Emotet, der »König der Schadsoftware«, ist tot, vorerst zumindest. Die Bezeichnung stammt von Arne Schönbohm, dem Präsidenten des Bundesamts für Sicherheit in der Informationstechnik (BSI). Er hatte damit einen Trojaner geadelt, der im Laufe der Jahre zur gefürchtetsten Schadsoftware der Welt geworden ist.

Allein in Deutschland hat Emotet Gerichte, Stadtverwaltungen, Krankenhäuser und Unternehmen lahmgelegt oder weiteren Schadprogrammen den Weg in die betroffenen Systeme geöffnet und damit Schäden in Millionenhöhe angerichtet: Weltweit gilt Emotet als erfolgreicher Türöffner für viele Ransomware-Infektionen, in deren Verlauf große und kleine Unternehmen um Lösegeld erpresst wurden. Die Betreiber boten diesen Türöffnerservice anderen kriminellen Gruppen auf Mietbasis an.

Nun aber haben unter anderem Ermittler des Bundeskriminalamtes (BKA) und der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) der Generalstaatsanwaltschaft Frankfurt am Main Emotet ausgeschaltet, im wahrsten Sinne des Wortes.

In »einer international konzertierten Aktion mit Strafverfolgungsbehörden aus den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA«, heißt es in der Pressemitteilung, wurde »die Infrastruktur der Schadsoftware Emotet mit Unterstützung von Europol und Eurojust übernommen und zerschlagen«.

Zweieinhalb Jahre haben die Ermittlungen von BKA und ZIT gegen die Betreiber von Emotet gedauert, bis es zu diesem Schlag kam. Dabei wurden zunächst in Deutschland und dann in mehreren weiteren Ländern die Command-and-Control-Server identifiziert, über die Emotet gesteuert wurde. Allein in Deutschland wurden nun 17 Server beschlagnahmt, weltweit waren es Europol zufolge  Hunderte.

Ermittler leiteten Datenverkehr um

In der Ukraine übernahmen die Strafverfolger bei einem der mutmaßlichen Betreiber zunächst die Kontrolle über die Emotet-Infrastruktur. Dadurch, heißt es in der Pressemitteilung, »war es möglich, die Schadsoftware auf betroffenen deutschen Opfersystemen für die Täter unbrauchbar zu machen«. Das heißt: Dort, wo Emotet bereits in ein System eingedrungen war, wurde die Malware so verschoben, dass sie keinen Schaden mehr anrichten kann. Zudem konnte sie nur noch mit Servern kommunizieren, die zur Beweissicherung betrieben wurden.

Technische Unterstützung erhielten die Behörden dabei von der Firma G Data CyberDefense, bei der man nun davon ausgeht, »dass ein Großteil der Infrastruktur« lahmgelegt ist. Die Operation sei ein »massiver Schlag« gewesen.

Allerdings ist es möglich, dass der »König der Schadsoftware« ein Vermächtnis hinterlassen hat: Falls Emotet auf den infizierten Systemen rechtzeitig weitere Schadsoftware nachgeladen hat, wäre die weiterhin aktiv.

Selbst Sicherheitsexperten, die Emotets Aktivitäten genau verfolgen, wurden von dem Schlag der Behörden überrascht. Unter dem Namen »Cryptolaemus« hatten sich 2018 mehrere Spezialisten von verschiedenen Unternehmen und Organisationen zusammengetan, um so viele Informationen über Emotet zu sammeln wie möglich und damit IT-Administratoren zu helfen, ihre Systeme frei von Emotet zu halten oder Infektionen zumindest frühzeitig zu erkennen. In den Statusmeldungen der Gruppe vom Montag  heißt es: »Interessanter Start in die Woche.« Zunächst habe man eine normale Welle von Spammails beobachtet, über die Emotet verbreitet wird. »Dann hörte es ganz plötzlich auf. Wir wissen nicht, was passiert ist, ob es ein technisches Problem oder etwas anderes ist.«

Vorerst bleiben einige Fragen offen: Werden die Emotet-Betreiber nun eine neue Infrastruktur aufbauen, und wie lange bräuchten sie dafür? Bisher haben sie sich als einfallsreich und agil erwiesen. Und schon der Fall Trickbot hat gezeigt, dass die Abschaltung von Infrastruktur nicht zwingend das Ende einer kriminellen Gruppe bedeutet: US-Behörden und auch Microsoft hatten im Oktober bekannt gegeben, die Infrastruktur des Banking-Trojaners lahmgelegt zu haben. Aber nur einen Monat später  war Trickbot wieder aktiv. Sherrod DeGrippo vom IT-Sicherheitsunternehmen Proofpoint findet es daher »schwierig zu beurteilen, welche Auswirkungen die jetzt erfolgten Maßnahmen langfristig bringen werden«. Aber wenn man bedenke, »dass es sich um eine Aktion gegen die Backend-Infrastruktur des Emotet-Botnets handelt, könnte dies wirklich das Ende bedeuten«.

Oberstaatsanwalt Benjamin Krause von der ZIT sagte dem SPIEGEL: »Unser Ziel war es, die Infrastruktur dauerhaft abzuschalten.« Auch bei G Data heißt es, ein Neuaufbau würde zumindest Zeit und Geld kosten.

Ob ein Vorgehen gegen die Betreiber selbst, deren Gruppe »Mummy Spider« genannt wird, näher rückt, ist ebenfalls unklar. Die ukrainische Polizei hat im Rahmen der Operation zwei Männer festgenommen, »die das ordnungsgemäße Funktionieren der Infrastruktur für die Verbreitung des Virus sicherstellten und dessen reibungslosen Betrieb unterstützten«, wie die Behörde mitteilte . Von der Razzia gibt es auch ein Video .