Der Trojaner Emotet treibt sein Unwesen und geht dabei besonders raffiniert vor. Foto: Frank Rumpenhorst/dpa

Der Trojaner Emotet treibt sein Unwesen und geht dabei besonders raffiniert vor. Foto: Frank Rumpenhorst/dpa

Berlin 29.01.2020 Von Deutsche Presse-Agentur

IT-Totalschaden am Kammergericht wirft viele Fragen auf

Das Kammergericht Berlin kämpft seit September mit den Folgen eines Cyberangriffs. Bis heute sind die meisten Arbeitsplätze im Kammergericht offline, mit weitreichenden Folgen für den Justizbetrieb in Berlin.

Wie ist der Cyberangriff überhaupt aufgeflogen? Das IT-Dienstleistungszentrum Berlin (ITDZ) hatte Ende September 2019 bemerkt, dass aus dem Netzwerk des Kammergerichts Verbindungen zu Servern im Ausland aufgebaut wurden, die als Steuerzentralen für Schadsoftware bekannt waren. Die Rechner wurden daraufhin vom Internet getrennt und das Kammergericht vom Netz genommen. Welche Schadsoftware hat sich das Kammergericht eingefangen? Schon bei einer ersten Analyse am 2. Oktober stellte sich heraus, dass die Computer des Kammergerichts mit dem Schadprogramm Emotet befallen waren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht durch Emotet eine „neue Qualität der Gefährdung“, auch weil der Trojaner in der Lage ist, authentisch aussehende Spam-Mails zu verschicken und sich dadurch im Netz zu verbreiten. Wie hat sich das Kammergericht die Infektion eingefangen? Das steht vier Monate nach der Entdeckung noch immer nicht fest - und wird vermutlich nie herauskommen. Normalerweise verbreitet sich der Trojaner über manipulierte Dokumente der Büro-Software Microsoft Office, die als Anhang in E-Mails oder mit USB-Sticks verbreitet werden. Auf den Rechnern wurde zwar die Schadsoftware selbst entdeckt, nicht aber mit Emotet infizierte Office-Dateien. Welche Rolle spielen denn USB-Sticks im Kammergericht? Viele Richter am Kammergericht arbeiten häufig im Home-Office. Weil sie dafür keine abgesicherten Büro-Laptops mit einer geschützten Einwahl in das Netz des Gerichts zur Verfügung haben, haben offenbar etliche von ihnen sensible Dateien auf einem USB-Stick mit nach Hause genommen. Dieser Workflow wird von Experten als grundsätzlich unsicher eingeschätzt, weil damit ein unkontrollierbarer Mix aus gemanagter IT-Infrastruktur im Büro und nicht beaufsichtigten privaten Computern entsteht. Außerdem dürfte dieser Workflow ganz grundsätzlich gegen Datenschutzgesetze verstoßen. Warum fällt es so schwer, den Weg der Infektion zu rekonstruieren? Die Fachleute, die den Cyberangriff forensisch untersuchten, fanden im Kammergericht kaum Spuren vor. Normalerweise werden in empfindlichen Umgebungen Zugriffe auf zentrale Bereiche der IT-Infrastruktur wie das „Active Directory“ - quasi das zentrale IT-Adressbuch - lückenlos und langfristig in Logdateien protokolliert. Vermutlich konnten die Angreifer auch Nutzer mit Administrationsrechten anlegen und auf diesem Weg das Netz weiter manipulieren. Das Gutachten von T-Systems kommt zu dem Schluss, dass die vorhandenen Logdateien nicht ausreichend waren, um den Cyberangriff lückenlos zu rekonstruieren. Warum konnte sich der Trojaner so schnell verbreiten? Auch hier hatten die Angreifer leichtes Spiel. Üblich ist, größere Netzwerke in Segmente zu unterteilen, damit sich Schadprogramme nicht ungehindert ausbreiten können. Auf diese Netzwerksegmentierung hat das Kammergericht verzichtet. Die Angreifer profitierten aber auch davon, dass eine installierte Antivirus-Lösung versagte. T-Systems stellte „klare Mängel bei der Leistungsfähigkeit bzw. Aktualität der Endpoint Protection Lösung von McAfee“ fest. „Diese hat Malware, die zum Zeitpunkt der Infektion bereits bekannt war, nicht erkannt.“ Hat sich das Kammergericht nur den Emotet-Trojaner eingefangen? Nein, es wurde auch die Malware Trickbot entdeckt. Trickbot wird von Cyberkriminellen oft genutzt, um Online-Banking-Daten abzufischen. Das Programm kann von Emotet nachgeladen werden. Zur zerstörerischen Emotet-Kaskade gehört oft auch noch die Schadsoftware Ryuk, die bei den Opfern Daten verschlüsselt, damit dann ein Lösegeld erpresst werden kann. Von dieser „Ransomware“ blieb das Kammergericht aber verschont. Haben die Angreifer auch Daten erbeutet? Davon ist auszugehen. Justizsenator Dirk Behrendt (Grüne) hatte Ende Oktober noch gesagt: „Ich bin auch froh, dass es nach unserem bisherigen Kenntnisstand keinen Datenabfluss gegeben hat.“ Inzwischen gehen die Experten davon aus, dass alle Daten ausgelesen werden konnten. Beweise dafür gibt es nicht, weil die Logdateien fehlen oder unzureichend sind. Warum konnte das BSI die Cyberattacke nicht abwehren? Das BSI hat beim Kammergericht offiziell nichts zu sagen und war nach der Entdeckung nur kurz beratend aktiv. Die Justizbehörden der Länder arbeiten auf der Grundlage der föderalistischen Strukturen und des Prinzips der Gewaltenteilung auch im Bereich der IT-Sicherheit unabhängig. Das Kammergericht ließ seine Rechner nicht einmal durch die ITDZ, den zentralen Dienstleister für die Informations- und Kommunikationstechnologie der Berliner Verwaltung, managen. Wer steckt hinter dem Angriff? Das BSI geht nach aktuellem Stand davon aus, dass hinter Emotet eine Form der organisierten Kriminalität steht, die im Netz ihre Dienste anbietet („Crime-as-a-Service“). Es gibt bislang keine Indizien, dass es dabei einen besonderen Berlin-Bezug gibt. Wie geht es nun weiter? Die Gutachter von T-Systems raten dazu, das Netzwerk von Grund auf neu zu bauen und die Situation dazu zu nutzen, „ein leistungsfähiges und sicheres neues Netzwerk zu konstruieren und den Schaden bei zukünftigen Vorfällen stark zu begrenzen.“ Auch organisatorisch werden sich die Verhältnisse ändern: Die IT-Experten des Gerichts werden sich nicht am eigenen Schopf aus dem Morast ziehen. Die Infrastruktur des Kammergerichts wird künftig komplett unter den Schutzschirm des städtischen Dienstleisters ITDZ verlagert.Gutachten von T-Systems Beschreibung Emotet durch das US-CERT Beschreibung Emotet durch Trend Micro

Zum Artikel

Erstellt:
29. Januar 2020, 14:04 Uhr
Lesedauer:
ca. 3min 33sec

Artikel empfehlen

Artikel Aktionen


Sie müssen angemeldet sein, um einen Kommentar verfassen zu können.