• IT-Karriere:
  • Services:

Gutachten zu Emotet: Datenabfluss beim Berliner Kammergericht

Die Daten des Berliner Kammergerichtes hätten nach einem Schadsoftware-Befall vollumfänglich ausgelesen werden können. Zu diesem Schluss kommt ein mittlerweile veröffentlichtes Gutachten, das zudem kein gutes Licht auf die IT-Infrastruktur des Gerichts wirft.

Artikel veröffentlicht am ,
Berliner Kammergericht
Berliner Kammergericht (Bild: Steffen Zahn/CC-BY 2.0)

Seit September 2019 kämpft das Berliner Kammergericht mit einem Schadsoftwarebefall und ist bis dato weitgehend offline. Laut einem zunächst unveröffentlichten Gutachten sollen dabei auch Daten des Gerichts abgeflossen sein, berichtet der Tagesspiegel. Zudem wirft das Gutachten kein Gutes Licht auf die IT-Infrastruktur des Gerichts. Beispielsweise sollen die Backup-Server zum Zeitpunkt des Befalls allesamt defekt gewesen sein.

Stellenmarkt
  1. Stadtwerke München GmbH, München
  2. Phone Research Field GmbH, Hamburg

"Dem Trojaner ist es nicht gelungen, Dokumente abzuschöpfen oder zu verschlüsseln", erklärte der Präsident des Kammergerichts Bernd Pickel im Oktober in einem Interview. Doch ein Gutachten der Firma T-Systems, das den Trojaner-Befall im Kammergericht untersuchte, kommt zu einem anderen Schluss: Es habe ein Datenabfluss stattgefunden. Allerdings können die Gutachter weder den Umfang, den Zeitpunkt noch das Ziel des Datenabflusses genau benennen.

Keine Backups und kaum Netzwerksegmentierung

Immerhin die Ursache konnte das Gutachten klären: Wie bereits von vielen vermutet, handelt es sich um die Schadsoftware Emotet. Wie der Trojaner allerdings auf die IT des Kammergerichts gelangen konnte, bleibt weiter unklar. Die Schadsoftware könnte über kontaminierte E-Mails auf die Rechner des Kammergerichts gelangt sein, aber auch über USB-Sticks, mit denen die Mitarbeiter Daten mit nach Hause nahmen, um mit ihnen im Homeoffice auf ihren Privatrechnern zu arbeiten. Nicht nur ein laxer Umgang mit der IT-Sicherheit, sondern auch ein datenschutzrechtlich höchst bedenkliches Unterfangen - immerhin handelt es sich um ein Gericht, das durchaus mit sensiblen Informationen zu tun hat.

Die Angriffe hätten aufgrund mangelnder Netzwerksegmentierung nicht lokal eingegrenzt und bekämpft werden können, berichtet der Tagesspiegel aus dem Gutachten. Die Schadsoftware habe sich daher nahezu ungehindert im Netzwerk ausbreiten können. So konnte Emotet letztlich nahezu die gesamte IT des Kammergerichts lahmlegen. Sämtliche Backup-Server des Kammergerichts seien zum Zeitpunkt der Infektion defekt gewesen, so die Gutachter. Ob überhaupt eine Datensicherung vorgenommen wurde, sei unklar. Ohne Backups könnte es schon bei versehentlichem Löschen oder einem Hardwaredefekt zu Datenverlust kommen, gleich zwei Mal jedoch bei einer Ransomware.

Seit Monaten arbeiten die rund 500 Richter sowie etliche weitere Mitarbeiter des Gerichts im Notbetrieb. Das Kammergericht warnte zudem vor E-Mails des Gerichts, die ebenfalls mit Schadsoftware verseucht sein könnten. Emotet klinkt sich dabei zum Teil in bestehende E-Mail-Konversationen ein, versucht die Opfer so zum Öffnen von Dokumentenanhängen zu bewegen und sich ebenfalls mit der Schadsoftware zu infizieren.

Mit diesem und anderen Tricks ist Emotet durchaus erfolgreich und hat neben dem Kammergericht bereits mehrere Städte, Kommunen und Firmen befallen und lahmgelegt. Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), nannte Emotet bei der Vorstellung des jährlichen Sicherheitsberichts daher den "König der Schadsoftware". In Niedersachsen blockieren die Finanzbehörden daher E-Mails, die Links oder Microsoft-Office-Dateianhänge enthalten.

Nachtrag vom 27. Januar 2020, 18:00 Uhr

Mittlerweile wurde das Gutachten veröffentlicht (PDF). Dieses sei vom 23. Dezember und erst am 24. Januar im Berliner Kammergericht vorgestellt worden, heißt es in einer Mitteilung der Senatsverwaltung für Justiz, Verbraucherschutz und Antidiskriminierung.

