• IT-Karriere:
  • Services:

Gutachten zu Emotet: Datenabfluss beim Berliner Kammergericht

Die Daten des Berliner Kammergerichtes hätten nach einem Schadsoftware-Befall vollumfänglich ausgelesen werden können. Zu diesem Schluss kommt ein mittlerweile veröffentlichtes Gutachten, das zudem kein gutes Licht auf die IT-Infrastruktur des Gerichts wirft.

Artikel veröffentlicht am ,
Berliner Kammergericht
Berliner Kammergericht (Bild: Steffen Zahn/CC-BY 2.0)

Seit September 2019 kämpft das Berliner Kammergericht mit einem Schadsoftwarebefall und ist bis dato weitgehend offline. Laut einem zunächst unveröffentlichten Gutachten sollen dabei auch Daten des Gerichts abgeflossen sein, berichtet der Tagesspiegel. Zudem wirft das Gutachten kein Gutes Licht auf die IT-Infrastruktur des Gerichts. Beispielsweise sollen die Backup-Server zum Zeitpunkt des Befalls allesamt defekt gewesen sein.

Stellenmarkt
  1. cargo support GmbH & Co. KG, Bielefeld
  2. HYDRO Systems KG, Biberach / Baden

"Dem Trojaner ist es nicht gelungen, Dokumente abzuschöpfen oder zu verschlüsseln", erklärte der Präsident des Kammergerichts Bernd Pickel im Oktober in einem Interview. Doch ein Gutachten der Firma T-Systems, das den Trojaner-Befall im Kammergericht untersuchte, kommt zu einem anderen Schluss: Es habe ein Datenabfluss stattgefunden. Allerdings können die Gutachter weder den Umfang, den Zeitpunkt noch das Ziel des Datenabflusses genau benennen.

Keine Backups und kaum Netzwerksegmentierung

Immerhin die Ursache konnte das Gutachten klären: Wie bereits von vielen vermutet, handelt es sich um die Schadsoftware Emotet. Wie der Trojaner allerdings auf die IT des Kammergerichts gelangen konnte, bleibt weiter unklar. Die Schadsoftware könnte über kontaminierte E-Mails auf die Rechner des Kammergerichts gelangt sein, aber auch über USB-Sticks, mit denen die Mitarbeiter Daten mit nach Hause nahmen, um mit ihnen im Homeoffice auf ihren Privatrechnern zu arbeiten. Nicht nur ein laxer Umgang mit der IT-Sicherheit, sondern auch ein datenschutzrechtlich höchst bedenkliches Unterfangen - immerhin handelt es sich um ein Gericht, das durchaus mit sensiblen Informationen zu tun hat.

Die Angriffe hätten aufgrund mangelnder Netzwerksegmentierung nicht lokal eingegrenzt und bekämpft werden können, berichtet der Tagesspiegel aus dem Gutachten. Die Schadsoftware habe sich daher nahezu ungehindert im Netzwerk ausbreiten können. So konnte Emotet letztlich nahezu die gesamte IT des Kammergerichts lahmlegen. Sämtliche Backup-Server des Kammergerichts seien zum Zeitpunkt der Infektion defekt gewesen, so die Gutachter. Ob überhaupt eine Datensicherung vorgenommen wurde, sei unklar. Ohne Backups könnte es schon bei versehentlichem Löschen oder einem Hardwaredefekt zu Datenverlust kommen, gleich zwei Mal jedoch bei einer Ransomware.

Seit Monaten arbeiten die rund 500 Richter sowie etliche weitere Mitarbeiter des Gerichts im Notbetrieb. Das Kammergericht warnte zudem vor E-Mails des Gerichts, die ebenfalls mit Schadsoftware verseucht sein könnten. Emotet klinkt sich dabei zum Teil in bestehende E-Mail-Konversationen ein, versucht die Opfer so zum Öffnen von Dokumentenanhängen zu bewegen und sich ebenfalls mit der Schadsoftware zu infizieren.

Mit diesem und anderen Tricks ist Emotet durchaus erfolgreich und hat neben dem Kammergericht bereits mehrere Städte, Kommunen und Firmen befallen und lahmgelegt. Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), nannte Emotet bei der Vorstellung des jährlichen Sicherheitsberichts daher den "König der Schadsoftware". In Niedersachsen blockieren die Finanzbehörden daher E-Mails, die Links oder Microsoft-Office-Dateianhänge enthalten.

Nachtrag vom 27. Januar 2020, 18:00 Uhr

Mittlerweile wurde das Gutachten veröffentlicht (PDF). Dieses sei vom 23. Dezember und erst am 24. Januar im Berliner Kammergericht vorgestellt worden, heißt es in einer Mitteilung der Senatsverwaltung für Justiz, Verbraucherschutz und Antidiskriminierung.

