← Alle Schadenbeispiele

Emotet – das BKA nennt ihn die 'gefährlichste Malware der Welt

von freeze4me.com · 2026-03-23
Emotet Trojaner TrickBot Ryuk E-Mail Phishing BKA

Emotet kapert echte E-Mail-Verläufe und antwortet Deinen Kollegen in Deinem Namen. Was als harmlose Antwort-Mail beginnt, endet mit Ransomware.

Der Vorfall

Im Dezember 2018 warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) öffentlich vor Emotet und nannte ihn eine der größten Bedrohungen durch Schadsoftware weltweit. Das Bundeskriminalamt (BKA) ging noch weiter: Emotet sei die „gefährlichste Malware der Welt".

Die Zahlen belegen diese Einschätzung. Allein in Deutschland verursachte Emotet zwischen 2018 und 2021 Schäden in dreistelliger Millionenhöhe. Das Berliner Kammergericht – eines der höchsten Gerichte Deutschlands – wurde im September 2019 so schwer getroffen, dass es monatelang vom Netz genommen werden musste. Die komplette IT-Infrastruktur musste neu aufgebaut werden. Die Kosten: über eine Million Euro, der Arbeitsausfall: unbezifferbar.

Die Medizinische Hochschule Hannover, die Stadtverwaltung Frankfurt am Main, das Klinikum Fürth, die Universität Gießen – die Liste der Opfer allein in Deutschland ist lang. Weltweit geht das FBI davon aus, dass Emotet für Schäden von über 2,5 Milliarden US-Dollar verantwortlich war.

Im Januar 2021 gelang Europol in einer koordinierten Aktion mit Strafverfolgungsbehörden aus acht Ländern die Zerschlagung der Emotet-Infrastruktur. Über 700 Command-and-Control-Server wurden übernommen. Doch bereits Ende 2021 tauchte Emotet erneut auf – wiederaufgebaut von Grund auf.

Wie der Angriff funktionierte

Emotet war kein gewöhnlicher Trojaner. Er war ein modulares Malware-Framework, das sich über Jahre weiterentwickelte und perfektionierte. Sein gefährlichstes Merkmal: das sogenannte E-Mail-Thread-Hijacking.

Stufe 1 – Die perfekte Phishing-Mail: Emotet stahl auf infizierten Rechnern nicht nur Zugangsdaten, sondern auch komplette E-Mail-Verläufe aus Outlook. Diese echten Konversationen nutzte er, um täuschend echte Antwort-Mails zu erzeugen. Stell Dir vor, Du erhältst eine Antwort auf eine E-Mail, die Du letzte Woche an Deinen Kollegen geschickt hast – mit dem korrekten Betreff, dem zitierten Originaltext und einer Formulierung wie „Anbei die gewünschten Unterlagen". Im Anhang: ein Word-Dokument mit Makros.

Stufe 2 – Der Dropper: Wenn Du das Word-Dokument öffnest und die Makros aktivierst – was viele tun, weil die Mail ja von einem bekannten Kontakt zu stammen scheint –, lädt das Makro den eigentlichen Emotet-Loader herunter. Dieser ist klein, unauffällig und dient nur einem Zweck: sich auf dem System einzunisten und Kontakt zum Command-and-Control-Server aufzunehmen.

Stufe 3 – Modularität und Nachladen: Hier wird es richtig gefährlich. Emotet selbst richtet zunächst wenig Schaden an. Er ist ein Türöffner. Über die C2-Verbindung lädt er zusätzliche Module nach – je nachdem, was die Betreiber auf Deinem System tun wollen. Typische Module waren:

  • Outlook-Harvester: Stiehlt E-Mail-Verläufe für weitere Thread-Hijacking-Angriffe
  • Credential Stealer: Extrahiert Passwörter aus Browsern und E-Mail-Clients
  • Netzwerk-Spreader: Bewegt sich lateral durch das Netzwerk
  • TrickBot: Ein eigenständiger Banking-Trojaner, der als zusätzlicher Payload nachgeladen wurde
  • Ryuk/Conti: Die finale Stufe – Ransomware, die das gesamte Netzwerk verschlüsselt

Stufe 4 – Die Ransomware: Wochen oder sogar Monate nach der initialen Emotet-Infektion – nachdem TrickBot das Netzwerk ausgekundschaftet, Administratoren-Zugangsdaten gestohlen und Backups identifiziert hatte – schlug die Ransomware zu. Ryuk oder Conti verschlüsselten alles und forderten Lösegelder in Millionenhöhe.

Warum Virenscanner versagten

Emotet war ein Meisterwerk der Tarnung, und genau deshalb versagten Virenscanner auf ganzer Linie:

Polymorphie: Emotet änderte seinen Code bei jeder Auslieferung. Jede E-Mail enthielt eine leicht andere Version des Schadcodes. Signaturen waren damit innerhalb von Stunden veraltet. Das BSI dokumentierte, dass Emotet seine Binärdateien teilweise mehrmals täglich änderte.

