Emotet

Hackerangriff auf Gericht könnte verdeckte Ermittler und Zeugen gefährden

Hans-Christian Dirscherl ist Redakteur der PC-Welt.
Hacker haben das Kammergericht Berlin mit Malware infiziert. Möglicherweise mit katastrophalen Folgen: Ein Gutachten hält es für möglich, dass die Angreifer auf den gesamten Datenbestand des Kammergerichts zugreifen und diese manipulieren konnten.

Der Hackerangriff mit dem Trojaner Emotet wurde bereits im September 2019 bekannt. Auf mehreren Rechnern wurde Malware entdeckt und es gab eine Kommunikation zwischen infizierten Rechnern und Command and Control Servern, welche dem bekannten Trojaner Emotet zuzuordnen sind. Die vorhandene Sicherheitslösung Endpoint Protection Lösung von McAfee erkannte die Infektion nicht. Seitdem arbeiten dessen 500 Richter und Mitarbeiter im Notbetrieb, das Gericht ist offline. Das Gericht ist bis heute nur per Telefon, Fax oder Briefpost zu erreichen.

Doch wie gefährlich war der Angriff? Konnten die Hacker sensible Gerichtsdaten erbeuten? Jetzt hat der IT-Dienstleister T-Systems hierzu ein forensisches Gutachten zu dem Angriff vorgelegt. In dem Gutachten steht wörtlich: „Eine Infektion des Active Directory kann nicht ausgeschlossen werden, wurde jedoch nicht nachgewiesen. Wir weisen jedoch ausdrücklich darauf hin, dass ein Angreifer höchstwahrscheinlich in der Lage gewesen ist, einen verborgenen Account anzulegen und den gesamten Datenbestand des KG zu exfiltrieren und zu manipulieren während gleichzeitig die Spuren verschleiert werden.“ Und weiter: „Aufgrund der Unwägbarkeiten der Infektion kann eine Kompromittierung der IT-Infrastruktur des KG nicht ausgeschlossen werden.“ Sowie: "Die Module von Trickbot sind klar auf Datenabfluss ausgerichtet.".

Das würde bedeuten, dass die Hacker den gesamten Datenbestand des Gerichts erbeutet haben könnten, wie n-tv schreibt. Womöglich mit den Namen von (verdeckten) Ermittler und Zeugen, wie der Tagesspiegel warnt. Darunter würden sich auch höchst sensible Informationen aus Terrorprozessen befinden. Der Tagesspiegel spekuliert zudem, dass russische Hacker hinter dem Angriff stecken könnten.

Das Kammergericht versucht in einer Pressemitteilung zu beschwichtigen und schreibt in einer Pressemitteilung: „Die Gefährlichkeit ergibt sich nach dem Gutachten daraus, dass der Angreifer in der Lage gewesen wäre, alle Daten des Kammergerichts entweder zu zerstören oder sich anzueignen. Die Entscheidung, das Kammergericht Ende September 2019 sofort vom Internet zu trennen und abzuschalten, war aus technischer Sicht alternativlos und hat das Schlimmste noch rechtzeitig verhindert.“

Das Gericht räumt ein, dass wahrscheinlich „Daten wie etwa Zugangsdaten abgeflossen sind. Es ist insoweit davon auszugehen, dass durch die Schadsoftware Passwörter, wie beispielsweise Browserpasswörter, abgeflossen sind.“ Diese Zugangsdaten sollen den Angreifern aber nach Darstellung des Gerichts angeblich nichts mehr genutzt haben, weil das „System des Kammergerichts sofort nach den ersten Hinweisen auf den Angriff vom Netz genommen wurde und in der alten Form auch keinesfalls wieder ans Netz gehen wird.“

Das Gericht interpretiert das T-Systems-Gutachten recht eigenwillig: "Dagegen stimmt es auch nach der Untersuchung durch T-Systems nicht, dass festgestellt worden wäre, auch die auf den Kammergerichtssystemen gespeicherten Dokumente wie z. B. Urteile und Beschlüsse mit den darin enthaltenen Inhalten, Namen und Daten seien abgeflossen." Das Gutachten schließt jedoch ganz im Gegenteil - siehe oben der gefettete Abschnitt - einen Abschluss von Daten eben nicht aus!

Lesen Sie auch: Potsdam geht aus Sicherheitsgründen offline

Das Gericht widerspricht zudem Medienberichten, nach denen es keine Backups der Daten gegeben habe. Wie genau Emotet in das Netzwerk des Kammergerichts Berlin gekommen ist, geht aus dem Gutachten nicht hervor; spätestens am 20. September 2020 um 17.52 Uhr war Emotet aber im Netzwerk des Gerichts aktiv. Emotet lud aber weitere Schadprogramme wie Trickbot nach. Trickbot kann zum Beispiel auf dem Computer gespeicherte Passwörter stehlen.

Um das Problem zu beheben, muss die IT-Infrastruktur des Gerichts komplett neu aufgebaut werden. Danach sollen die Altdaten – nach vorangegangener Überprüfung auf Infektionen – wieder eingespielt werden.
Das T-Online-Gutachten kann hier eingesehen werden.

Zur Startseite