{
	"id": "f602d259-3f21-4b15-a6f3-d2b14537d3a0",
	"created_at": "2026-04-06T00:18:56.991284Z",
	"updated_at": "2026-04-10T03:20:02.803359Z",
	"deleted_at": null,
	"sha1_hash": "0f320274312bf9c6ef2ca84d259d2c9023185491",
	"title": "Was Emotet anrichtet – und welche Lehren die Opfer daraus ziehen",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 71057,
	"plain_text": "Was Emotet anrichtet – und welche Lehren die Opfer daraus\r\nziehen\r\nBy Christian Wölbert\r\nPublished: 2020-03-02 · Archived: 2026-04-05 19:58:53 UTC\r\n1. Was Emotet anrichtet – und welche Lehren die Opfer daraus ziehen\r\nDer Malware-König\r\nDurchschlagskräftige Spam-Mails\r\nScanner-Versagen\r\nKatz- und Maus-Spiel\r\nGezielte Verschlüsselung\r\nAlles aus: Systeme herunterfahren\r\nZurück auf Los: Neue Infrastruktur\r\nAchtstellige Lösegelder\r\nNeustädter Lehren\r\nNiemals wirklich sicher\r\nAm Morgen des 6. September 2019 bemerkte ein Mitarbeiter der IT-Abteilung der Stadtverwaltung von Neustadt\r\nam Rübenberge etwas Seltsames. Sein Monitor zeigte ihm eine extrem hohe Auslastung der Server im\r\nRechenzentrum der Kommune – obwohl keine Tests oder Wartungsarbeiten anstanden. Es könnte Schadsoftware\r\nam Werk sein, folgerte der Mitarbeiter. Sicherheitshalber fuhr er die Server sofort herunter.\r\nDoch da war es längst zu spät. Schon am Vorabend oder in der Nacht hatten Unbekannte damit begonnen, die\r\nServer der Verwaltung der niedersächsischen 45.000-Einwohner-Stadt zu verschlüsseln. Mails und Formulare,\r\nFlächennutzungspläne und Bauzeichnungen, die Hochzeitstermine des Standesamts und Elterngeldanträge – der\r\neingeschleuste Kryptotrojaner machte vor nichts Halt.\r\nEin halbes Jahr später berichtet Maic Schillack, Erster Stadtrat und Stellvertreter des Bürgermeisters, von dem\r\nMoment, als seine Mitarbeiter ihn informierten. „Das Schlimmste für mich als Kämmerer war, dass die Daten der\r\nBuchhaltungssoftware verschlüsselt wurden“, sagt er. „Darunter 220.000 digitale Steuerakten und 350.000\r\nAdressen von Debitoren und Kreditoren.“\r\nDer Malware-König\r\nEmotet ist eines der zerstörerischsten – man könnte auch sagen: erfolgreichsten – Schadprogramme der IT-Geschichte. Viele Betroffene fahren alle Server und PCs herunter, schicken Mitarbeiter nach Hause, stellen ihre\r\nDienstleistungen oder die Produktion ein. Die Schadenssumme geht dann schnell in die Millionen. Aus Sicht von\r\nArne Schönbohm, Chef des Bundesamts für Sicherheit in der Informationstechnik (BSI), ist Emotet deshalb „der\r\nKönig der Schadsoftware“.\r\nhttps://www.heise.de/ct/artikel/Was-Emotet-anrichtet-und-welche-Lehren-die-Opfer-daraus-ziehen-4665958.html\r\nPage 1 of 6\n\nAllein in Deutschland wurden in den vergangenen beiden Jahren Dutzende verheerende Fälle bekannt. Im\r\nNovember 2018 schaltete das Klinikum Fürstenfeldbruck nach einer Emotet-Infektion alle 450 Rechner im Haus\r\nab und meldete sich bei der Rettungsleitstelle ab. Im September 2019 ging das Berliner Kammergericht offline, im\r\nDezember die Uni Gießen. Beide arbeiten immer noch am Neuaufbau ihrer IT. Auch die Medizinische Hochschule\r\nHannover, die Katholische Hochschule Freiburg, die Stadtverwaltung von Frankfurt am Main und viele weitere\r\nwurden infiziert.