Emotet hatte nicht nur die PCs zehntausender Privatpersonen, sondern auch IT-Systeme von Unternehmen, Behörden und Institutionen infiziert. Das Bundeskriminalamt (BKA) nennt als Beispiele das Klinikum Fürth, das Kammergericht Berlin, die Bundesanstalt für Immobilienaufgaben (BImA) und die Stadt Frankfurt am Main. Als "Downloader" infizierte die Schadsoftware unbemerkt Opfersysteme, um weitere Malware nachzuladen - etwa zur Manipulation des Online-Bankings, zum Ausspähen von Passwörtern oder zum Verschlüsseln des Systems zu Erpressungszwecken (Ransomware).
Laut BKA konnte die Nutzung des Botnet zusammen mit der Nachladefunktion von beliebiger Schadsoftware im Darknet gekauft werden. Deshalb könne man das kriminelle Geschäftsmodell von Emotet auch als "Malware-as-a-Service" bezeichnen. Vielen Kriminellen habe Emotet die Grundlage für zielgerichtete Cyber-Angriffe geboten. Allein in Deutschland sei durch Infektionen mit der Malware und durch nachgeladene Programme ein Schaden in Höhe von mindestens 14,5 Millionen Euro verursacht worden.
Schon seit August 2018 ermittelten die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) der Generalstaatsanwaltschaft Frankfurt am Main und das BKA gemeinsam gegen die Betreiber der Schadsoftware und des Emotet-Botnet. Es lag der Verdacht des "gemeinschaftlichen gewerbsmäßigen Computerbetruges und anderer Straftaten" vor. Zunächst wurden in Deutschland verschiedene Server identifiziert, mit denen die Schadsoftware verteilt und die Opfersysteme mittels verschlüsselter Kommunikation gesteuert wurden. Doch nach umfangreichen Datenanalysen entdeckte das Ermittlerduo weitere Server in mehreren europäischen Staaten. Auf dem Wege internationaler Rechtshilfe erhielten BKA und ZIT weitere Daten und konnten so, unterstützt durch internationale Partnerdienststellen, die Emotet-Infrastruktur immer weiter aufdecken.
17 Server in Deutschland beschlagnahmt
Am Dienstag (26. Januar 2021) erfolgte dann in einer international koordinierten Strafverfolgungsaktion der "Takedown". Beamte des BKA und Staatsanwälte der ZIT haben dabei in Deutschland bisher 17 Server beschlagnahmt. Auf Ersuchen der deutschen Strafverfolgungsbehörden wurden weitere Server in den Niederlanden, in Litauen und in der Ukraine einkassiert. Durch dieses von Europol und Eurojust koordinierte Vorgehen ist es laut BKA gelungen, den Zugriff der Täter auf die Emotet-Infrastruktur zu unterbinden. Zudem konnten umfangreiche Beweismittel gesichert werden. Außerdem konnte bei einem der mutmaßlichen Betreiber in der Ukraine die Kontrolle über die Emotet-Infrastruktur übernommen werden.
Wie das BKA berichtet, ist es mit der Kontrolle über die Emotet-Infrastruktur gelungen, die Schadsoftware auf infizierten deutschen Rechnern für die Täter unbrauchbar zu machen. Die Malware auf den Opfersystemen wurde in Quarantäne verschoben und die Kommunikationsparameter der Schadsoftware wurden so angepasst, dass die Opfersysteme nun mit einer Infrastruktur kommunizieren, die zur Beweissicherung eingerichtet wurde. Die so erlangten Informationen über die Opfersysteme - zum Beispiel öffentliche IP-Adressen - werden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) übermittelt.
BSI benachrichtigt Netzbetreiber, diese dann die Kunden
Das BSI benachrichtigt die für die übermittelten IP-Adressen zuständigen Netzbetreiber in Deutschland. Provider werden gebeten, ihre betroffenen Kunden entsprechend zu informieren. Weiterhin stellt das BSI Informationen zur Bereinigung betroffener Systeme zur Verfügung.
BSI-Präsident Arne Schönbohm lobte die gelungene Zerschlagung der Emotet-Infrastruktur, die das BSI vor knapp drei Jahren noch als "König der Schadsoftware" bezeichnet hatte. "Seitdem haben wir immer wieder eindringlich vor der Gefährdung durch Emotet gewarnt und auf die teils erheblichen Folgen für Unternehmen, Behörden, Institutionen und nicht zuletzt auch für die Bürgerinnen und Bürger hingewiesen", lässt sich Schönbohm in einer Mitteilung zitieren.
Er verweist auf die lange Liste der Geschädigten: "Krankenhäuser mussten ihren medizinischen Betrieb einstellen, Gerichte und Stadtverwaltungen wurden lahmgelegt, unzählige Unternehmen hatten keinen Zugriff auf ihre wichtigen Geschäftsdaten und digitalen Prozesse." Auch Zehntausende Rechner von Privatpersonen seien mit Emotet infiziert worden, mit der Folge, dass das Online-Banking manipuliert oder Passwörter ausspioniert werden konnten. "Umso mehr freue ich mich, dass die gemeinsame, internationale durchgeführte Aktion der Behörden nach intensiver Vorbereitung den erhofften Erfolg gebracht hat und dieser empfindliche Schlag gegen die international organisierte Cyber-Kriminalität gelungen ist."
Schönbohm bestätigte, dass das BSI "in bewährter Zusammenarbeit mit Providern in Deutschland" die Betroffenen informiere, damit diese ihre infizierten Computer und Laptops bereinigen könnten. "Daher rufe ich alle Bürgerinnen und Bürger auf: Wenn Sie Informationen Ihres Providers über eine Emotet-Infektion Ihrer Systeme erhalten, nehmen Sie diese bitte ernst. Bereinigen Sie Ihre Systeme!" Opfer von Emotet hätten vermutlich auch andere Schadsoftware auf ihren Rechnern. Hilfestellungen zur Desinfektion gibt das BSI mit zahlreichen Empfehlungen und Checklisten auf der Webseite www.bsi-fuer-buerger.de.