In dem Gutachten untersuchte T-Systems einen Client. Auf diesem entdeckten die Forensiker sowohl die Schadsoftware Emotet sowie die von Emotet nachgeladene Schadsoftware Trickbot. Letztere arbeitet mit verschiedenen Modulen, die vornehmlich Daten von den befallenen Systemen auslesen und an die Command-and-Control-Server senden.

Aktiv seien drei Module gewesen, heißt es in dem Gutachten. Diese hätten es auf Systeminformationen, gespeicherte Passwörter, insbesondere im Browser, abgesehen. Zudem sei ein Modul aktiv gewesen, das dem Nutzer "im Webbrowser Passwörter aktiv entlockt, insbesondere von Online-Banking-Webseiten."

Angreifer hätte alle Daten auslesen können

Eine Infektion des Active Directory könne zudem nicht ausgeschlossen werden, heißt es in dem Gutachten. "Wir weisen jedoch ausdrücklich darauf hin, dass ein Angreifer höchstwahrscheinlich in der Lage gewesen ist, einen verborgenen Account anzulegen und den gesamten Datenbestand des KG zu exfiltrieren und zu manipulieren während gleichzeitig die Spuren verschleiert werden", schreiben die Gutachter. Das habe die Daten etlicher Täter, Beschuldigter, Opfer und Zeugen der am Kammergericht verhandelten Prozesse betroffen - zu denen auch Terror-Verfahren gehören.

"Durch die IT- Infrastrukur (keine Netzwerksegmentierung, keine Filterung am Gateway, keine Proxy Logdaten, lokale Administratoren, mangelnde AD Logs) wurde aus einem Standardvorfall ein massiver Incident", schreiben die Gutachter. Sie raten dazu das Netzwerk von Grund auf neu zu bauen und die Situation dazu zu nutzen "ein leistungsfähiges und sicheres neues Netzwerk zu konstruieren und den Schaden bei zukünftigen Vorfällen stark zu begrenzen."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. 860 Evo 500 GB SSD für 74,00€, Portable T5 500 GB 86,00€)

Folgen Sie uns
       


Samsung Galaxy S20 - Hands on

Samsung hat gleich drei neue Modelle der Galaxy-S20-Serie vorgestellt. Golem.de konnte sich die Smartphones im Vorfeld bereits genauer anschauen.

Samsung Galaxy S20 - Hands on Video aufrufen
Data Scientist: Ein Mann, der mit Daten Leben retten will
Data Scientist
Ein Mann, der mit Daten Leben retten will

Senfgelbes Linoleum im Büro und weniger Geld als in der freien Wirtschaft - egal, der Data Scientist Danilo Schmidt liebt seinen Job an der Charité. Mit Ärzten entwickelt er Lösungen für Patienten. Die größten Probleme dabei: Medizinersprech und Datenschutz.
Ein Porträt von Maja Hoock

  1. Computerlinguistik "Bordstein Sie Ihre Erwartung!"
  2. OpenAI Roboterarm löst Zauberwürfel einhändig
  3. Faceapp Russische App liegt im Trend und entfacht Datenschutzdebatte

O2 Free Unlimited im Test: Telefónica macht echte Datenflatrate erschwinglich
O2 Free Unlimited im Test
Telefónica macht echte Datenflatrate erschwinglich

Telefónica startet eine kleine Revolution im Markt für Mobilfunktarife: Erstmals gibt es drei unterschiedliche Tarife mit unlimitierter Datenflatrate, die sich in der maximal verfügbaren Geschwindigkeit unterscheiden. Wir haben die beiden in der Geschwindigkeit beschränkten Tarife getestet und sind auf erstaunliche Besonderheiten gestoßen.
Ein Test von Ingo Pakalski

  1. Telefónica Neue O2-Free-Tarife verlieren endloses Weitersurfen
  2. O2 My Prepaid Smartphone-Tarife erhalten mehr ungedrosseltes Datenvolumen
  3. O2 Free Unlimited Basic Tarif mit echter Datenflatrate für 30 Euro

Gebrauchtwagen: Was beim Kauf eines gebrauchten Elektroautos wichtig ist
Gebrauchtwagen
Was beim Kauf eines gebrauchten Elektroautos wichtig ist

Noch steht der Markt für gebrauchte Teslas und andere Elektroautos am Anfang der Entwicklung. Für eine verlässliche Wertermittlung benötigen Käufer ein Akku-Zertifikat. Das bieten private Verkaufsberater an. Ein österreichisches Startup will die Idee groß rausbringen.
Ein Bericht von Dirk Kunde

  1. Elektroautos EU-Kommission billigt höheren Umweltbonus
  2. Elektroauto Jaguar muss I-Pace-Produktion mangels Akkus pausieren
  3. 900 Volt Lucid stellt Serienversion seines Luxus-Elektroautos vor

    •  /