"Das Kammergericht ist bis auf Weiteres nur telefonisch, per Fax oder postalisch zu erreichen", steht auf der Webseite des höchsten Berliner Gerichts. Bis auf Weiteres per E-Mail nicht erreichbar – das ist inzwischen schon ein Dauerzustand. Denn bis heute hat sich das Kammergericht noch nicht von einem Schadsoftwareangriff im September 2019 vollständig erholt.

Ein Team aus IT-Forensikern bei T-Systems hat nun einen Bericht zu dem Vorfall veröffentlicht, aus dem hervorgeht: Es ist alles noch viel schlimmer als bislang angenommen. Anders als Berlins Justizsenator Dirk Behrendt noch Ende Oktober sagte, legt das Gutachten nahe, dass Daten abgeflossen sind – wenn auch Menge, Zeitpunkt und Ziel des Diebstahls unbekannt sind. Ein Angreifer sei "höchstwahrscheinlich" in der Lage gewesen, "einen verborgenen Account anzulegen und den gesamten Datenbestand des KG zu exfiltrieren und zu manipulieren, während gleichzeitig die Spuren verschleiert werden", schreiben die IT-Sicherheitsexperten von T-Systems.  

Sie konnten auf den analysierten Rechnern und Servern des Gerichts die Schadsoftware Emotet nachweisen, die als eine Art Türöffner für die eigentlichen Schadprogramme gilt. Auf dem untersuchten Rechner des Kammergerichts wurde entsprechend weitere Malware gefunden – genauer: Trickbot-Module, die darauf abzielen, lokal hinterlegte Passwortdatenbanken zu untersuchen, Login-Daten abzugreifen, zum Beispiel für Banken, oder Informationen wie das Betriebssystem des infizierten Rechners auszulesen und all diese Informationen an Server weiterzuleiten, die die Angreifer kontrollieren. Aus diesem Befund des Berichts lässt sich nicht ableiten, dass dieser Angriff konkret auf das Gericht zugeschnitten war. 

Scharf kritisiert der Bericht, dass IT-Sicherheitsgrundsätze vom Kammergericht offenkundig sträflich vernachlässigten und der Angriff erst dadurch so gravierende Folgen nach sich zog.

Was, wie, wohin – all das bleibt unklar

Ansonsten offenbart der Bericht von T-Systems, dass sie auch nach ihrer Untersuchung noch relativ wenig wissen. Vermutlich, so schreiben sie, wurden die Systeme bereits am 20. September vergangenen Jahres infiziert – also fünf Tage bevor das Gericht von einem Dienstleister auf eine Infektion ihrer Systeme aufmerksam gemacht wurde. Wer genau dahintersteckt, wohin Daten möglicherweise flossen, welche Daten abgegriffen wurden oder wie genau der Angriff ausgeführt wurde, auch das konnte der Bericht nicht klären.

Typischerweise werde Emotet über Office-Dokumente mit Makros verbreitet, das sind eine Art Unterprogramme, die bestimmte Befehle ausführen: Öffnet eine Mitarbeiterin oder ein Mitarbeiter zum Beispiel einen entsprechenden Mailanhang im Textverarbeitungsprogramm, wird im Sinne der Angreifer eine Reihe von Befehlen ausgeführt – etwa die Kontaktaufnahme mit einem Server, den die Angreifer kontrollieren oder das Nachladen weiterer Malware. T-Systems konnte allerdings keine entsprechend präparierten Dokumente auf dem infizierten Rechner finden. Eine Infektion über USB-Sticks oder über den Fileserver schließt der Bericht ebenfalls nicht aus, auch hierfür konnten sie keine Belege finden.

Einer der Gründe dafür, dass die Analyse in vielen Punkten recht vage bleibt, ist, dass die Aufzeichnungen weitgehend fehlten, die bei der Rekonstruktion der Ereignisse hätten helfen können: Sogenannte Sicherheits-Eventlogs hätten nur für wenige Tage Mitte Oktober vorgelegen – und nicht für den eigentlichen Infektionszeitraum um den 20. September.

Insgesamt bezeichneten die IT-Forensiker den Befall der IT-Infrastruktur als "schwerwiegend" und kritisierten vor allem die Sicherheitsarchitektur der IT-Systeme des Kammergerichts: etwa, dass das Netzwerk nicht ausreichend segmentiert war, dass Log-Dateien nur mangelhaft gespeichert wurden und Nutzer teils über lokale Administratoren-Accounts verfügten. So "wurde aus einem Standardvorfall ein massiver Incident", heißt es in dem Bericht. Auch den Anbieter der vom Kammergericht genutzten Antiviren-Software McAfee kritisiert der Bericht deutlich: Das genutzte Produkt weise "klare Mängel bei der Leistungsfähigkeit bzw. Aktualität" auf – habe es doch Malware nicht erkannt, die zu diesem Zeitpunkt bereits bekannt gewesen sei.