Original-URL des Artikels: https://www.golem.de/news/gutachten-zu-emotet-datenabfluss-beim-berliner-kammergericht-2001-146294.html    Veröffentlicht: 27.01.2020 11:56    Kurz-URL: https://glm.io/146294

Gutachten zu Emotet

Datenabfluss beim Berliner Kammergericht

Die Daten des Berliner Kammergerichtes hätten nach einem Schadsoftware-Befall vollumfänglich ausgelesen werden können. Zu diesem Schluss kommt ein mittlerweile veröffentlichtes Gutachten, das zudem kein gutes Licht auf die IT-Infrastruktur des Gerichts wirft.

Seit September 2019 kämpft das Berliner Kammergericht mit einem Schadsoftwarebefall und ist bis dato weitgehend offline. Laut einem zunächst unveröffentlichten Gutachten sollen dabei auch Daten des Gerichts abgeflossen sein, berichtet der Tagesspiegel. Zudem wirft das Gutachten kein Gutes Licht auf die IT-Infrastruktur des Gerichts. Beispielsweise sollen die Backup-Server zum Zeitpunkt des Befalls allesamt defekt gewesen sein.

"Dem Trojaner ist es nicht gelungen, Dokumente abzuschöpfen oder zu verschlüsseln", erklärte der Präsident des Kammergerichts Bernd Pickel im Oktober in einem Interview. Doch ein Gutachten der Firma T-Systems, das den Trojaner-Befall im Kammergericht untersuchte, kommt zu einem anderen Schluss: Es habe ein Datenabfluss stattgefunden. Allerdings können die Gutachter weder den Umfang, den Zeitpunkt noch das Ziel des Datenabflusses genau benennen.

Keine Backups und kaum Netzwerksegmentierung

Immerhin die Ursache konnte das Gutachten klären: Wie bereits von vielen vermutet, handelt es sich um die Schadsoftware Emotet. Wie der Trojaner allerdings auf die IT des Kammergerichts gelangen konnte, bleibt weiter unklar. Die Schadsoftware könnte über kontaminierte E-Mails auf die Rechner des Kammergerichts gelangt sein, aber auch über USB-Sticks, mit denen die Mitarbeiter Daten mit nach Hause nahmen, um mit ihnen im Homeoffice auf ihren Privatrechnern zu arbeiten. Nicht nur ein laxer Umgang mit der IT-Sicherheit, sondern auch ein datenschutzrechtlich höchst bedenkliches Unterfangen - immerhin handelt es sich um ein Gericht, das durchaus mit sensiblen Informationen zu tun hat.

Die Angriffe hätten aufgrund mangelnder Netzwerksegmentierung nicht lokal eingegrenzt und bekämpft werden können, berichtet der Tagesspiegel aus dem Gutachten. Die Schadsoftware habe sich daher nahezu ungehindert im Netzwerk ausbreiten können. So konnte Emotet letztlich nahezu die gesamte IT des Kammergerichts lahmlegen. Sämtliche Backup-Server des Kammergerichts seien zum Zeitpunkt der Infektion defekt gewesen, so die Gutachter. Ob überhaupt eine Datensicherung vorgenommen wurde, sei unklar. Ohne Backups könnte es schon bei versehentlichem Löschen oder einem Hardwaredefekt zu Datenverlust kommen, gleich zwei Mal jedoch bei einer Ransomware.

Seit Monaten arbeiten die rund 500 Richter sowie etliche weitere Mitarbeiter des Gerichts im Notbetrieb. Das Kammergericht warnte zudem vor E-Mails des Gerichts, die ebenfalls mit Schadsoftware verseucht sein könnten. Emotet klinkt sich dabei zum Teil in bestehende E-Mail-Konversationen ein, versucht die Opfer so zum Öffnen von Dokumentenanhängen zu bewegen und sich ebenfalls mit der Schadsoftware zu infizieren.

Mit diesem und anderen Tricks ist Emotet durchaus erfolgreich und hat neben dem Kammergericht bereits mehrere Städte, Kommunen und Firmen befallen und lahmgelegt. Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), nannte Emotet bei der Vorstellung des jährlichen Sicherheitsberichts daher den "König der Schadsoftware". In Niedersachsen blockieren die Finanzbehörden daher E-Mails, die Links oder Microsoft-Office-Dateianhänge enthalten.

Nachtrag vom 27. Januar 2020, 18:00 Uhr

Mittlerweile wurde das Gutachten veröffentlicht (PDF). Dieses sei vom 23. Dezember und erst am 24. Januar im Berliner Kammergericht vorgestellt worden, heißt es in einer Mitteilung der Senatsverwaltung für Justiz, Verbraucherschutz und Antidiskriminierung.

In dem Gutachten untersuchte T-Systems einen Client. Auf diesem entdeckten die Forensiker sowohl die Schadsoftware Emotet sowie die von Emotet nachgeladene Schadsoftware Trickbot. Letztere arbeitet mit verschiedenen Modulen, die vornehmlich Daten von den befallenen Systemen auslesen und an die Command-and-Control-Server senden.

Aktiv seien drei Module gewesen, heißt es in dem Gutachten. Diese hätten es auf Systeminformationen, gespeicherte Passwörter, insbesondere im Browser, abgesehen. Zudem sei ein Modul aktiv gewesen, das dem Nutzer "im Webbrowser Passwörter aktiv entlockt, insbesondere von Online-Banking-Webseiten."

Angreifer hätte alle Daten auslesen können

Eine Infektion des Active Directory könne zudem nicht ausgeschlossen werden, heißt es in dem Gutachten. "Wir weisen jedoch ausdrücklich darauf hin, dass ein Angreifer höchstwahrscheinlich in der Lage gewesen ist, einen verborgenen Account anzulegen und den gesamten Datenbestand des KG zu exfiltrieren und zu manipulieren während gleichzeitig die Spuren verschleiert werden", schreiben die Gutachter. Das habe die Daten etlicher Täter, Beschuldigter, Opfer und Zeugen der am Kammergericht verhandelten Prozesse betroffen - zu denen auch Terror-Verfahren gehören.

"Durch die IT- Infrastrukur (keine Netzwerksegmentierung, keine Filterung am Gateway, keine Proxy Logdaten, lokale Administratoren, mangelnde AD Logs) wurde aus einem Standardvorfall ein massiver Incident", schreiben die Gutachter. Sie raten dazu das Netzwerk von Grund auf neu zu bauen und die Situation dazu zu nutzen "ein leistungsfähiges und sicheres neues Netzwerk zu konstruieren und den Schaden bei zukünftigen Vorfällen stark zu begrenzen."

 (mtr)


Verwandte Artikel:
Niedersachsen: Finanzbehörden blockieren E-Mails mit Internetlinks   
(09.01.2020, https://glm.io/145960 )
Nach Online-Angriff: Keine E-Mails bei der Potsdamer Verwaltung   
(23.01.2020, https://glm.io/146232 )
Angeblich Emotet: Schadsoftware legt Berliner Kammergericht lahm   
(02.10.2019, https://glm.io/144230 )
Datenleck: Passwörter zu 515.000 Servern und IoT-Geräten veröffentlicht   
(20.01.2020, https://glm.io/146146 )
Per Whatsapp-Video: Saudischer Kronprinz soll Bezos gehackt haben   
(22.01.2020, https://glm.io/146201 )

© 1997–2020 Golem.de, https://www.golem.de/