· Mehdi Aroui · cybersecurity · 3 min read
Goldeneye Ransomware: Lessons Learned für HR-Sicherheit
Goldeneye traf 2016 gezielt deutsche HR-Abteilungen über gefälschte Bewerbungs-E-Mails. Die Taktik war damals neu. Heute sind Social-Engineering-Angriffe dieser Art Alltag, und die Abwehr ist bekannt.
Was Goldeneye besonders machte
Dieser Beitrag erschien erstmals im Dezember 2016 als aktuelle Warnung. Goldeneye ist heute historisch, aber die Angriffstaktik ist aktueller denn je.
Im Dezember 2016 verbreitete sich Goldeneye-Ransomware über gefälschte Bewerbungs-E-Mails, adressiert an Personalabteilungen deutscher Unternehmen. Die E-Mails enthielten Excel-Dateianhänge mit eingebetteten Makros. Wer die Datei öffnete und Makros aktivierte, infizierte sein System. Das Lösegeld betrug rund 940 Euro (1,33 Bitcoin).
Das Besondere: Goldeneye war kein Massenangriff, sondern gezielt auf HR-Mitarbeitende ausgerichtet. Die Absender verwendeten plausible Namen (z.B. rolf.drescher@) und glaubwürdige Bewerbungsschreiben. Der psychologische Druck, Bewerbungen zu öffnen, war für HR-Teams hoch.
Warum der Angriff funktionierte
Makros in Office: Die Infektionskette setzte auf aktivierte Makros in Excel. Viele Unternehmen hatten keine Gruppenrichtlinien, die Makros blockierten.
Fehlende Mitarbeiterschulung: HR-Teams waren 2016 kaum auf Social-Engineering-Angriffe trainiert. Der Reflex, Bewerbungen zu öffnen, war stärker als das Sicherheitsbewusstsein.
Keine Offline-Backups: Wer infiziert war, konnte Daten nur wiederherstellen, wenn Backups auf nicht verbundenen Medien lagen. Backups auf gemappten Laufwerken wurden mitverschlüsselt.
Kein Entschlüsselungswerkzeug zum Zeitpunkt des Angriffs: Betroffene konnten 2016 nur auf spätere Forschungsergebnisse hoffen oder zahlen.
Lessons Learned für KMU 2026
Die Taktik hat sich nicht verändert, nur die Qualität der Köder ist besser geworden. 2024 werden Bewerbungs-E-Mails mit KI-generiertem Text und echten Namen aus LinkedIn-Profilen formuliert.
Makros deaktivieren oder per Gruppenrichtlinie beschränken: In Microsoft 365 lassen sich Makros aus dem Internet über Defender for Business und Gruppenrichtlinien blockieren. Interne Makros können über Trusted Locations weiterhin erlaubt werden.
Security-Awareness-Training: Mitarbeitende in HR, Buchhaltung und Geschäftsführung sind Hauptziele. Simulierte Phishing-Kampagnen (verfügbar über ESET PROTECT und Microsoft Defender for Business) trainieren den richtigen Umgang mit verdächtigen Anhängen.
Backup nach 3-2-1-Regel: Veeam Backup mit offsite Replikation stellt sicher, dass ein Angriff auf Workstations keine Datenverluste im Unternehmen verursacht. Entscheidend: regelmäßige Wiederherstellungstests, nicht nur Backups.
E-Mail-Filterung: ESET Mail Security und Microsoft Defender for Office 365 analysieren Anhänge in Sandbox-Umgebungen, bevor sie den Posteingang erreichen. Schädliche Excel-Dateien mit Makros werden erkannt und blockiert.
Privilegien beschränken: HR-Mitarbeitende benötigen keinen lokalen Administratorzugriff. Minimale Rechte begrenzen den Schaden einer Infektion auf den befallenen Rechner.
Goldeneye heute: Was aus der Variante wurde
Der ursprüngliche Goldeneye-Masterkey wurde im Juli 2017 vom Entwickler des Vorgängers Petya veröffentlicht. Damit war eine nachträgliche Entschlüsselung theoretisch möglich. Praxis: Wer bis dahin keine Backups hatte, hatte oft bereits gezahlt oder Daten verloren.
Die Goldeneye-Variante ist inaktiv, aber die Nachfolger (NotPetya, REvil, LockBit) nutzen dieselben psychologischen Mechanismen mit technisch ausgefeilteren Methoden.
Fazit
Goldeneye zeigte erstmals, wie effektiv gezielte Angriffe auf nicht-technische Abteilungen sind. HR, Buchhaltung und Empfang sind heute genauso im Fokus wie 2016. Die Abwehr besteht aus drei Säulen: technische Kontrollen (Makro-Sperrung, E-Mail-Filterung, EDR), getestete Backups und kontinuierliche Mitarbeiterschulung.
Interesse an einer Sicherheitsbewertung für Ihre Abteilungen: Hotline 040 25 499 500.
