Nur per Telefon, Fax oder Brief zu erreichen – Seite 1

"Das Kammergericht ist bis auf Weiteres nur telefonisch, per Fax oder postalisch zu erreichen", steht auf der Webseite des höchsten Berliner Gerichts. Bis auf Weiteres per E-Mail nicht erreichbar – das ist inzwischen schon ein Dauerzustand. Denn bis heute hat sich das Kammergericht noch nicht von einem Schadsoftwareangriff im September 2019 vollständig erholt.

Ein Team aus IT-Forensikern bei T-Systems hat nun einen Bericht zu dem Vorfall veröffentlicht, aus dem hervorgeht: Es ist alles noch viel schlimmer als bislang angenommen. Anders als Berlins Justizsenator Dirk Behrendt noch Ende Oktober sagte, legt das Gutachten nahe, dass Daten abgeflossen sind – wenn auch Menge, Zeitpunkt und Ziel des Diebstahls unbekannt sind. Ein Angreifer sei "höchstwahrscheinlich" in der Lage gewesen, "einen verborgenen Account anzulegen und den gesamten Datenbestand des KG zu exfiltrieren und zu manipulieren, während gleichzeitig die Spuren verschleiert werden", schreiben die IT-Sicherheitsexperten von T-Systems.  

Sie konnten auf den analysierten Rechnern und Servern des Gerichts die Schadsoftware Emotet nachweisen, die als eine Art Türöffner für die eigentlichen Schadprogramme gilt. Auf dem untersuchten Rechner des Kammergerichts wurde entsprechend weitere Malware gefunden – genauer: Trickbot-Module, die darauf abzielen, lokal hinterlegte Passwortdatenbanken zu untersuchen, Login-Daten abzugreifen, zum Beispiel für Banken, oder Informationen wie das Betriebssystem des infizierten Rechners auszulesen und all diese Informationen an Server weiterzuleiten, die die Angreifer kontrollieren. Aus diesem Befund des Berichts lässt sich nicht ableiten, dass dieser Angriff konkret auf das Gericht zugeschnitten war. 

Scharf kritisiert der Bericht, dass IT-Sicherheitsgrundsätze vom Kammergericht offenkundig sträflich vernachlässigten und der Angriff erst dadurch so gravierende Folgen nach sich zog.

Was, wie, wohin – all das bleibt unklar

Ansonsten offenbart der Bericht von T-Systems, dass sie auch nach ihrer Untersuchung noch relativ wenig wissen. Vermutlich, so schreiben sie, wurden die Systeme bereits am 20. September vergangenen Jahres infiziert – also fünf Tage bevor das Gericht von einem Dienstleister auf eine Infektion ihrer Systeme aufmerksam gemacht wurde. Wer genau dahintersteckt, wohin Daten möglicherweise flossen, welche Daten abgegriffen wurden oder wie genau der Angriff ausgeführt wurde, auch das konnte der Bericht nicht klären.

Typischerweise werde Emotet über Office-Dokumente mit Makros verbreitet, das sind eine Art Unterprogramme, die bestimmte Befehle ausführen: Öffnet eine Mitarbeiterin oder ein Mitarbeiter zum Beispiel einen entsprechenden Mailanhang im Textverarbeitungsprogramm, wird im Sinne der Angreifer eine Reihe von Befehlen ausgeführt – etwa die Kontaktaufnahme mit einem Server, den die Angreifer kontrollieren oder das Nachladen weiterer Malware. T-Systems konnte allerdings keine entsprechend präparierten Dokumente auf dem infizierten Rechner finden. Eine Infektion über USB-Sticks oder über den Fileserver schließt der Bericht ebenfalls nicht aus, auch hierfür konnten sie keine Belege finden.

Einer der Gründe dafür, dass die Analyse in vielen Punkten recht vage bleibt, ist, dass die Aufzeichnungen weitgehend fehlten, die bei der Rekonstruktion der Ereignisse hätten helfen können: Sogenannte Sicherheits-Eventlogs hätten nur für wenige Tage Mitte Oktober vorgelegen – und nicht für den eigentlichen Infektionszeitraum um den 20. September.

