Lade Login-Box.
Corona Newsletter
Topthemen: Coronavirus in ThüringenCorona-HilfsbörseFreies Wort hilftFolgen Sie uns auf Instagram

Computer

IT-Totalschaden am Kammergericht wirft viele Fragen auf

Der Cyberangriff auf das Berliner Kammergericht beschäftigt weiter die Behörde. Ist es zu einem Abfluss sensibler Daten gekommen? Wie es überhaupt zu der Infektion gekommen ist, lässt sich kaum noch herausfinden.



Schadsoftware stört öffentliche Einrichtungen
Der Trojaner Emotet treibt sein Unwesen und geht dabei besonders raffiniert vor.   Foto: Frank Rumpenhorst/dpa

Das Kammergericht Berlin kämpft seit September mit den Folgen eines Cyberangriffs. Bis heute sind die meisten Arbeitsplätze im Kammergericht offline, mit weitreichenden Folgen für den Justizbetrieb in Berlin.

Wie ist der Cyberangriff überhaupt aufgeflogen?

Das IT-Dienstleistungszentrum Berlin (ITDZ) hatte Ende September 2019 bemerkt, dass aus dem Netzwerk des Kammergerichts Verbindungen zu Servern im Ausland aufgebaut wurden, die als Steuerzentralen für Schadsoftware bekannt waren. Die Rechner wurden daraufhin vom Internet getrennt und das Kammergericht vom Netz genommen.

Welche Schadsoftware hat sich das Kammergericht eingefangen?

Schon bei einer ersten Analyse am 2. Oktober stellte sich heraus, dass die Computer des Kammergerichts mit dem Schadprogramm Emotet befallen waren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht durch Emotet eine «neue Qualität der Gefährdung», auch weil der Trojaner in der Lage ist, authentisch aussehende Spam-Mails zu verschicken und sich dadurch im Netz zu verbreiten.

Wie hat sich das Kammergericht die Infektion eingefangen?

Das steht vier Monate nach der Entdeckung noch immer nicht fest - und wird vermutlich nie herauskommen. Normalerweise verbreitet sich der Trojaner über manipulierte Dokumente der Büro-Software Microsoft Office, die als Anhang in E-Mails oder mit USB-Sticks verbreitet werden. Auf den Rechnern wurde zwar die Schadsoftware selbst entdeckt, nicht aber mit Emotet infizierte Office-Dateien.

Welche Rolle spielen denn USB-Sticks im Kammergericht?

Viele Richter am Kammergericht arbeiten häufig im Home-Office. Weil sie dafür keine abgesicherten Büro-Laptops mit einer geschützten Einwahl in das Netz des Gerichts zur Verfügung haben, haben offenbar etliche von ihnen sensible Dateien auf einem USB-Stick mit nach Hause genommen. Dieser Workflow wird von Experten als grundsätzlich unsicher eingeschätzt, weil damit ein unkontrollierbarer Mix aus gemanagter IT-Infrastruktur im Büro und nicht beaufsichtigten privaten Computern entsteht. Außerdem dürfte dieser Workflow ganz grundsätzlich gegen Datenschutzgesetze verstoßen.

Warum fällt es so schwer, den Weg der Infektion zu rekonstruieren?

Die Fachleute, die den Cyberangriff forensisch untersuchten, fanden im Kammergericht kaum Spuren vor. Normalerweise werden in empfindlichen Umgebungen Zugriffe auf zentrale Bereiche der IT-Infrastruktur wie das «Active Directory» - quasi das zentrale IT-Adressbuch - lückenlos und langfristig in Logdateien protokolliert. Vermutlich konnten die Angreifer auch Nutzer mit Administrationsrechten anlegen und auf diesem Weg das Netz weiter manipulieren. Das Gutachten von T-Systems kommt zu dem Schluss, dass die vorhandenen Logdateien nicht ausreichend waren, um den Cyberangriff lückenlos zu rekonstruieren.

Warum konnte sich der Trojaner so schnell verbreiten?

Auch hier hatten die Angreifer leichtes Spiel. Üblich ist, größere Netzwerke in Segmente zu unterteilen, damit sich Schadprogramme nicht ungehindert ausbreiten können. Auf diese Netzwerksegmentierung hat das Kammergericht verzichtet. Die Angreifer profitierten aber auch davon, dass eine installierte Antivirus-Lösung versagte. T-Systems stellte «klare Mängel bei der Leistungsfähigkeit bzw. Aktualität der Endpoint Protection Lösung von McAfee» fest. «Diese hat Malware, die zum Zeitpunkt der Infektion bereits bekannt war, nicht erkannt.»

Hat sich das Kammergericht nur den Emotet-Trojaner eingefangen?

Nein, es wurde auch die Malware Trickbot entdeckt. Trickbot wird von Cyberkriminellen oft genutzt, um Online-Banking-Daten abzufischen. Das Programm kann von Emotet nachgeladen werden. Zur zerstörerischen Emotet-Kaskade gehört oft auch noch die Schadsoftware Ryuk, die bei den Opfern Daten verschlüsselt, damit dann ein Lösegeld erpresst werden kann. Von dieser «Ransomware» blieb das Kammergericht aber verschont.

Haben die Angreifer auch Daten erbeutet?

Davon ist auszugehen. Justizsenator Dirk Behrendt (Grüne) hatte Ende Oktober noch gesagt: «Ich bin auch froh, dass es nach unserem bisherigen Kenntnisstand keinen Datenabfluss gegeben hat.» Inzwischen gehen die Experten davon aus, dass alle Daten ausgelesen werden konnten. Beweise dafür gibt es nicht, weil die Logdateien fehlen oder unzureichend sind.

