• IT-Karriere:
  • Services:

Gutachten zu Emotet: Datenabfluss beim Berliner Kammergericht

Die Daten des Berliner Kammergerichtes hätten nach einem Schadsoftware-Befall vollumfänglich ausgelesen werden können. Zu diesem Schluss kommt ein mittlerweile veröffentlichtes Gutachten, das zudem kein gutes Licht auf die IT-Infrastruktur des Gerichts wirft.

Artikel veröffentlicht am ,
Berliner Kammergericht
Berliner Kammergericht (Bild: Steffen Zahn/CC-BY 2.0)

Seit September 2019 kämpft das Berliner Kammergericht mit einem Schadsoftwarebefall und ist bis dato weitgehend offline. Laut einem zunächst unveröffentlichten Gutachten sollen dabei auch Daten des Gerichts abgeflossen sein, berichtet der Tagesspiegel. Zudem wirft das Gutachten kein Gutes Licht auf die IT-Infrastruktur des Gerichts. Beispielsweise sollen die Backup-Server zum Zeitpunkt des Befalls allesamt defekt gewesen sein.

Stellenmarkt
  1. CompuGroup Medical SE & Co. KGaA, Osnabrück
  2. ACS PharmaProtect GmbH über RAVEN51 AG, Berlin

"Dem Trojaner ist es nicht gelungen, Dokumente abzuschöpfen oder zu verschlüsseln", erklärte der Präsident des Kammergerichts Bernd Pickel im Oktober in einem Interview. Doch ein Gutachten der Firma T-Systems, das den Trojaner-Befall im Kammergericht untersuchte, kommt zu einem anderen Schluss: Es habe ein Datenabfluss stattgefunden. Allerdings können die Gutachter weder den Umfang, den Zeitpunkt noch das Ziel des Datenabflusses genau benennen.

Keine Backups und kaum Netzwerksegmentierung

Immerhin die Ursache konnte das Gutachten klären: Wie bereits von vielen vermutet, handelt es sich um die Schadsoftware Emotet. Wie der Trojaner allerdings auf die IT des Kammergerichts gelangen konnte, bleibt weiter unklar. Die Schadsoftware könnte über kontaminierte E-Mails auf die Rechner des Kammergerichts gelangt sein, aber auch über USB-Sticks, mit denen die Mitarbeiter Daten mit nach Hause nahmen, um mit ihnen im Homeoffice auf ihren Privatrechnern zu arbeiten. Nicht nur ein laxer Umgang mit der IT-Sicherheit, sondern auch ein datenschutzrechtlich höchst bedenkliches Unterfangen - immerhin handelt es sich um ein Gericht, das durchaus mit sensiblen Informationen zu tun hat.

Die Angriffe hätten aufgrund mangelnder Netzwerksegmentierung nicht lokal eingegrenzt und bekämpft werden können, berichtet der Tagesspiegel aus dem Gutachten. Die Schadsoftware habe sich daher nahezu ungehindert im Netzwerk ausbreiten können. So konnte Emotet letztlich nahezu die gesamte IT des Kammergerichts lahmlegen. Sämtliche Backup-Server des Kammergerichts seien zum Zeitpunkt der Infektion defekt gewesen, so die Gutachter. Ob überhaupt eine Datensicherung vorgenommen wurde, sei unklar. Ohne Backups könnte es schon bei versehentlichem Löschen oder einem Hardwaredefekt zu Datenverlust kommen, gleich zwei Mal jedoch bei einer Ransomware.

Seit Monaten arbeiten die rund 500 Richter sowie etliche weitere Mitarbeiter des Gerichts im Notbetrieb. Das Kammergericht warnte zudem vor E-Mails des Gerichts, die ebenfalls mit Schadsoftware verseucht sein könnten. Emotet klinkt sich dabei zum Teil in bestehende E-Mail-Konversationen ein, versucht die Opfer so zum Öffnen von Dokumentenanhängen zu bewegen und sich ebenfalls mit der Schadsoftware zu infizieren.

Mit diesem und anderen Tricks ist Emotet durchaus erfolgreich und hat neben dem Kammergericht bereits mehrere Städte, Kommunen und Firmen befallen und lahmgelegt. Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), nannte Emotet bei der Vorstellung des jährlichen Sicherheitsberichts daher den "König der Schadsoftware". In Niedersachsen blockieren die Finanzbehörden daher E-Mails, die Links oder Microsoft-Office-Dateianhänge enthalten.

Nachtrag vom 27. Januar 2020, 18:00 Uhr

Mittlerweile wurde das Gutachten veröffentlicht (PDF). Dieses sei vom 23. Dezember und erst am 24. Januar im Berliner Kammergericht vorgestellt worden, heißt es in einer Mitteilung der Senatsverwaltung für Justiz, Verbraucherschutz und Antidiskriminierung.