\r\nDie Fälle bei Behörden und Hochschulen bilden nur die Spitze des Eisbergs. Laut BSI wurden allein binnen\r\nweniger Tage im September „mehrere tausend E-Mail-Konten von Unternehmen und Bürgern“ durch Emotet\r\nkompromittiert und für den Spam-Versand missbraucht. Es hat also auch viele Firmen erwischt – die aber nicht\r\ndavon berichten, wohl aus Sorge um ihre Reputation und aus Angst vor weiteren Angriffen.\r\nZu den wenigen Firmen, die ihre Erfahrungen publik gemacht haben, gehört Heise. Im Mai 2019 traf Emotet die\r\nHeise Gruppe, das Mutter-Unternehmen des c’t-Verlags Heise Medien. Es ging einigermaßen glimpflich aus: Die\r\nFirma wurde nicht komplett lahmgelegt, es wurden keine Daten verschlüsselt [1]. Massivere Schäden richtete\r\nEmotet in Neustadt an. Der Fall eignet sich deshalb, um beispielhaft zu erzählen, warum der Trojaner so schwer\r\nzu stoppen ist, welche Folgen der Befall haben kann – und welche Lehren sich daraus ziehen lassen.\r\nDer Begriff Emotet\r\nIm Jahr 2014 entdeckte die Sicherheitsfirma Trendmicro ein neues Schadprogramm, das sie auf den Namen\r\nEmotet taufte. Kriminelle spähten mit der Software damals Bank-Zugangsdaten aus. Mittlerweile dient Emotet\r\njedoch vor allem als „Dropper“, er lädt also weitere Schadprogramme nach. Typischerweise sind das Trickbot und\r\nder Verschlüsselungstrojaner Ryuk.\r\nEmotet gelangt in der Regel über Spam-Mails auf Rechner, entweder durch ein Office-Dokument mit Makros im\r\nAnhang oder über einen Download-Link. Manchmal wird der Begriff Emotet auch verwendet, um das\r\nGesamtsystem aus Spam-Mails, Anhängen oder Download-Links und dem eigentlichen Schadprogramm zu\r\nbeschreiben.\r\nDurchschlagskräftige Spam-Mails\r\nMaic Schillack weiß zwar nicht, auf welchem Wege die Stadtverwaltung von Emotet befallen wurde.\r\nWahrscheinlich ist aber, dass ein Mitarbeiter eine gefälschte E-Mail mit einem verseuchten Office-Dokument (z.\r\nB. .doc) im Anhang erhalten hat. Das war laut den Analysen von Antiviren-Firmen und Sicherheitsbehörden\r\nzumindest bislang die typische Angriffsmethode der Emotet-Gangster. Öffnet jemand das Dokument und folgt der\r\nAufforderung, Makros zu aktivieren, nimmt das Unheil seinen Lauf.\r\nWas Emotet so mächtig macht, ist die perfide Aufmachung der Mails. Sie stammen aus Sicht des Empfängers\r\noffenbar von einer tatsächlich existierenden Kontaktperson und zitieren einen realen Mailwechsel zwischen dem\r\nEmpfänger und dieser Person. Im Fall von Heise wurde ein Mitarbeiter scheinbar von einem Geschäftspartner\r\naufgefordert, Daten in einem angehängten Dokument auf Aktualität zu prüfen. So schafft es Emotet, auch\r\nvorsichtige Menschen zum Öffnen des Anhangs zu bewegen.\r\nhttps://www.heise.de/ct/artikel/Was-Emotet-anrichtet-und-welche-Lehren-die-Opfer-daraus-ziehen-4665958.html\r\nPage 2 of 6\n\nDie erstaunlich echt wirkenden Mails werden nicht mühsam von Hand gefälscht, sondern automatisch und\r\nmassenweise. „Emotet ist in der Lage, Outlook-Konversationen (Kontaktbeziehungen und Mailinhalte) auszulesen\r\nund so automatisiert sehr authentische Spam-Mails zur Erstinfektion zu generieren“, erklärt das BSI. Emotet\r\nverbindet also die Durchschlagskraft von Social Engineering mit der Breitenwirkung einer Spam-Kampagne –\r\nFachleute sprechen von Dynamit-Phishing.