Bereits im September 2019 wurde das Kammergericht in Berlin das Opfer einer Cyber-Attacke. Der Angriff wurde mit dem bekannten Trojaner Emotet durchgeführt. Aus Sicherheitsgründen wurde damals das Gericht vom Internetzugang, dann aber vom gesamten Netzwerk des Landes getrennt. Anfangs war davon auszugehen, dass die Kriminellen keine Datenpakete abgeschöpft haben.
Wie im Januar 2020 bekannt gegeben wurde, war diese Annahme jedoch ein Trugschluss. Das zeigt, wie lange die Angreifer Zeit hatten, die gestohlenen Daten zu verarbeiten. Gemäß dem Bericht der IT-Forensik gab es sogar zahlreiche Einfallstore am Gerichtshof, mitunter verseuchte E-Mails, oder Speichermedien wie USB-Sticks. Das gern verwendete Eindringen über eine angehängte Datei geschah wohl nicht, da keine solche E-Mail entdeckt wurde.
Jedoch verfügt der Trojaner über die Fähigkeit, vertrauensvolle Absender zu simulieren und Datenpakete im Nachgang zu überschreiben. Im vorliegenden Fall wurde besonders fahrlässig mit Speicherträgern umgegangen: Um die Arbeit auch im Home-Office fortzuführen, wurden häufig private Festplatten und Sticks für den Datentransfer benutzt.
Besonders auffällig ist, dass das Kammergericht Berlin zum Zeitpunkt des Angriffs über keine ausreichende Netzwerksegmentierung verfügte. Das bedeutet, dass der Trojaner über das gesamte Netzwerk hinweg operieren konnte. Auch bestand keine funktionierende Backup-Einrichtung, sie war schlichtweg defekt.
Eine sichere Aussage darüber, welche IT-Einheiten frei vom Befall sind, lasse sich nicht treffen. Die im Gericht gelagerten Datenpakete sind natürlich höchst sensibel, da unter anderem Namen von Zeugen, verdeckten Ermittlern und Informanten abgelegt waren: Diese Datenschutzverletzung gefährdet also Menschenleben.
Die Lage dramatisierte sich, nachdem das BSI mitteilte, dass bei Attacken mit Emotet „grundsätzlich von organisierter Kriminalität auszugehen ist.“ Diese arbeiten oftmals in Gruppen zusammen. ‚Crime-as-a-Service‘ ist der zgängige Begriff dafür. Eine Tätergruppe stellt dabei die Infrastruktur zur Verfügung und wartet diese, eine andere führt den tatsächlichen Hack durch.
Eine weitere Gefahr, die von Emotet ausgeht, ist dessen Fähigkeit, weitere Schadprogramme nachzuladen. Besonders aufgrund der mangelnden Sicherheitsvorkehrungen war dies für die Justiz-Behörde eine große Gefahr. Da das Schutzsystem des Gerichts den Trojaner nicht sofort erkannte, obwohl dieser bereits generell und seit langem bekannt ist, stand den Tätern ein langes Zeitfenster für den Hack zur Verfügung. Emotet selbst öffnet dabei lediglich das Tor, die weiteren Angriffe führen die eingeschleusten Viren aus.
Dem Kammergericht am Kleistpark in Berlin wird letztlich von Sicherheits-Experten des zuständigen Incident-Response-Teams empfohlen, die gesamte IT-Infrastruktur grundsätzlich neu aufzubauen. Es sei nicht sicher feststellbar, ob der Trojaner entfernt werden konnte, oder lediglich zum Schläfer mutierte, da zu viele Sicherheitslücken und Unwägbarkeiten gefunden wurden.
Wie sich Organisationen präventiv schützen können
Dieser Fall zeigt deutlich, dass die Anforderungen an die IT-Infrastruktur sich ständig wandeln und es daher wichtig ist, potentiellen Angreifern stets einen Schritt voraus zu sein. Wie Angestellte arbeiten auch Richter mobiler und gehen für ihre Arbeit nicht mehr zwingend ins Büro, sondern bleiben im Home-Office. Aufgrund dessen sollten sämtliche, sich im System befindenden Assets geprüft, bewertet und verwaltet werden.
Die IT muss zu jedem Zeitpunkt in der Lage sein, über den Status-Quo zu berichten. Außerdem sollte, um die ungebremste Ausbreitung eines Schädlings zu verhindern, das Netzwerk segmentiert sein, damit nicht alle Datenpakete ausgelesen werden können, oder die Angreifer von System zu System springen.
Schließlich müssen sämtliche Schwachstellen, gefunden werden, danach bekannt sein und ihr jeweiliges Risiko bewertet werden. Es bietet sich auch an die Sicherheitslücken zu priorisieren. Nur auf diese Weise lassen sich Angriffe, wenn schon nicht verhindern, wenigstens in ihrem Ausmaß stark eindämmen.