Insgesamt bezeichneten die IT-Forensiker den Befall der IT-Infrastruktur als "schwerwiegend" und kritisierten vor allem die Sicherheitsarchitektur der IT-Systeme des Kammergerichts: etwa, dass das Netzwerk nicht ausreichend segmentiert war, dass Log-Dateien nur mangelhaft gespeichert wurden und Nutzer teils über lokale Administratoren-Accounts verfügten. So "wurde aus einem Standardvorfall ein massiver Incident", heißt es in dem Bericht. Auch den Anbieter der vom Kammergericht genutzten Antiviren-Software McAfee kritisiert der Bericht deutlich: Das genutzte Produkt weise "klare Mängel bei der Leistungsfähigkeit bzw. Aktualität" auf – habe es doch Malware nicht erkannt, die zu diesem Zeitpunkt bereits bekannt gewesen sei.

"Totalschaden", sagt CCC-Sprecherin Kurz

Weil man gar nicht so genau sagen könne, welche Bereiche der Kammergerichts-IT überhaupt alles betroffen sind, raten die T-Systems-Experten zu einem "kompletten Neuaufbau der IT-Infrastruktur". Constanze Kurz, Sprecherin des Chaos Computer Clubs sprach gegenüber der Berliner Zeitung Tagesspiegel von einem "Totalschaden".

Vieles daran ist für die Berliner Behörden ziemlich peinlich. Dass man das Problem seit Monaten nicht in den Griff bekommt und die Behörden seit Monaten wieder analog arbeiten müssen zum Beispiel. Vor allem aber, dass sich zeigt, wie wenig Sorgfalt in die Sicherung von Daten gesteckt wird, die in einem höheren Berliner Gericht kursieren. Schließlich geht es im Zusammenhang mit Prozessen ja durchaus um hochsensible Informationen. 

Nicht nur in Berlin

Doch nicht nur hier wurde eine öffentliche Einrichtung Ziel eines Emotet-Angriffs. Allein im September 2019 legte der Trojaner nicht nur die Stadtverwaltung von Neustadt am Rübenberge in Niedersachsen lahm, sondern befiel auch die Medizinische Hochschule Hannover. Kurz vor Weihnachten waren Teile der IT-Systeme der Städte Frankfurt am Main und Bad Homburg infiziert. Auch der Angriff auf die Universität Gießen geht vermutlich auf Emotet zurück. Meist wurden Systeme und Rechner nur zeitweise vom Netz genommen und unter Quarantäne gestellt, im Falle der Gießener Hochschule mussten alle Server heruntergefahren werden – und manche sind bis heute nicht wieder online.  

Mitte Dezember warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI): Derzeit würden vermehrt Spam-Mails mit Malware-Links oder -Anhängen im Namen mehrerer Bundesbehörden verschickt. Schon im September hatte es Emotet zur  "gefährlichsten Schadsoftware der Welt" erklärt. Es spähe Zugangsdaten zu E-Mail-Konten aus und nutze die darin enthaltenen Adressen, um sich weiterzuverbreiten – indem es Spam-Mails verschicke, die aussähen wie Mails von Personen, mit denen man tatsächlich Mailverkehr pflegt. 

"Man kann es nur gebetsmühlenartig wiederholen: Viele dieser Schäden sind vermeidbar, wenn IT-Sicherheitsmaßnahmen konsequent umgesetzt werden!", sagte BSI-Präsident Arne Schönbohm bereits im September: Regelmäßige Back-ups, das Einspielen von Sicherheitsupdates, die Sensibilisierung der Belegschaft. 

Denn bei Emotet handelt es sich nicht einmal um eine neue Malware: Sie wurde bereits 2014 von Sicherheitsexperten entdeckt. Ursprünglich handelte es sich um eine Software, die versuchte, Banking-Passwörter auszuspähen, sie entwickelte sich jedoch kontinuierlich weiter – und kann eine Vielzahl weiterer Module mit anderen Funktionen nachladen und ausführen, die den infizierten Systemen schaden. Das Problem: Ähnlich wie ein biologisches Virus verändert sich Schadsoftware immer weiter. Das mache es mitunter auch für Virenscanner schwer, sie zu erkennen, sagt Haya Shulman vom Fraunhofer Institut für Sichere Informationstechnologie (SIT).

Ziel: Potenziell jeder

Liest man sich die Liste der betroffenen Institutionen durch, scheinen Emotet-Infektionen vor allem Behörden oder andere öffentlichen Einrichtungen zu betreffen. Bedeutet das, dass sie besonders anfällig für die Malware sind? 