\r\nScanner-Versagen\r\nEin weiterer wesentlicher Faktor: Virenscanner konnten die Infektionen zumindest bislang oft nicht verhindern. In\r\nNeustadt hätten die Scanner zwar – rund sechs Monate vor dem Verschlüsselungs-GAU – auf einigen\r\nArbeitsplatzrechnern Alarm geschlagen, erinnern sich Stadtrat Maic Schillack und der Leiter der IT-Abteilung,\r\nTobias Niemeyer. Nach dem Neuaufsetzen der PCs habe es aber bei mehreren Vollscans keinen Alarm mehr\r\ngegeben. Die Antiviren-Software sei stets aktuell gewesen.\r\nDas erinnert an die Vorgänge bei Heise. Hier hatten die Virenwächter an einem Montag zwar einen Angriff\r\ngemeldet, nach oberflächlichen Reinigungen schien aber wieder alles in bester Ordnung zu sein – bis Emotet zwei\r\nTage später plötzlich Verbindungen zu Kontrollservern aufbaute. Die AV-Software hatte also anscheinend auf\r\neinigen befallenen Systemen nicht angeschlagen oder Teile der Schadsoftware nicht als solche erkannt.\r\nIm Berliner Kammergericht hat AV-Software von McAfee offenbar auf ganzer Linie versagt. „Diese hat Malware,\r\ndie zum Zeitpunkt der Infektion bereits bekannt war, nicht erkannt“, stellte T-Systems in einer von der Berliner\r\nJustiz veröffentlichten Analyse fest.\r\nEine Erklärung hat Andreas Marx, Chef des Magdeburger Antiviren-Testlabors AV-Test. „Die Macher hinter\r\nEmotet \u0026 Co. prüfen ihre neuen Kreationen immer gegen alle gängigen Virenscanner“, sagt er. Die Gangster\r\nberücksichtigten dabei sowohl die statischen Signaturen der Scanner als auch ihre dynamische\r\nErkennungsmethoden.\r\nKatz- und Maus-Spiel\r\nHaben die Emotet-Macher einen Weg gefunden, populäre Antiviren-Software auszutricksen, feuern sie eine Salve\r\nMails ab. Die Antiviren-Hersteller aktualisieren dann meist binnen weniger Tage ihre Programme – und das Katz-und Maus-Spiel beginnt wieder von vorn. Zum Beispiel verzichteten die Kriminellen im Dezember plötzlich auf\r\nDateianhänge und setzten stattdessen Download-Links in die Mails.\r\nNach der Infektion lädt Emotet meistens weitere Schadsoftware nach. „Emotet ist nur der Ursprung allen Übels,\r\ndie enorme Schadenswirkung wird durch ein schrittweises Vorgehen der Täter erreicht“, erklärt das BSI.\r\nTypischerweise wird zunächst das Tool Trickbot eingesetzt. Dieses kann unter anderem Zugangsdaten ausspähen\r\nund sich weitgehend automatisiert im Opfer-Netzwerk ausbreiten. (Im Artikel ab Seite 18 schildern wir den\r\nProzess detaillierter.)\r\nIm nächsten Schritt schauen die Gangster sich aus der Ferne bei ihrem Opfer um: Um was für eine Organisation\r\nhandelt es sich? Wie hoch ist der Jahresumsatz? Wo befinden sich die wichtigsten Daten und Backups?\r\nAnschließend entscheiden sie, wie sie das meiste aus ihrer Geisel herausholen. Sie können zum Beispiel Daten\r\nverschlüsseln oder mit Veröffentlichungen drohen, um Lösegelder zu erpressen. Sie können aber auch heimlich\r\nhttps://www.heise.de/ct/artikel/Was-Emotet-anrichtet-und-welche-Lehren-die-Opfer-daraus-ziehen-4665958.html\r\nPage 3 of 6\n\nKryptowährungen auf den Systemen schürfen – oder den Zugang an andere Kriminelle verkaufen. „Das\r\nfunktioniert wie bei einem geklauten Auto. Der Dieb kann es eine Weile selbst fahren, es weiterverkaufen oder\r\nausschlachten“, sagt AV-Test-Chef Marx.