IT-Gutachten Trojaner-Attacke auf Berliner Kammergericht folgenreicher als vermutet

Seit Monaten plagen das Berliner Kammergericht die Konsequenzen eines Angriffs mit der Schadsoftware Emotet. Das Netzwerk war offenbar haarsträubend schlecht für so einen Fall gerüstet.
Berliner Kammergericht (Archivbild): seit Monaten Probleme mit einem Computervirus

Berliner Kammergericht (Archivbild): seit Monaten Probleme mit einem Computervirus

Foto: Ole Spata/ DPA

Das Computerproblem des Berliner Kammergerichts ist offenbar schwerwiegender als bislang bekannt. Das berichtet der "Tagesspiegel"  unter Berufung auf ein Gutachten von T-Systems. Ein Einblick in diese Untersuchung des IT-Dienstleisters war dem Vorsitzenden des Rechtsausschusses des Berliner Abgeordnetenhauses Anfang des Monats noch verweigert worden .

Das Kammergericht war Ende September von einem Computerproblem lahmgelegt worden - und viele Richter und Beschäftigte sind im Alltag nach wie vor mit den Folgen konfrontiert. "Wegen einer festgestellten Schadsoftware ist das Computersystem des Kammergerichts vorübergehend vom Netz genommen worden", heißt es noch immer auf der Website des Kammergerichts . "Das Kammergericht ist bis auf Weiteres nur telefonisch, per Fax und postalisch zu erreichen." Seine "Arbeitsfähigkeit" sei aber gewährleistet. 

Bei der erwähnten Schadsoftware handelt es sich um Emotet, einen Trojaner, vor dem das Bundesamt für Sicherheit in der Informationstechnik (BSI) schon seit Langem warnt, der aber immer wieder Unternehmen und Organisationen in Bedrängnis bringt. Emotet wird unter anderem über Spam-E-Mails verbreitet, die wie Nachrichten von Kontakten daherkommen, mit denen jemand tatsächlich in Kontakt stand. Dem BSI zufolge enthalten die Mails "entweder ein schädliches Office-Dokument direkt als Dateianhang oder einen Link, welcher zum Download eines solchen Dokuments führt": Über in den Dokumenten enthaltene Makros würden die Opfersysteme mit dem Schadprogramm infiziert. Anschließend spähe Emotet Zugangsdaten zu E-Mail-Konten aus und verbreite sich mithilfe darin auffindbarer Adressen weiter.

Die eigentliche Infektion eines Netzwerks ist aber oft nur der erste Schritt: Emotet bietet den Angreifern auch die Möglichkeit, weitere Schadsoftware wie Banking- und Verschlüsselungstrojaner nachzuladen, mit denen sich dann Unternehmen erpressen lassen.

Viele Fragen bleiben offen

Das Gutachten von T-Systems liefert nach "Tagesspiegel"-Informationen keine klare Antwort auf die Frage, wie Emotet ins IT-System des Kammergerichts gelangt ist. Neben E-Mails mit Office-Dokumenten im Anhang könnten aber offenbar auch private Speichermedien wie USB-Sticks, die Mitarbeiter des Gerichts für den Datentransport zwischen Büro- und Heimarbeitsplatz nutzten, ein Einfallstor gewesen sein.

Darauf, dass es um die IT-Sicherheit des Gerichts schlecht stand, deutet dem Bericht zufolge einiges hin. Ein lokales Bekämpfen der Schadsoftware sei nicht möglich gewesen, heißt es, dafür habe es an Netzwerksegmentierung gemangelt. Die Protokollierung von sicherheitskritischen Vorfällen sei kaum hilfreich gewesen, weil der dafür zur Verfügung stehende Speicherplatz so klein gewählt war, dass er alle paar Tage überschrieben wurde. Software von McAfee habe die Schadprogramme nicht erkannt. Der "Tagesspiegel" schreibt, dass zudem sämtliche Back-up-Server des Kammergerichts zum Zeitpunkt des Bekanntwerdens der Infektion defekt gewesen seien.

Anders als bisher bekannt soll es auch einen Datenabfluss gegeben haben. Zu welchem Zeitpunkt und in welchem Umfang dieser stattfand, wird laut "Tagesspiegel" im Gutachten aber nicht beschrieben. Im Herbst hatte unter anderem der Berliner Justizsenator Dirk Behrendt gesagt, dass nach "bisherigem Kenntnisstand" keine Daten abhandengekommen seien.

Die beauftragten IT-Experten stellt der zeitliche Ablauf augenscheinlich nicht nur in Sachen Datenabfluss vor Rätsel. So soll es im Gutachten heißen, dass sich nicht rekonstruieren lasse, wann genau Emotet das Netzwerk infiziert habe.

Update, 13.50 Uhr: Mittlerweile ist eine öffentliche Version des Gutachtens  auf der Website der Senatsverwaltung zu finden. Die IT-Experten von T-Systems raten dem Gericht darin zu einem "kompletten Neuaufbau der IT-Infrastruktur". Die Untersuchung eines infizierten Computers hat dem Dokument zufolge ergeben, dass Emotet auf dem Rechner die eigentliche Schadsoftware Trickbot nachgeladen hat. "TrickBot ist in der Lage beliebige Schadmodule auszuführen", heißt es weiter: "Auf dem untersuchten Computer ließen sich drei Module identifizieren: Auf dem System gespeicherte Passwörter (insbesondere Browserpasswörter) werden extrahiert und an die Angreifer weitergeleitet. Dem Nutzer werden im Webbrowser Passwörter aktiv entlockt, insbesondere von Online-Banking Webseiten. Informationen über die Systeme werden dem Angreifer zugespielt."

Zum möglichen Startpunkt des Befalls heißt es: "Durch Untersuchung eines Clients ist eine Infektion ab spätestens 20.09.2019 um 17:52 nachgewiesen." Außerdem schreibt T-Systems: "Die Module von Trickbot sind klar auf Datenabfluss ausgerichtet. Eine Verschlüsselung oder Manipulation von Dateien auf den Geräten konnte nicht nachgewiesen werden."

mbö
Die Wiedergabe wurde unterbrochen.