In dem Gutachten untersuchte T-Systems einen Client. Auf diesem entdeckten die Forensiker sowohl die Schadsoftware Emotet sowie die von Emotet nachgeladene Schadsoftware Trickbot. Letztere arbeitet mit verschiedenen Modulen, die vornehmlich Daten von den befallenen Systemen auslesen und an die Command-and-Control-Server senden.

Aktiv seien drei Module gewesen, heißt es in dem Gutachten. Diese hätten es auf Systeminformationen, gespeicherte Passwörter, insbesondere im Browser, abgesehen. Zudem sei ein Modul aktiv gewesen, das dem Nutzer "im Webbrowser Passwörter aktiv entlockt, insbesondere von Online-Banking-Webseiten."

Angreifer hätte alle Daten auslesen können

Eine Infektion des Active Directory könne zudem nicht ausgeschlossen werden, heißt es in dem Gutachten. "Wir weisen jedoch ausdrücklich darauf hin, dass ein Angreifer höchstwahrscheinlich in der Lage gewesen ist, einen verborgenen Account anzulegen und den gesamten Datenbestand des KG zu exfiltrieren und zu manipulieren während gleichzeitig die Spuren verschleiert werden", schreiben die Gutachter. Das habe die Daten etlicher Täter, Beschuldigter, Opfer und Zeugen der am Kammergericht verhandelten Prozesse betroffen - zu denen auch Terror-Verfahren gehören.

"Durch die IT- Infrastrukur (keine Netzwerksegmentierung, keine Filterung am Gateway, keine Proxy Logdaten, lokale Administratoren, mangelnde AD Logs) wurde aus einem Standardvorfall ein massiver Incident", schreiben die Gutachter. Sie raten dazu das Netzwerk von Grund auf neu zu bauen und die Situation dazu zu nutzen "ein leistungsfähiges und sicheres neues Netzwerk zu konstruieren und den Schaden bei zukünftigen Vorfällen stark zu begrenzen."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

bodsch 28. Jan 2020

Bei Gerichten / Anwälten konnte man die IT Kompetenz bei deren Anwaltspostfach gut...

bodsch 28. Jan 2020

"Das macht der Sohn meines Neffen für nen Fuffie!"

howe 27. Jan 2020

Das ist die Version des Dokuments, welche für die Allgemeinheit/ Öffentlichkeit bestimmt ist.

heinzi13 27. Jan 2020

Du solltest noch mal auf deine lustige Formulierung schauen. Ein Richter, der einen PC...

Tantalus 27. Jan 2020

Ach, und das ist kein Internet? Insbesondere, da er es vermutlich nicht aus eigener...


Folgen Sie uns
       


Xiaomi Mi 10 Pro - Test

Das Mi 10 Pro ist Xiaomis jüngstes Top-Smartphone. Im Test überzeugt vor allem die Kamera.

Xiaomi Mi 10 Pro - Test Video aufrufen
Cyberpunk 2077 angespielt: Zwischen Beamtenbestechung und Gunplay mit Wumms
Cyberpunk 2077 angespielt
Zwischen Beamtenbestechung und Gunplay mit Wumms

Mit dem Auto von der Wüste bis in die große Stadt: Golem.de hat den Anfang von Cyberpunk 2077 angespielt.
Von Peter Steinlechner

  1. CD Projekt Red Cyberpunk 2077 nutzt Raytracing und DLSS 2.0
  2. Cyberpunk 2077 Die Talentbäume von Night City
  3. CD Projekt Red Cyberpunk 2077 rutscht in Richtung Next-Gen-Startfenster

Unix: Ein Betriebssystem in 8 KByte
Unix
Ein Betriebssystem in 8 KByte

Zwei junge Programmierer entwarfen nahezu im Alleingang ein Betriebssystem und die Sprache C. Zum 50. Jubiläum von Unix werfen wir einen Blick zurück auf die Anfangstage.
Von Martin Wolf


    Kryptographie: Die europäische Geheimdienst-Allianz Maximator
    Kryptographie
    Die europäische Geheimdienst-Allianz Maximator

    Mit der Maximator-Allianz haben fünf europäische Länder einen Gegenpart zu den angelsächsischen Five Eyes geschaffen.
    Ein Bericht von Christiane Schulzki-Haddouti

    1. Security Bundestagshacker kopierten Mails aus Merkels Büro
    2. Trumps Smoking Gun Vodafone und Telefónica haben keine Huawei-Hintertür
    3. Sicherheitsforscher Daten durch Änderung der Bildschirmhelligkeit ausleiten

      •  /