\r\nWer steckt hinter Emotet?\r\nDas Bundesamt für Sicherheit in der Informationstechnik (BSI) ist davon überzeugt, dass „die Entwickler von\r\nEmotet ihre Software und ihre Infrastruktur an Dritte untervermieten“. Diese setzten dann weitere Schadsoftware\r\nwie Trickbot und Ransomware ein, um „ihre eigenen Ziele zu verfolgen“. Die Motivation sei in der Regel\r\nfinanzieller Natur. Das BSI geht also von Cyberkriminalität aus, nicht von Spionage.\r\nZur spannenden Frage, aus welchem Land oder aus welchen Ländern die Emotet-Entwickler und die Angreifer\r\nkommen, äußert sich das BSI nicht. Auch aus den Strafverfolgungsbehörden sind dazu bislang keine Erkenntnisse\r\nnach außen gedrungen. Es kursieren lediglich Gerüchte, in denen von Osteuropa oder Russland die Rede ist.\r\nMalware-Experte Andreas Marx von der Firma AV-Test betont jedoch: „Es gibt viele Vermutungen, aber eine\r\nAttribution ist nicht seriös möglich.\r\nGezielte Verschlüsselung\r\nIm Fall von Neustadt haben die Gangster – wie in vielen anderen Fällen – den Verschlüsselungstrojaner Ryuk\r\neingesetzt. Stadtrat Schillack und IT-Mann Niemeyer wissen das, weil am Morgen des 6. September eine HTML-Datei mit dem Schriftzug „Ryuk“ und zwei E-Mail-Adressen auf dem Bildschirm eines Arbeitsplatzrechners\r\nerschien, eine Art Bekennerschreiben der Cybergangster.\r\nSchillack und seine Mitarbeiter versuchten als Erstes, den Schaden zu begrenzen: Alle Angestellten der Stadt\r\nwurden mündlich angewiesen, ihre Rechner herunterzufahren und auf keinen Fall wieder einzuschalten.\r\nGleichzeitig forderte die Verwaltung externe Partner telefonisch auf, keine Mails der Neustädter zu öffnen und\r\nselbst nach Schadprogrammen zu suchen. Schillack ließ außerdem die Konten der Stadt sperren und informierte\r\ndie Polizeibehörden und die Landesbeauftragte für den Datenschutz.\r\nBeamte des Landeskriminalamtes und der Polizei trafen noch am selben Morgen in Neustadt ein und begannen\r\nmit der Analyse, um die Schadsoftware zu identifizieren und das Ausmaß der Verschlüsselung einzuschätzen.\r\nDie gute Nachricht: Es gab noch ein unverschlüsseltes, nur 24 Stunden altes Backup der Buchhaltungsdaten.\r\nAllerdings erfuhren Schillack und Niemeyer auch viele schlechte Neuigkeiten. Der Trojaner hatte zahlreiche\r\nandere Datenbanken sowie einige Backups verschlüsselt. Auf dem zentralen Fileserver der Stadt wurden etwa\r\n550.000 Dateien verschlüsselt, etwa 830.000 blieben verschont.\r\nAlles aus: Systeme herunterfahren\r\nDie Stadtverwaltung musste nun eine weitreichende Entscheidung treffen: Sollte sie die offenkundig verseuchten\r\nRechner und Server reinigen und den Rest weiterlaufen lassen? Oder sollte sie sicherheitshalber alle Systeme\r\nherunterfahren und neu aufsetzen?\r\nSchillack und Niemeyer entschieden sich nach Rücksprache mit dem BSI und früheren Emotet-Opfern für die\r\nzweite Option. Nur so habe man ausschließen können, dass die Malware sich irgendwo versteckt und erneut\r\nhttps://www.heise.de/ct/artikel/Was-Emotet-anrichtet-und-welche-Lehren-die-Opfer-daraus-ziehen-4665958.html\r\nPage 4 of 6\n\nausbreitet, sagen die beiden.