Trojaner-Angriff legt Kammergericht lahm

Vor vier Monaten erlebte Berlin den bisher schwersten Hackerangriff. Das Netzwerk des Kammergerichts – Berlins oberstes Gericht für Straf- und Zivilangelegenheit – wurde mit einem Virus infiziert. Die Folgen sind bis heute nicht beseitigt.

„Das Kammergericht ist bis auf Weiteres nur telefonisch, per Fax oder postalisch zu erreichen.“, heißt es auf deren Webseite. Die IT-Infrastruktur des Kammergerichts wird nun komplett neu aufgebaut. Vor der Übertragung müssen die Daten geprüft und ggf. bereinigt werden. Ob und bis wann dies gelingen wird, steht noch in den Sternen.

Ein interessantes Schlaglicht fiel dabei auf den aktuellen Umgang mit dem besonderen elektronischen Anwaltspostfach. Schriftsätze, die bei Berliner Gerichte auf diesem Weg eingehen, werden – völlig unabhängig von dem Hackerangriff – bis heute aus dem E-Mail-Postfach ausgedruckt und der gegnerischen Seite dann per Post zugestellt.

Pannen bei der Öffentlichkeitsarbeit

Nur nach und nach informierte das Kammergericht über Pressemitteilungen und in Ausschusssitzungen des Berliner Abgeordnetenhauses die Öffentlichkeit darüber, was geschah.

IT-Forensiker nehmen den 20.09.2019 als Infektionszeitpunkt an. Nachdem die IT-Stelle des Kammergerichts am 25.09.2019 Hinweise auf einen Trojaner-Angriff erhielt, wurden die Verbindungen zwischen dem Kammergericht und dem Internet getrennt, um einen (weiteren) Zugriff auf die Daten des Kammergerichts von außen zu verhindern. Am 27.09.2019 wurde das Netzwerk zusätzlich vom Berliner Landesnetz (Intranet) getrennt, um ein Übergreifen des Virus auf die IT-Systeme der Berliner Verwaltung zu verhindern. Die Öffentlichkeit wurde darüber erstmals am 01.10.2019 informiert. Neben einer Reihe von Pressemitteilungen äußerte sich der Präsident des Kammergerichts Dr. Bernd Pickel zum ersten Mal am 30.10.2019 vor dem Rechtsausschuss des Berliner Abgeordnetenhauses.

Erst in der Ausschusssitzung am 29.01.2020 erklärte Justizsenator Behrendt, dass mit hoher Wahrscheinlichkeit Kontaktdaten, Passwörter und E-Mail-Daten betroffen seien. Mit geringer Wahrscheinlichkeit seien Daten von Verfahrensbeteiligten oder Rechtsanwälten abgeflossen.

Für die Untersuchung fehlen Daten

Wir haben Spuren verfolgt, die sich aber nicht haben bestätigen lassen. Diese eine E-Mail, die es gewesen ist, die es ausgelöst hat, haben wir nicht gefunden. E-Mails sind personenbezogene Daten, und wir können nicht einfach mal die E-Mails inhaltlich darauf angucken, wie es Emotet gemacht hat, ob da etwas für uns Interessantes ist.

(Quelle: Kammergerichtspräsident Dr. Pickel am 30.10.2019, Wortprotokoll Recht 18/47, S. 27)

Am 24.01.2020 präsentierte die mit der forensischen Untersuchung beauftragte T-Systems International GmbH ein Gutachten vom 23.12.2019. Für die Untersuchung standen jedoch nur Sicherheitseventlogs für die Zeit ab 14.10.2019 – also mehrere Wochen nach dem Angriff – zur Verfügung. Dadurch können keine Aussagen über Loginaktivitäten durch einen etwaigen Angreifer vor dem 14.10.2019 getroffen werden. Auf dieser Grundlage konnten die Gutachter das Datum, wann die Schadsoftware oder auch eine mögliche Vorgänger-Variante erstmals in das Netzwerk gelangt ist, nicht feststellen. Aber sie empfahlen den vollständigen Neuaufbau der IT-Infrastruktur.

Angriffsweise der Emotet-Schadsoftware

Die Gutachter gehen von einem Angriff durch den Trojaner Emotet aus. Die Infizierung erfolgt typischerweise per fingierter E-Mail, die im Anhang ein manipuliertes Word-Dokument enthält. Die Antivirensoftware von McAfee war zwar auf dem aktuellsten Stand. Sie hat die Malware, die zum Zeitpunkt der Infektion bereits bekannt war, jedoch nicht erkannt.

