LTO.de - Legal Tribune Online - Aktuelles aus Recht und Justiz
 

Gutachten zum Trojanerangriff aufs Kammergericht: Daten­dieb­stahl nicht aus­ge­sch­lossen

von Dr. Markus Sehl

27.01.2020

Das Kammergericht leidet seit Monaten unter den Folgen des Trojanerangriffs auf sein Computersystem. Die Attacke war offenbar folgenreicher als bislang angenommen, wie ein IT-Gutachten zu dem Vorfall nahelegt.

Sehr wahrscheinlich beginnt der ganze Ärger für das Kammergericht (KG) in Berlin am 20. September vergangenen Jahres gegen 18 Uhr. Ein Rechner wird mit dem berüchtigten Trojaner "Emotet" infiziert, er macht den Weg frei für weitere Schadsoftware. Die wird anschließend nachgeladen und verschafft dem unbekannten Angreifer den Zugriff auf das Computersystem des KG. Zu diesem Ergebnis kommt ein 14-seitiges vorläufiges IT-Gutachten, das LTO vorliegt.

Offenbar wurden bei der Attacke auch Daten gestohlen, davon gehen jedenfalls die beauftragten IT-Fachleute von T-Systems aus. Eine durch den Virus nachgeladene Schadsoftware mit dem Namen "TrickBot" sei "klar auf Datenabfluss ausgerichtet", heißt es in dem Gutachten.

Passwörter könnten "abgeflossen" sein

Auch die Berliner Justizverwaltung räumt nun ein, dass bei dem Angriff - entgegen früherer Angaben - doch Daten gestohlen worden sein könnten. "Es ist insoweit davon auszugehen, dass durch die Schadsoftware Passwörter, wie beispielsweise Browserpasswörter, abgeflossen sind", teilte die Senatsverwaltung für Justiz am Montag mit. Zuvor hatte der Tagesspiegel darüber berichtet.

Die Schadsoftware, die die IT-Experten in dem untersuchten PC-System des KG gefunden haben, konnte gespeicherte Passwörter an die Angreifer weiterleiten und sie sozusagen live bei der Eingabe im Internet abgreifen.

Noch Ende Oktober hatte Justizsenator Dirk Behrendt (Grüne) im Rechtsausschuss des Abgeordnetenhauses versichert, dass keine Daten gestohlen worden seien. Nun lägen aber durch den vorläufigen Abschlussbericht neue Erkenntnisse vor. Behrendt will dem Gericht jetzt externen Sachverstand zur Seite stellen, um eine Techniksicherheit zu gewährleisten, die den aktuellen Anforderungen entspricht, hieß es.

Strukturelle Schwachstellen

Offenbar war das IT-System des KG auch strukturell schlecht gegen derartige Angriffe gerüstet. "Die besondere Schwere des Angriffs liegt in der fehlenden Netzwerksegmentierung des KG sowie lokale Administratorenaccounts der Nutzer", so das Gutachten. "Der Befall der IT-Infrastruktur des KG ist schwerwiegend", heißt es als zusammenfassende Einschätzung im Gutachten. 

Wie genau der Virus auf die Computer des KG gelangte, konnten auch die IT-Untersuchungen bislang nicht aufklären. Laut Gutachten wurden E-Mails, aber auch die Besuche von Nutzern auf Internetseiten überprüft. Für am wahrscheinlichsten hält das Gutachten, dass der Virus auf einem USB-Stick ins KG gelangte. "Eine Infektion über einen USB-Stick kann weder ausgeschlossen noch nachgewiesen werden", so das Gutachten.

Ziemlich sicher sind sich die Gutachter aber, wo das Virus versteckt war. "Erfahrungsgemäß wird hierfür ein manipuliertes Word Dokument mit aktivierten Makros verwendet." Bei sogenannten Makros handelt es sich um ein Programmteil, das in ein Dokument, z.B. einen Word-Text, eingebettet sein kann. Beim Öffnen des Dokuments kann es - vereinfacht gesagt - ein Eigenleben entfalten. Standardmäßig ist das automatische Aktivieren solcher Makros bei Office aber ausgeschaltet.

Virenprogramm nicht aktuell

Stellenweise deutet das Gutachten weitere verheerende Folgen des Angriffs an, auch wenn es sich einer vorsichtigen Sprache bedient: "Wir weisen jedoch ausdrücklich darauf hin, dass ein Angreifer höchstwahrscheinlich in der Lage gewesen ist, einen verborgenen Account anzulegen und den gesamten Datenbestand des KG zu exfiltrieren und zu manipulieren während gleichzeitig die Spuren verschleiert werden."

Der Präsident des KG, Bernd Pickel, betonte, dass keine auf dem Kammergerichtssystem gespeicherten Dokumente wie Urteile oder Beschlüsse abgeflossen seien. Die Untersuchung bestätige aber, "dass es sich um einen äußerst gefährlichen und schwerwiegenden Sicherheitsvorfall handelte", so Pickel am Montag. 

Auch das Virenprogramm versagte, offenbar war es nicht auf dem aktuellen Stand. Dieses "hat Malware, die zum Zeitpunkt der Infektion bereits bekannt war, nicht erkannt", so das Gutachten.

Viele Richter-Computer wohl noch immer offline

Das Gutachten rät einen kompletten Neuaufbau der IT-Infrastruktur an. Auch Präsident Pickel teilt mit, es könne nur der "vollständige Neuaufbau einer sicheren IT-Infrastruktur für das Kammergericht" geboten sein.

Das IT-Dienstleistungszentrum Berlin (ITDZ) hatte den Virus im Computersystem Ende September bemerkt. Die Rechner wurden daraufhin umgehend vom Internet getrennt, das Gericht vom Netz genommen. Laut Tagesspiegel soll dieser Zustand für einen Großteil der Richter bis heute anhalten.

Zitiervorschlag

Gutachten zum Trojanerangriff aufs Kammergericht: Datendiebstahl nicht ausgeschlossen . In: Legal Tribune Online, 27.01.2020 , https://www.lto.de/persistent/a_id/39919/ (abgerufen am: 09.08.2020 )

Infos zum Zitiervorschlag