\r\nDamit war die Stadtverwaltung von Neustadt mit ihren rund 560 Mitarbeitern weitgehend lahmgelegt. Fast alle\r\nBürgerdienste – von der Ausstellung der Geburtsurkunde über die Ehe-Anmeldung bis zur Übernahme von\r\nBestattungskosten – mussten vorerst eingestellt werden. Die Verwaltung konnte auch keine Zahlungen mehr\r\nleisten. Deshalb mussten zum Beispiel Familien vorerst auf Elterngeld und damit auf einen großen Teil ihres\r\nEinkommens verzichten.\r\nAuch in anderen Emotet-Fällen haben sich die Verantwortlichen für die Abschaltung und einen weitgehenden\r\nNeuaufbau entschieden – zum Beispiel am Kammergericht Berlin. Immer wieder kommt es zum Totalausfall\r\nkompletter IT-Infrastrukturen, zu Produktionsstillständen oder der Nichtverfügbarkeit von Dienstleistungen fasst\r\ndas BSI zusammen.\r\nZurück auf Los: Neue Infrastruktur\r\nSchillack und Niemeyer versuchten nun, die Ausfallzeit zu minimieren. Für den Neuaufbau rekrutierten sie\r\nVerstärkung von einem kommunalen IT-Dienstleister und einem privaten Systemhaus. Zusammen mit eigenen IT-Leuten hatten sie nun etwa 30 ITler vor Ort. Ein Team baute die Infrastruktur neu auf, richtete Server und Netze\r\nwieder ein. Das zweite Team lief von Büro zu Büro und setzte die insgesamt rund 300 Arbeitsplatzrechner neu\r\nauf.\r\nEs dauerte eine Woche, bis die Verwaltungsmaschinerie langsam wieder in Tritt kam. Zuerst nahmen die\r\nMeldebehörde und das Standesamt die Arbeit wieder auf, danach folgten Schritt für Schritt weitere Abteilungen.\r\nDie ungeplanten Mehrausgaben für den IT-Neuaufbau schätzt Schillack auf 100.000 bis 150.000 Euro.\r\n„Mittlerweile sind wir zu 95 Prozent wieder einsatzfähig“, sagt er Ende Januar gegenüber c’t. Alle Anwendungen\r\nfür Bürgerdienste liefen wieder. Viele verschlüsselte Dateien habe man aus sauberen Backups oder von externen\r\nPartnern wieder eingespielt. Anderes habe man notgedrungen neu erstellt, etwa die Pläne für ein Neubaugebiet.\r\nAchtstellige Lösegelder\r\nEventuell wird die Stadtverwaltung sich dann noch mit einem besonders heiklen Thema auseinandersetzen\r\nmüssen: Die Emotet-Gangster haben Neustadt angeboten, verschlüsselte Daten gegen Lösegeld wieder zu\r\nentschlüsseln. Anders gesagt: Sie erpressen die Stadt.\r\nDie Stadtverwaltung verrät nicht, wie die Lösegeldforderung präsentiert wurde, wie hoch die geforderte Summe\r\nist und ob man sie notfalls zahlen würde. Sie erklärt lediglich, dass sie bislang nichts gezahlt habe. Auch das LKA\r\nNiedersachsen, das in dem Fall ermittelt, äußert sich nicht dazu.\r\nLaut BSI passen die Emotet-Macher ihre Lösegeldforderungen an den Wert der verschlüsselten Daten und an die\r\nFinanzkraft ihrer Opfer an. „Dabei wurden in Einzelfällen bis zu achtstellige Lösegelder gefordert.“ Auch das ist\r\neine Besonderheit: Bei früheren Ransomware-Kampagnen forderten die Gangster in der Regel von allen Opfern\r\ndie gleiche Summe.\r\nNeustädter Lehren\r\nhttps://www.heise.de/ct/artikel/Was-Emotet-anrichtet-und-welche-Lehren-die-Opfer-daraus-ziehen-4665958.html\r\nPage 5 of 6\n\nWelche Lehren lassen sich nun aus dem verheerenden Cyberangriff auf Neustadt ziehen? Stadtrat Schillack und\r\nIT-Chef Niemeyer legen Wert auf die Feststellung, dass die IT-Systeme der Stadt auch vorher „absolut zeitgemäß“\r\ngewesen seien. Nun achte man aber durchaus noch stärker auf Sicherheit.