Fileless-Techniken: Viele Emotet-Module operierten ausschließlich im Arbeitsspeicher und hinterließen keine traditionellen Dateien auf der Systempartition, die ein Scanner hätte erkennen können. Der initiale Dropper wurde nach dem Nachladen der Module oft gelöscht.

Legitimer Deckmantel: Die E-Mails kamen von echten, kompromittierten E-Mail-Konten. Die Makros in den Word-Dokumenten nutzten PowerShell – ein legitimes Windows-Werkzeug. Die Netzwerkkommunikation lief über HTTPS. Für einen Virenscanner sah das alles nach normalem Büroalltag aus.

Zeitversetztes Nachladen: Der eigentliche Schadcode – TrickBot, Ryuk – wurde erst Tage oder Wochen nach der Erstinfektion nachgeladen. Selbst wenn der Virenscanner den initialen Emotet-Loader irgendwann erkannte und entfernte, waren die nachgeladenen Komponenten längst aktiv und hatten sich unabhängig im Netzwerk eingenistet.

So hätte Deep Freeze geschützt

Die mehrstufige Natur von Emotet macht ihn zum perfekten Beispiel dafür, warum Deep Freeze herkömmlichen Sicherheitslösungen überlegen ist.

Stufe 1 wird neutralisiert: Das Word-Dokument wird geöffnet, das Makro führt den Dropper aus. Der Emotet-Loader nistet sich auf der Systempartition ein. Beim nächsten Neustart: weg. Der Dropper existiert nicht mehr. Die Verbindung zum C2-Server ist unterbrochen. Die gesamte Infektionskette ist gebrochen, bevor sie richtig beginnen konnte.

Stufe 2 und 3 können nicht stattfinden: Ohne den persistenten Loader auf der Systempartition kann Emotet keine weiteren Module nachladen. TrickBot wird nie installiert. Ryuk kommt nie zum Einsatz. Die gesamte mehrstufige Angriffskette bricht nach dem ersten Neustart zusammen.

Der Zeitfaktor spielt für Dich: Bei Emotet vergingen typischerweise Wochen zwischen der Erstinfektion und dem Ransomware-Angriff. In dieser Zeit hätte jeder Rechner mit Deep Freeze dutzendfach neu gestartet – und jedes Mal wäre der Rechner in den sauberen Zustand zurückgekehrt.

Beim Berliner Kammergericht hätte Deep Freeze den monatelangen Totalausfall verhindert. Statt die gesamte IT-Infrastruktur neu aufzubauen, hätten koordinierte Neustarts aller Arbeitsplatzrechner gereicht. Die Server, die nicht mit Deep Freeze geschützt gewesen wären, hätten zusätzlichen Schutz gebraucht – aber die Ausbreitung über die Arbeitsplatzrechner wäre gestoppt worden.

Die Lehre

  • Mehrstufige Angriffe brauchen Persistenz. Emotet funktioniert nur, weil er sich dauerhaft auf der Systempartition einnistet und Wochen später weitere Malware nachlädt. Deep Freeze zerstört diese Persistenz bei jedem Neustart.
  • Phishing wird immer besser. Wenn echte E-Mail-Verläufe gekapert werden, erkennt kein Mensch die Fälschung. Du kannst Deine Mitarbeiter nicht trainieren, eine perfekte Kopie einer echten E-Mail zu erkennen. Aber Du kannst die Konsequenzen eliminieren – mit Deep Freeze.
  • Polymorphe Malware macht Signaturen nutzlos. Wenn sich der Schadcode bei jeder Zustellung ändert, kann kein signaturbasierter Scanner mithalten. Deep Freeze ist immun gegen Polymorphie – es stellt einfach den bekannten guten Zustand wieder her.
  • Die Infektionskette hat ein schwaches Glied. Emotet → TrickBot → Ryuk ist eine Kette mit drei Gliedern. Deep Freeze zerreißt diese Kette am ersten Glied. Ohne persistenten Emotet-Loader gibt es kein TrickBot, und ohne TrickBot kein Ryuk.
  • Modulare Malware braucht ein Zuhause. Emotets Module werden auf die Systempartition geschrieben, in die Registry eingetragen, als Dienste registriert. All das überlebt keinen Neustart mit Deep Freeze.

Nie wieder Opfer von Malware?

Deep Freeze macht Deinen PC immun gegen Viren, Ransomware und ungewollte Änderungen. Ein Neustart genügt.

So schützt Du Deinen PC →

← Alle Schadenbeispiele

Weitere Schadenbeispiele

Deep Freeze entdecken

Mehr erfahren →