Zur Zeit tobt ein Trojaner durch die Netze, der besonders perfide programmiert ist. Das “Emotet” genannte Schadprogramm sammelt zunächst Daten über seine Opfer und deren Kontakte. Dann verschickt er Mails mit einem Absender, den der Adressat kennt.

Sogar die Inhalte der Mail sehen sinnvoll aus, sie scheinen sich auf frühere Mails zu beziehen. Dann soll man ein angehängtes Word-Dokument öffnen – dieses enthält aber das Schadprogramm. Wegen dieser raffinierten Masche richtet Emotet ungewöhnlich große Schäden an. Das BSI hat eine Warnung herausgegeben. Das alles wäre halb so wild, wenn unsere Netze flächendeckend einigermaßen sinnvoll gesichert wären. Sind sie aber nicht.

Heise nimmt daher die Emotet-Seuche zum Anlass, einen Blick in die Abgründe der IT-Sicherheit zu riskieren. Das Grauen, das dort lauert, kommt uns bekannt vor. Da werden Festplatten komplett für jedermann freigegeben, Benutzer grundsätzlich mit Admin-Rechten ausgestattet und Sicherheitswarnungen stumm geschaltet. Vorhandene und erkannte Viren werden aus Zeitmangel nicht beseitigt. Da gibt es Branchensoftware, die sich zuverlässig durch ihre eigenen Sicherheits-Updates lahmlegt. Hotelgäste, die Zugriff auf die Steuerung der hauseigenen Solaranlage haben. Backups, die nie getestet werden. Gebrauchte Arzt-Rechner, die inklusive aller Patientendaten verschenkt werden. Signierte Mails, die als Spam abgelehnt werden. Passworte, die aus der Postleitzahl oder dem Geburtsdatum des Kunden bestehen.

Und solche Absurditäten findet man nicht nur bei kleinen und mittelständischen Unternehmen. Nein, wie die Faust aufs Auge passt dazu die Meldung, dass einige Banken und Versicherungen verschlüsselte PDFs und das dazugehörige Passwort kurz nacheinander an die gleiche Mail-Adresse des Kunden schicken. Das Sicherheitsniveau dieser Methode entspricht dem berühmten Schlüssel unter der Matte – nur ohne die Matte.

Und da wundern wir uns, dass die Angreifer Erfolg haben?