\r\nAuf technischer Ebene habe man zum Beispiel strengere Regeln für Mail-Anhänge eingeführt. Alte Office-Formate wie DOC sowie verschlüsselte ZIP-Dateien würden nicht mehr akzeptiert – was im Alltag immer wieder\r\nzu Diskussionen mit anderen Behörden führe, die noch DOC-Dateien versendeten, sagt Niemeyer. Das neue\r\nNetzwerk habe man zudem streng segmentiert, um Schädlingen die Ausbreitung zu erschweren. Ein\r\nSicherheitstest durch externe Experten sei geplant.\r\nAußerdem habe man wieder Bandsicherungen eingeführt: Bänder mit essenziellen Daten lägen im feuerfesten\r\nTresor der Stadt und in einem Bankschließfach. Damit könne man nach Notfällen die Grundstruktur der IT schnell\r\nwiederherstellen. Hinzu kämen wöchentliche Backups aktueller Daten auf weiteren Bändern. „Diese sind offline,\r\nalso gibt es keine Angriffsmöglichkeit“, betont Niemeyer.\r\nNiemals wirklich sicher\r\nMindestens ebenso wichtig wie die Technik ist aus seiner Sicht allerdings das Verhalten der Mitarbeiter. „Das\r\ngrößte Einfallstor in der heutigen Welt ist nicht die Technik, sondern Social Engineering.“ Die Angestellten der\r\nStadt seien nun – durch den verheerenden Emotet-Angriff – schon sehr vorsichtig geworden. „Der letzte\r\nSeptember war die ultimative Awareness-Schulung.“ Trotzdem werde man Schulungen durchführen, auch mit\r\nexternen Experten.\r\nAbsolute Sicherheit könne es trotz all dieser Maßnahmen niemals geben, betont Niemeyer. „Die Frage ist nicht, ob\r\nman befallen wird, sondern wann.“ Man müsse also auf den Notfall vorbereitet sein – und dann schnell und\r\nkonsequent handeln. „Jemand muss Entscheidungen fällen, statt um den heißen Brei herumzureden.“\r\nAuch Stadtrat Schillack hofft, dass andere aus solchen Erfahrungen aus Neustadt lernen. Außerdem ruft er\r\nbetroffene Unternehmen auf, Cyberangriffe bei der Polizei anzuzeigen. Die Ermittler gingen „sehr sensibel“ damit\r\num, betont er, und könnten nur durch Anzeigen das Verhalten der Angreifer nachvollziehen. „Entscheidend ist für\r\nmich die Frage, ob wir durch unseren Vorfall etwas verändern.“\r\nDieser Artikel stammt aus c't 6/2020. (cwo)\r\nSource: https://www.heise.de/ct/artikel/Was-Emotet-anrichtet-und-welche-Lehren-die-Opfer-daraus-ziehen-4665958.html\r\nhttps://www.heise.de/ct/artikel/Was-Emotet-anrichtet-und-welche-Lehren-die-Opfer-daraus-ziehen-4665958.html\r\nPage 6 of 6",
	"extraction_quality": 1,
	"language": "DE",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.heise.de/ct/artikel/Was-Emotet-anrichtet-und-welche-Lehren-die-Opfer-daraus-ziehen-4665958.html"
	],
	"report_names": [
		"Was-Emotet-anrichtet-und-welche-Lehren-die-Opfer-daraus-ziehen-4665958.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434736,
	"ts_updated_at": 1775791202,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/0f320274312bf9c6ef2ca84d259d2c9023185491.pdf",
		"text": "https://archive.orkl.eu/0f320274312bf9c6ef2ca84d259d2c9023185491.txt",
		"img": "https://archive.orkl.eu/0f320274312bf9c6ef2ca84d259d2c9023185491.jpg"
	}
}