In dem Gutachten untersuchte T-Systems einen Client. Auf diesem entdeckten die Forensiker sowohl die Schadsoftware Emotet sowie die von Emotet nachgeladene Schadsoftware Trickbot. Letztere arbeitet mit verschiedenen Modulen, die vornehmlich Daten von den befallenen Systemen auslesen und an die Command-and-Control-Server senden.

Aktiv seien drei Module gewesen, heißt es in dem Gutachten. Diese hätten es auf Systeminformationen, gespeicherte Passwörter, insbesondere im Browser, abgesehen. Zudem sei ein Modul aktiv gewesen, das dem Nutzer "im Webbrowser Passwörter aktiv entlockt, insbesondere von Online-Banking-Webseiten."

Angreifer hätte alle Daten auslesen können

Eine Infektion des Active Directory könne zudem nicht ausgeschlossen werden, heißt es in dem Gutachten. "Wir weisen jedoch ausdrücklich darauf hin, dass ein Angreifer höchstwahrscheinlich in der Lage gewesen ist, einen verborgenen Account anzulegen und den gesamten Datenbestand des KG zu exfiltrieren und zu manipulieren während gleichzeitig die Spuren verschleiert werden", schreiben die Gutachter. Das habe die Daten etlicher Täter, Beschuldigter, Opfer und Zeugen der am Kammergericht verhandelten Prozesse betroffen - zu denen auch Terror-Verfahren gehören.

"Durch die IT- Infrastrukur (keine Netzwerksegmentierung, keine Filterung am Gateway, keine Proxy Logdaten, lokale Administratoren, mangelnde AD Logs) wurde aus einem Standardvorfall ein massiver Incident", schreiben die Gutachter. Sie raten dazu das Netzwerk von Grund auf neu zu bauen und die Situation dazu zu nutzen "ein leistungsfähiges und sicheres neues Netzwerk zu konstruieren und den Schaden bei zukünftigen Vorfällen stark zu begrenzen."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. mit 276,99€ neuer Bestpreis auf Geizhals
  2. (u. a. Resident Evil HD Remaster für 3,99€, Sega Sci-Fi Angebote (u. a. Alien: Isolation - The...
  3. (u. a. Medion Akyora Laptop 15,6 Zoll i5 16GB für 749,99€, Medion X17575 75-Zoll-TV für 899...
  4. (u. a. Philips Ultra Speed SATA-SSD 480GB für 44,92€, HP 25x 24,5 Zoll Full-HD 144 Hz für 168...

bodsch 28. Jan 2020

Bei Gerichten / Anwälten konnte man die IT Kompetenz bei deren Anwaltspostfach gut...

bodsch 28. Jan 2020

"Das macht der Sohn meines Neffen für nen Fuffie!"

howe 27. Jan 2020

Das ist die Version des Dokuments, welche für die Allgemeinheit/ Öffentlichkeit bestimmt ist.

heinzi13 27. Jan 2020

Du solltest noch mal auf deine lustige Formulierung schauen. Ein Richter, der einen PC...

Tantalus 27. Jan 2020

Ach, und das ist kein Internet? Insbesondere, da er es vermutlich nicht aus eigener...


Folgen Sie uns
       


Librem Mini - Fazit

Der Librem Mini punktet mit guter Linux-Unterstützung, freier Firmware und einem abgesicherten Bootprozess.

Librem Mini - Fazit Video aufrufen
Googles Alphabet: Bei Project Loon ist die Luft raus
Googles Alphabet
Bei Project Loon ist die Luft raus

Mit Project Loon wollte Google hoch hinaus und die ganze Welt mit Internet versorgen. Was fehlte: das Geschäftsmodell - und am Ende auch der Bedarf.
Eine Analyse von Werner Pluta

  1. Google Balloninternet Loon wird eingestellt
  2. Balloninternet Project Loon kooperiert mit AT&T

Data-Mining: Wertvolle Informationen aus Datenhaufen ziehen
Data-Mining
Wertvolle Informationen aus Datenhaufen ziehen

Betreiber von Onlineshops wollen wissen, was sich verkauft und was nicht. Mit Data-Mining lassen sich aus den gesammelten Daten über Kunden solche und andere nützliche Informationen ziehen. Es birgt aber auch Risiken.
Von Boris Mayer


    Samsung QLED 8K Q800T im Test: 8K im Fernseher reicht nicht aus
    Samsung QLED 8K Q800T im Test
    8K im Fernseher reicht nicht aus

    Samsungs Q800T-Fernseher stellt viele Pixel auf einem großen Bildschirm dar. Der relativ preisgünstige Einstieg in 8K hat aber Schwächen.
    Ein Test von Oliver Nickel

    1. Anzeige Angebote der Woche - Galaxy S21, Speichermedien und mehr
    2. Korea Samsung-Chef erneut wegen Korruption verurteilt
    3. Smartphone Samsung will künftig auf Netzteile verzichten

      •  /