Gutachten zu Emotet: Datenabfluss beim Berliner Kammergericht

Die Daten des Berliner Kammergerichtes hätten nach einem Schadsoftware-Befall vollumfänglich ausgelesen werden können. Zu diesem Schluss kommt ein mittlerweile veröffentlichtes Gutachten, das zudem kein gutes Licht auf die IT-Infrastruktur des Gerichts wirft.

Artikel veröffentlicht am ,
Berliner Kammergericht
Berliner Kammergericht (Bild: Steffen Zahn/CC-BY 2.0)

Seit September 2019 kämpft das Berliner Kammergericht mit einem Schadsoftwarebefall und ist bis dato weitgehend offline. Laut einem zunächst unveröffentlichten Gutachten sollen dabei auch Daten des Gerichts abgeflossen sein, berichtet der Tagesspiegel. Zudem wirft das Gutachten kein Gutes Licht auf die IT-Infrastruktur des Gerichts. Beispielsweise sollen die Backup-Server zum Zeitpunkt des Befalls allesamt defekt gewesen sein.

Stellenmarkt
  1. IT Network Engineer (m/w/d)
    WSW Wuppertaler Stadtwerke GmbH, Wuppertal
  2. Backend-Entwickler (m/w/d) Schwerpunkt Integration
    Deutsche Leasing AG, Bad Homburg v. d. Höhe bei Frankfurt
Detailsuche

"Dem Trojaner ist es nicht gelungen, Dokumente abzuschöpfen oder zu verschlüsseln", erklärte der Präsident des Kammergerichts Bernd Pickel im Oktober in einem Interview. Doch ein Gutachten der Firma T-Systems, das den Trojaner-Befall im Kammergericht untersuchte, kommt zu einem anderen Schluss: Es habe ein Datenabfluss stattgefunden. Allerdings können die Gutachter weder den Umfang, den Zeitpunkt noch das Ziel des Datenabflusses genau benennen.

Keine Backups und kaum Netzwerksegmentierung

Immerhin die Ursache konnte das Gutachten klären: Wie bereits von vielen vermutet, handelt es sich um die Schadsoftware Emotet. Wie der Trojaner allerdings auf die IT des Kammergerichts gelangen konnte, bleibt weiter unklar. Die Schadsoftware könnte über kontaminierte E-Mails auf die Rechner des Kammergerichts gelangt sein, aber auch über USB-Sticks, mit denen die Mitarbeiter Daten mit nach Hause nahmen, um mit ihnen im Homeoffice auf ihren Privatrechnern zu arbeiten. Nicht nur ein laxer Umgang mit der IT-Sicherheit, sondern auch ein datenschutzrechtlich höchst bedenkliches Unterfangen - immerhin handelt es sich um ein Gericht, das durchaus mit sensiblen Informationen zu tun hat.

Die Angriffe hätten aufgrund mangelnder Netzwerksegmentierung nicht lokal eingegrenzt und bekämpft werden können, berichtet der Tagesspiegel aus dem Gutachten. Die Schadsoftware habe sich daher nahezu ungehindert im Netzwerk ausbreiten können. So konnte Emotet letztlich nahezu die gesamte IT des Kammergerichts lahmlegen. Sämtliche Backup-Server des Kammergerichts seien zum Zeitpunkt der Infektion defekt gewesen, so die Gutachter. Ob überhaupt eine Datensicherung vorgenommen wurde, sei unklar. Ohne Backups könnte es schon bei versehentlichem Löschen oder einem Hardwaredefekt zu Datenverlust kommen, gleich zwei Mal jedoch bei einer Ransomware.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Seit Monaten arbeiten die rund 500 Richter sowie etliche weitere Mitarbeiter des Gerichts im Notbetrieb. Das Kammergericht warnte zudem vor E-Mails des Gerichts, die ebenfalls mit Schadsoftware verseucht sein könnten. Emotet klinkt sich dabei zum Teil in bestehende E-Mail-Konversationen ein, versucht die Opfer so zum Öffnen von Dokumentenanhängen zu bewegen und sich ebenfalls mit der Schadsoftware zu infizieren.

Mit diesem und anderen Tricks ist Emotet durchaus erfolgreich und hat neben dem Kammergericht bereits mehrere Städte, Kommunen und Firmen befallen und lahmgelegt. Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), nannte Emotet bei der Vorstellung des jährlichen Sicherheitsberichts daher den "König der Schadsoftware". In Niedersachsen blockieren die Finanzbehörden daher E-Mails, die Links oder Microsoft-Office-Dateianhänge enthalten.

