochen. Experten gehen davon aus, dass die Betreiber in dieser Zeit die Software aktualisierten und die schadhaften E-Mail Anhänge optimierten.
Europol sei es gelungen, wichtige Kommandoserver der Kriminellen zu übernehmen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte Emotet 2018 als "König der Schadsoftware" bezeichnet. BSI-Chef Arne Schönbohm sagte am Mittwoch, die Aktion der Behörden sei "ein wichtiger Schlag gegen die internationale Cyber-Kriminalität". Bei der konzertierten Polizeiaktion waren Europol zufolge Ermittler aus den Niederlanden, der Ukraine, Litauen, Frankreich, England, Kanada und den USA beteiligt. Zusammen sei es ihnen gelungen zahlreiche wichtige Kommandoserver der Kriminellen zu übernehmen.
Diese Server waren das Herzstück des Cybercrime-Netzwerks. Von dort aus veränderten die Kriminellen regelmäßig die Malware auf allen bereits verseuchten Rechnern, so dass Virenscanner sie nicht entdeckten. Die Cyberkriminellen konnten zudem beliebig Software auf die infizierten Rechner nachladen. Emotet wurde so zum Türöffner für weitere Schadsoftware. Andere Banden konnten das Botnet von den Betreibern mieten, um die Opfer etwa mit Ransomware zu infizieren und Lösegeld zu erpressen.
Auf einer Webseite können Nutzer prüfen, ob ihre Mailadressen betroffen sind
Europol schreibt, es sei den Ermittlern nun gelungen das Botnetz "von innen" zu übernehmen. Die mit Emotet verseuchten Rechner würden nun auf Kommandoserver der Behörden umgeleitet. Bei ihren Ermittlungen hätten die niederländischen Behörden zudem ein Liste mit E-Mail-Adressen, Nutzernamen und Passwörtern gefunden. Auf einer Webseite können Nutzer nun überprüfen, ob ihre E-Mail dabei war. Die Seite ist zwar auf niederländisch, interessierte Nutzer müssen jedoch nur ihre E-Mail-Adresse in das vorgesehene Feld am Ende der Seite eintragen. Nur wenn diese betroffen war, bekommt der Inhaber eine Mail der niederländischen Polizei.
Die ukrainischen Behörden meldeten im Zusammenhang mit den Ermittlungen die Festnahme zweier Personen, die für den Betrieb der Infrastruktur von Emotet verantwortlich gewesen sein sollen. Die ukrainische Polizei veröffentlichte ein Video von der Durchsuchung bei den Verdächtigen. Dabei sind offenbar große Mengen Bargeld sichergestellt worden.
Erst in einigen Tagen wird sich zeigen, ob das Emotet-Netzwerk tatsächlich nicht mehr funkt. IT-Sicherheitsexperten sind noch skeptisch, ob sich die optimistischen Voraussagen der Behörden bewahrheiten. "Es ist noch unklar, welche Auswirkungen die Maßnahmen langfristig bringen werden", sagt etwa Sherrod DeGrippo, die bei der IT-Sicherheitsfirma Proofpoint für Emotet zuständig ist. "Strafverfolgungsmaßnahmen hatten in der Vergangenheit unterschiedlich starke Auswirkungen auf die Technologie und die Betreiber dieser groß angelegten Botnets", so DeGrippo.
Es wäre nicht das erste Mal, dass Ermittler sich zu früh über "einen entscheidenden Schlag" gegen ein großes Botnetz freuen. Im Oktober 2020 hatte etwa Microsoft verkündet, das Botnetz Trickbot entscheidend gestört zu haben. Doch nur wenige Tage später erstand das Botnetz wieder auf.
