#Das Ende von Emotet

Emotet – dieser Name löste in den vergangenen Jahren unter zahlreichen Internetnutzern, Unternehmen und Behörden Angst aus. Der von vielen Fachleuten als „gefährlichste Schadsoftware der Welt“ bezeichnete Trojaner befiel das Kammergericht Berlin, die Bundesanstalt für Immobilienaufgaben, die Stadtverwaltung von Frankfurt, Universitäten und Krankenhäuser. Nach den Worten vom Präsidenten des Bundeskriminalamts (BKA), Holger Münch, verursachte Emotet allein in Deutschland einen bekanntgewordenen Schaden von 14,5 Millionen Euro. „Und das ist nur ein Ausschnitt“, sagte er.

Nun ist die Gefahr, die von Emotet ausgeht, weitgehend gebannt: Eine internationale Allianz von Strafverfolgungsbehörden hat mitgeteilt, unter maßgeblicher Mitarbeit deutscher Ermittler die Infrastruktur von Emotet übernommen und zerschlagen zu haben.

„Wir haben es nicht nur geschafft, ein Stück der Infrastruktur zu zerstören, sondern wir können sicherstellen, dass Emotet unbrauchbar gemacht wurde“, sagte Benjamin Krause der F.A.Z. Er ist Sprecher der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) bei der Generalstaatsanwaltschaft Frankfurt, die zusammen mit dem BKA auf deutscher Seite die Ermittlungen führte.

Der Zugriff, der die Ermittler zum Erfolg führte, fand demnach in der Ukraine statt: Dort befand sich einer der sogenannten „Command & Control“-Server, über die Hacker das Schadprogramm steuerten. Ermittler des BKA und ein Staatsanwalt der ZIT waren vor Ort, als ukrainische Ermittler diesen Server sicherstellten, berichtete Krause.

Über diesen Server waren die Ermittler in der Lage, die Kontrollinfrastruktur von Emotet zu übernehmen. Das ermöglichte ihnen zwei Dinge: Einerseits erfuhren sie, welche Rechner auf der ganzen Welt mit Emotet infiziert wurden, sodass sie in der Lage waren, die Opfer zu warnen. Andererseits gelang es ihnen aber auch, die Schadsoftware auf den betroffenen Computern umzuprogrammieren, sodass diese nun keine Befehle mehr von kriminellen Servern, sondern nur noch von Strafverfolgungsbehörden annimmt.

Auf den Systemen der Opfer wurde Emotet zudem in Quarantäne verschoben, sodass sie keinen Schaden mehr anrichten kann. Gelöscht wurde die Schadsoftware dort aber zunächst nicht. Grund dafür war, dass man aus ihr noch Beweise sichern wollte, wie Krause sagte.

Die Suche den Tätern geht weiter

Diese Beweise dürften vor allem für die Suche nach den Tätern relevant sein. Denn zumindest in Deutschland gab es bislang keine Festnahmen, sagte Krause weiter. Es wurden allerdings eine Reihe von Servern beschlagnahmt. Deutschland sei ein „Infrastruktur-Land“ für Emotet gewesen. Neben der Ukraine wurden zudem in den Niederlanden und Litauen weitere Server sichergestellt. Die hierzulande beschlagnahmten Computer waren demnach großenteils kompromittierte Server von Unternehmen und Privatpersonen, welche die kriminelle Software von ihren eigentlichen Besitzern unbemerkt verteilten. Der Verdacht laute, dass eine „Tätergruppierung“ hinter Emotet stehe. „Die Ermittlungen laufen noch international“, sagte Krause.