Nachtrag vom 27. Januar 2020, 18:00 Uhr

Mittlerweile wurde das Gutachten veröffentlicht (PDF). Dieses sei vom 23. Dezember und erst am 24. Januar im Berliner Kammergericht vorgestellt worden, heißt es in einer Mitteilung der Senatsverwaltung für Justiz, Verbraucherschutz und Antidiskriminierung.

In dem Gutachten untersuchte T-Systems einen Client. Auf diesem entdeckten die Forensiker sowohl die Schadsoftware Emotet sowie die von Emotet nachgeladene Schadsoftware Trickbot. Letztere arbeitet mit verschiedenen Modulen, die vornehmlich Daten von den befallenen Systemen auslesen und an die Command-and-Control-Server senden.

Aktiv seien drei Module gewesen, heißt es in dem Gutachten. Diese hätten es auf Systeminformationen, gespeicherte Passwörter, insbesondere im Browser, abgesehen. Zudem sei ein Modul aktiv gewesen, das dem Nutzer "im Webbrowser Passwörter aktiv entlockt, insbesondere von Online-Banking-Webseiten."

Angreifer hätte alle Daten auslesen können

Eine Infektion des Active Directory könne zudem nicht ausgeschlossen werden, heißt es in dem Gutachten. "Wir weisen jedoch ausdrücklich darauf hin, dass ein Angreifer höchstwahrscheinlich in der Lage gewesen ist, einen verborgenen Account anzulegen und den gesamten Datenbestand des KG zu exfiltrieren und zu manipulieren während gleichzeitig die Spuren verschleiert werden", schreiben die Gutachter. Das habe die Daten etlicher Täter, Beschuldigter, Opfer und Zeugen der am Kammergericht verhandelten Prozesse betroffen - zu denen auch Terror-Verfahren gehören.

"Durch die IT- Infrastrukur (keine Netzwerksegmentierung, keine Filterung am Gateway, keine Proxy Logdaten, lokale Administratoren, mangelnde AD Logs) wurde aus einem Standardvorfall ein massiver Incident", schreiben die Gutachter. Sie raten dazu das Netzwerk von Grund auf neu zu bauen und die Situation dazu zu nutzen "ein leistungsfähiges und sicheres neues Netzwerk zu konstruieren und den Schaden bei zukünftigen Vorfällen stark zu begrenzen."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Opel Mokka-e im Praxistest
Reichweitenangst kickt mehr als Koffein

Ist ein Kompakt-SUV wie Opel Mokka-e für den Urlaub geeignet? Im Praxistest war nicht der kleine Akku das eigentliche Problem.
Ein Test von Friedhelm Greis

Opel Mokka-e im Praxistest: Reichweitenangst kickt mehr als Koffein
Artikel
  1. Statt TCP: Quic ist schwer zu optimieren
    Statt TCP
    Quic ist schwer zu optimieren

    Eine Untersuchung von Quic im Produktiveinsatz zeigt: Die Vorteile des Protokolls sind wohl weniger wichtig als die Frage, wer es einsetzt.

  2. Lockbit 2.0: Ransomware will Firmen-Insider rekrutieren
    Lockbit 2.0
    Ransomware will Firmen-Insider rekrutieren

    Die Ransomware-Gruppe Lockbit sucht auf ungewöhnliche Weise nach Insidern, die ihr Zugangsdaten übermitteln sollen.

  3. Galactic Starcruiser: Disney eröffnet immersives (und teures) Star-Wars-Hotel
    Galactic Starcruiser
    Disney eröffnet immersives (und teures) Star-Wars-Hotel

    Wer schon immer zwei Tage lang wie in einem Star-Wars-Abenteuer leben wollte, bekommt ab dem Frühjahr 2022 die Chance dazu - das nötige Kleingeld vorausgesetzt.

bodsch 28. Jan 2020

Bei Gerichten / Anwälten konnte man die IT Kompetenz bei deren Anwaltspostfach gut...

bodsch 28. Jan 2020

"Das macht der Sohn meines Neffen für nen Fuffie!"

howe 27. Jan 2020

Das ist die Version des Dokuments, welche für die Allgemeinheit/ Öffentlichkeit bestimmt ist.

heinzi13 27. Jan 2020

Du solltest noch mal auf deine lustige Formulierung schauen. Ein Richter, der einen PC...

Tantalus 27. Jan 2020

Ach, und das ist kein Internet? Insbesondere, da er es vermutlich nicht aus eigener...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Fire TV Stick 4K Ultra HD 29,99€, Echo Dot 3. Gen. 24,99€ • Robas Lund DX Racer Gaming-Stuhl 143,47€ • HyperX Cloud II Gaming-Headset 59€ • Media Markt Breaking Deals [Werbung]
    •  /