Warum konnte das BSI die Cyberattacke nicht abwehren?

Das BSI hat beim Kammergericht offiziell nichts zu sagen und war nach der Entdeckung nur kurz beratend aktiv. Die Justizbehörden der Länder arbeiten auf der Grundlage der föderalistischen Strukturen und des Prinzips der Gewaltenteilung auch im Bereich der IT-Sicherheit unabhängig. Das Kammergericht ließ seine Rechner nicht einmal durch die ITDZ, den zentralen Dienstleister für die Informations- und Kommunikationstechnologie der Berliner Verwaltung, managen.

Wer steckt hinter dem Angriff?

Das BSI geht nach aktuellem Stand davon aus, dass hinter Emotet eine Form der organisierten Kriminalität steht, die im Netz ihre Dienste anbietet («Crime-as-a-Service»). Es gibt bislang keine Indizien, dass es dabei einen besonderen Berlin-Bezug gibt.

Wie geht es nun weiter?

Die Gutachter von T-Systems raten dazu, das Netzwerk von Grund auf neu zu bauen und die Situation dazu zu nutzen, «ein leistungsfähiges und sicheres neues Netzwerk zu konstruieren und den Schaden bei zukünftigen Vorfällen stark zu begrenzen.» Auch organisatorisch werden sich die Verhältnisse ändern: Die IT-Experten des Gerichts werden sich nicht am eigenen Schopf aus dem Morast ziehen. Die Infrastruktur des Kammergerichts wird künftig komplett unter den Schutzschirm des städtischen Dienstleisters ITDZ verlagert.

Veröffentlicht am:
29. 01. 2020
14:08 Uhr

Für »Meine Themen« verfügbare Schlagworte

zu Meine Themen hinzufügen

Hinzufügen

Schlagwort zu
Meine Themen

zu Meine Themen hinzufügen

Hinzufügen

Sie haben bereits von 15 Themen gewählt

Bearbeiten

Sie verfolgen dieses Thema bereits

Entfernen

Für die Nutzung von "Meine Themen" ist ihr Einverständnis zur Datenspeicherung nötig.

Weiter
Bundesamt für Sicherheit in der Informationstechnik Computer Cyber-Attacken Cyberkriminelle Dateien Daten und Datentechnik E-Mail IT-Experten IT-Sicherheit Informationstechnik Kommunikationstechnik Microsoft T-Systems
Diesen Artikel teilen / ausdrucken


 
Mehr zum Thema
Schadsoftware stört öffentliche Einrichtungen

27.12.2019

Schadsoftware stört öffentliche Einrichtungen

Kurz vor Weihnachten legten Cyberattacken öffentliche Einrichtungen lahm. Vor allem der Trojaner Emotet treibt sein Unwesen und geht dabei besonders raffiniert vor. » mehr

Microsoft-Zentrale in München

15.01.2020

Microsoft schließt Windows-Schwachstelle nach NSA-Hinweis

Geheimdienste wie die amerikanische NSA melden entdeckte IT-Sicherheitslücken nicht immer an die Hersteller, sondern nutzen sie mitunter heimlich aus. Bei einer gravierenden Verschlüsselungs- Schwachstelle in Windows wur... » mehr

Hilfe für «Desktop-Messies»

13.01.2020

Künstliche Intelligenz soll «Desktop-Messies» helfen

Unmengen von Daten zu speichern ist technisch kein Problem - aber es kann belastend sein für die Psyche, die Energiebilanz und den Geldbeutel. Künstliche Intelligenz soll dem Menschen nun beim Aufräumen helfen. » mehr

Autovermietung Buchbinder

23.01.2020

Bei Autovermietung Buchbinder standen Kundendaten offen

Millionen von Kundendaten des Autovermieters Buchbinder standen frei verfügbar im Netz. Pikantes Detail: Auch Daten des Grünen-Chefs Robert Habeck und des Präsidenten des Bundesamts für Sicherheit in der Informationstech... » mehr

Windows-7-Aus

13.01.2020

Viele PC-Anwender ignorieren «tickende Zeitbombe» Windows 7

Seit Monaten fordern Sicherheitsexperten die Nutzer des PC-Betriebssystems Windows 7 auf, sich von dem Software-Dino zu verabschieden. Vielen ist das wohl egal, obwohl der offizielle Produktsupport ausläuft. » mehr

Cyber-Attacken

16.03.2020

Gut 40 Prozent deutscher Unternehmen erleben Cyberangriffe

In den vergangenen zwölf Monaten haben laut einer Studie 41 Prozent der deutschen Unternehmen mit mehr zehn Beschäftigten auf mindestens einen Cyberangriff reagieren müssen. » mehr

Bildergalerie » zur Übersicht

Sperrung vor Neustadt am Rennsteig Neustadt am Rennsteig

Sperrung Neustadt am Rennsteig | 23.03.2020 Neustadt am Rennsteig
» 4 Bilder ansehen

Brand in Katzhütte Katzhütte

Brand Katzhütte | 23.03.2020 Katzhütte
» 4 Bilder ansehen

inbound3887575027251749210

#Ichbleibdaheim |
» 8 Bilder ansehen

Autor

dpa

Kontakt zur Redaktion

Veröffentlicht am:
29. 01. 2020
14:08 Uhr



^