Gerade der Fall des Berliner Kammergerichts legt nahe, dass zu wenig Sorgfalt bei der IT-Infrastruktur dazu führen kann, dass ein Angriff besonders gründlich und langfristig Schaden anrichten kann. Dass so etwas passieren kann, wundert Melanie Volkamer, Informatik-Professorin am Karlsruher Institut für Informationstechnologie, wenig. "Gerade bei Behörden liegt da viel im Argen", sagt sie. Hier müsse man als Allererstes anfangen, die Angriffsflächen zu verkleinern. 

Haya Shulman vom Fraunhofer SIT weist aber auch darauf hin, dass sich die Emotet-Angriffe nicht nur auf öffentliche Einrichtungen beschränken. Bei gezielten Angriffen gelte: "Jeder kann das Ziel sein, wenn das Ziel interessant ist." 

Denkbar sei aber auch, dass die Angriffe nicht gezielt stattfinden, sondern automatisiert verbreitet werden. Dass es nun mehrere Fälle in Deutschland und Europa gebe, scheine damit zusammenzuhängen, dass die Software nicht mehr von Angreifern kontrolliert werde, sondern sich automatisch verbreite, sagt Shulman. Was wiederum für das Kammergericht in Berlin bedeutet, möglicherweise für die Uni in Gießen: All das sind keine bewusst angesteuerten Ziele, sondern zufällige Opfer einer Attacke, die einfach schaut, in welche Systeme sie eindringen kann. In vielen Fällen, sagt Shulman, könne man Malware-Dateien nicht entschlüsseln oder mit dem Angreifer kommunizieren. Ist das nicht der Fall, ist es schwer, herauszufinden, wer dahintersteckt. 

Neben der Verbreitung per Word-Anhang, auf die auch der T-Systems-Bericht eingeht, nennt Shulman auch die PDF-Dateien und Lücken im Router als potenzielle Infektionswege. 

Speziell Emotet falle meistens über Mailserver ein, sagt Melanie Volkamer. Wer sich schützen will, solle daher dafür sorgen, dass die Schadsoftware auf Mailserverseite erkannt werde und dass die Mailserver so konfiguriert sind, dass die von Emotet verwendeten Makros nicht reinkommen. 

Hinzu kommt: "Je älter das Betriebssystem, desto gefährlicher ist es", sagt Shulman. Laut dem T-Systems-Bericht wurde auf einem der infizierten Rechner beim Berliner Kammergericht Windows 7 verwendet – eine Version des Microsoft-Betriebssystems, die bereits so in die Jahre gekommen ist, dass sie seit Januar 2020 nicht mehr aktualisiert wird.  

Immer diese arglosen Nutzer?

Ein Trojaner, der sich meist darüber verbreitet, dass Word-Anhänge in Mails angeklickt werden? Das klingt nach einem Angriff, der mal wieder auf das Glied in der IT-Sicherheitskette zurückgeht, das von IT-Experten gerne mal als das Schwächste bezeichnet wird: die Userin oder den User nämlich. 

Eine solche Sichtweise will Shulman aber nicht stehen lassen. IT-Sicherheitsbeauftragte und Netzwerkadministratoren seien in Firmen dafür verantwortlich, dass alle Geräte in einem Netzwerk sicher seien, sagt Shulman. "Man kann nicht erwarten, dass die Nutzer das selbst wissen." Fehlende Updates oder Patches seien die Tür für Angriffe wie Emotet. Das größte Problem sei, alle Geräte zu identifizieren und Sicherheitslücken zu flicken. 

Ähnlich sieht das Melanie Volkamer. Bis es zu einer Infektion mit Emotet komme, gebe es viele Stellen, an denen man die hätte verhindern können, sagt sie: Warum kommt die Mail mit dem infizierten Anhang überhaupt im Postfach des Mitarbeiters an? Wer ist Ansprechpartner im Unternehmen, wenn etwas verdächtig erscheint? Wen kontaktiert man, wenn man auf den Anhang geklickt hat? Hätte ein Mitarbeiter sehen können, dass die Mail verdächtig ist? 

Und dann sagt Volkamer diesen Satz, der rund um Sicherheitslücken wie diesen immer wieder laut wird: Unternehmen und öffentliche Einrichtungen sollten mehr Geld in die Hand nehmen, damit das Team für IT-Sicherheit vergrößert und die Technik fachgerecht bedient werden könne. 

Ein Bereich, in dem man beim Berliner Kammergericht in den kommenden Monaten noch so einiges nachzuholen haben dürfte.