Der Mitarbeiter des Kammergerichts, der die fingierte E-Mail geöffnet und die Infektion verursacht hat, konnte die Gefahr nicht erkennen:

Da werden E-Mails generiert in gutem Deutsch, die auch die Korrespondenz, die es vorher gegeben hat, ausgewertet haben. (…)
Es war konkret so, dass wir diese Nachricht bekommen haben. Es gibt Traffic zu blacklisted Servern. Wir haben dann noch am ersten Tag (…) festgestellt: Von 13 bestimmten Clients geht diese Kommunikation aus.

(Quelle: Kammergerichtspräsident Dr. Pickel am 30.10.2019, Wortprotokoll Recht 18/47, S. 14)

Schadmodule von TrickBot

Der Virus Emotet lud die eigentliche Schadware TrickBot nach. TrickBot ist in der Lage beliebige Schadmodule auszuführen, z. B. Ransomware-Erpressung, Kryptomining. Auf dem untersuchten Computer identifizierten die Gutachter drei verschiedene Schadmodule[1]:

  • Auf dem System gespeicherte Passwörter (insbesondere Browserpasswörter) werden extrahiert und an die Angreifer weitergeleitet.
  • Dem Nutzer werden im Webbrowser Passwörter aktiv entlockt, insbesondere von Online-Banking Webseiten.
  • Informationen über die Systeme werden dem Angreifer zugespielt.

(Quelle: Gutachten T-Systems International GmbH vom 23.12.2019, S. 6)

Mit einem blauen Auge davongekommen

Es fand keine Verschlüsselung von Daten statt und Lösegeldforderungen sind nicht eingegangen:

Wir haben keine verschlüsselten Daten. Wir haben, obwohl wir –das hat die Untersuchung auch gezeigt –wissen, dass das die Absicht des Virus war, Bestandteile einer Verschlüsselungssoftware gefunden, die schon in unserem Netz drin war. (…)
Wir haben insgesamt 20 [Rechner] festgestellt, die verseucht sind. (…)
Einer dieser Fähigkeiten des Virus ist es, dass dieses Virus eine Schläferfunktion hat, die aufwacht, wenn eine Netzanbindung wiederhergestellt ist und dann Schadsoftware nachlädt.

(Quelle: Kammergerichtspräsident Dr. Pickel am 30.10.2019, Wortprotokoll Recht 18/47, S. 12)

Die Staatsanwaltschaft ermittelt

Fünf Geräte vom Kammergericht sind dem LKA übergeben worden, damit sie da eine forensische Untersuchung machen können. Also dort werden wir dann womöglich noch nähere Anhaltspunkte bekommen, was die Angriffs-richtung angeht.

(Quelle: Justizsenator Behrendt am 30.10.2019, Wortprotokoll Recht 18/47, S. 24)

Folgen für die Arbeit des Kammergerichts

Die Mitarbeiter des Kammergerichts (Richter, Geschäftsstellen, Verwaltung) können ihre Computer nur offline nutzen. Ohne Intranet und Internet ist nur ein eingeschränktes Arbeiten möglich:

  • Die Mitarbeiter können juristische Datenbanken nicht nutzen
  • Bis zum heutigen Tage ist das Kammergericht nicht per E-Mail erreichbar.

 

Zum Glück wurden durch den Hackerangriff die Daten des Kammergerichts nicht gelöscht. Sie sind aber kontaminiert. Die Mitarbeiter haben daher nur Lesezugriff und können die Daten nicht weiterverarbeiten.

Als Vorsichtsmaßnahme wurde den Mitarbeitern außerdem untersagt, USB-Sticks und andere externe Speichermedien zu nutzen, um die Übertragung von infizierte Dateien aus dem Bereich des Kammergerichts auf private IT-Systeme zu verhindern. Zusätzlich wurden die USB-Ports gesperrt.

Wie sieht die Zukunft aus?

Es soll ein Komplettaustausch von mehr als 500 Computern erfolgen. Neue Laptops werden angeschafft und VPN-Zugänge eingerichtet, damit die Mitarbeiter auch von zuhause arbeiten können.

Zugleich wird das bundesweit eingesetzte Programm forumSTAR in allen Berliner Gerichten eingeführt (als Nachfolger der Berliner Insellösung AuLAK), um eine Grundlage für die Einführung der elektronischen Akte zu schaffen, was bis zum Jahr 2026 abgeschlossen werden soll

[1]
Konkret haben die Schadmodule, die durch die Malware Trickbot nachgeladen wurden, folgende Funktionsweise:
• Das Modul pwgrab untersucht lokal hinterlegte Passwortdatenbanken für Browser und einige Softwareapplikationen und sendet diese an den C2 Server.
• Das Modul injectDll versucht login-Daten für Banken über Pop-ups abzugreifen und an den C2 Server zu senden.
• Das Modul systeminfo liest Informationen wie das Betriebssystems des infizierten Rechners aus und leitet diese Informationen an den C2 Server weiter.
(Gutachten T-Systems International GmbH vom 23.12.2019, S. 10)