Trojaner hackt Kammergericht Berlin: Zugriff auf alle Daten

Der Hacker-Angriff auf das Kammergericht war schwerer als bisher gedacht. Das belegt ein Gutachten. Wer die Angreifer sind, bleibt unklar.

Ist das der Admin des Kammergerichts Berlin? Foto: dpa

BERLIN taz | Es ist das Sinnbild der Digitalisierung in Berlin schlechthin: Die auf der Website angegebene E-Mail-Adresse der Pressestelle des Kammergerichts Berlin ist nicht zu erreichen – noch immer nicht. Und die rund 120 Richter:innen müssen sich in Schichten 60 Not-PCs teilen. Einige haben deswegen sogar den guten alten Karteikasten wieder eingeführt.

Seit vier Monaten schon ist Berlins höchstes Gericht nach einem Angriff durch den Trojaner Emotet offline. Ein Ende des Notbetriebs ist noch immer nicht absehbar, wie es auf Nachfrage heißt. Nun stellt sich heraus, dass der Angriff deutlich schwerwiegender war als bekannt: Es wurden auch sensible Daten geklaut und es gibt Hinweise auf manuelle Zugriffe durch Angreifer:innen. Bislang waren das Kammergericht und die Justizverwaltung von Senator Dirk Behrendt (Grüne) vom Gegenteil ausgegangen.

Die neuen Erkenntnisse beruhen auf einem zunächst nur internen Gutachten. Es wurde von den mit der Schadensbegrenzung betrauten Expert:innen, die seit Oktober im Kammergericht arbeiten, erstellt und von Behrendts Justizverwaltung erst unter Druck am Montag veröffentlicht. Da war dessen Inhalt ohnehin schon in der Öffentlichkeit – der Tagesspiegel hatte darüber berichtet.

Laut Justizverwaltung ist davon auszugehen, dass „beispielsweise“ Zugangsdaten und Browserpasswörter geklaut wurden, heißt es in einer Mitteilung. Justizsenator Behrendt will dem Kammergericht nun weitere Expert:innen zur Seite stellen, um „eine IT-Infrastruktur und IT-Sicherheit zu gewährleisten, die den aktuellen Anforderungen entspricht“. Zudem kriecht Behrendt bei der Datenschutzbeauftragten Maja Smoltczyk zu Kreuze, die „angesichts der neuen Erkenntnisse“ eingeladen sei, sich am Kammergericht ein eigenes Bild zu machen.

Das Schlimmste verhindert?

Smoltczyk kritisierte umgehend: „Insbesondere, weil es sich bei den hier betroffenen Daten um höchst sensitive Informationen handelt, haben wir es mit einem besonders schwerwiegenden Eingriff in die Rechte und Freiheiten der betroffenen Personen zu tun“. Das sagte Smoltczyk am Dienstag der taz. Für die Zukunft müsse sichergestellt sein, dass Gerichtsdaten nur über dienstliche Geräte über eine zentral abgesicherte Infrastruktur verarbeitet würden. Sie kritisierte auch die Erkenntnisse aus dem jüngsten Gutachten als „unzureichend“; zudem seien sie „zu spät an uns kommuniziert worden“, so Smoltczyk.

Auch Bernd Pickel, Präsident des Kammergerichts Berlin, verschärfte seine bisherige Einschätzung: „Der Angreifer wäre in der Lage gewesen, sich alle Daten anzueignen oder zu zerstören.“ Aber Pickel wiegelt auch ab: Die Entscheidung, das Kammergericht Ende September 2019 sofort vom Internet zu trennen und abzuschalten, hätte „das Schlimmste noch rechtzeitig verhindert“. Es seien nur Zugangsdaten geklaut worden, die den Angreifer:innen nichts mehr genutzt hätten, weil die Systeme sofort offline gegangen seien.

Ob das stimmt, bleibt fraglich. Zwar haben die hinzugezogenen IT-Experten keine eindeutigen Belege dafür gefunden, dass weitere Dateien gestohlen, verfälscht, gelöscht oder verschlüsselt wurden. Sie können das aber genauso wenig ausschließen, wie es in dem 14-seitigen Gutachten heißt. „Wir weisen ausdrücklich darauf hin, dass ein Angreifer höchstwahrscheinlich in der Lage gewesen ist, einen verborgenen Account anzulegen und den gesamten Datenbestand des Kammergerichts zu exfiltrieren und zu manipulieren, während gleichzeitig die Spuren verschleiert wurden“, steht in dem Gutachten. Demzufolge hatten Angreifer:innen Zugriff auf alles.

System völlig veraltet

Dass das Kammergericht dem Angriff schutzlos ausgeliefert war, lag am völlig veralteten System. Laut Gutachten lässt sich nicht mehr sagen, wann genau das Netzwerk infiziert wurde – die Log-Dateien, also digitale Protokolle, des Hauptservers, sind laut Gutachten bereits überschrieben. Für eine umfassende Aufzeichnung war zu wenig Speicher vorhanden: Nur 128 Megabyte standen für eine Protokollierung aller Prozesse und Logins auf dem Windows-7-basierten Server zur Verfügung. Deshalb seien „Zugriffe nicht lückenlos rekonstruierbar“, wie es im Gutachten heißt.

Und es existierten weitere Schwachstellen. Neben den unzureichenden Log-Files gab es zu wenige Sicherheitsschranken: Dem IT-System fehlte es an Netzwerksegmentierung und gegliederten Berechtigungskonzepten. Eine Abschottung einzelner Systemteile hätte eine umfassende Infektion verhindern können. Aus einem Standardvorfall wie einer Trojaner-Mail konnte so ein „massive Incident“ werden, wie der Bericht schlussfolgert.

Klar ist bei alledem: Es handelt sich um einen Totalschaden. Das System des Kammergerichts muss komplett neu aufgesetzt werden. Auch weil der genaue Infektionszeitpunkt weiter unklar ist, müssen alte Datenbestände von Schadsoftware bereinigt werden, bevor diese übertragen werden könnten. Daten, die noch geprüft werden, sind bis auf Weiteres nicht verwendbar. Inwieweit diese Datenmigration erfolgreich sein wird, kann man beim Kammergericht noch nicht sagen. Trotz des Hackerangriffs sei das Gericht weiterhin beschlussfähig, betont Sprecher Heymann.

Der Ursprung des Angriffs war laut Expert:innen am wahrscheinlichsten eine Word-Datei im Mail-Anhang, welche die Schadsoftware Emotet enthielt. Dieser Trojaner verselbstständigte sich und lud das Programm Trickbot herunter. Das wiederum ist ein mächtiges Hackerwerkzeug, mit dem Daten verschlüsselt werden können und noch mehr Schadsoftware nachgeladen werden kann.

Widerstände gegen Digitalisierung

Die digitale Infrastruktur von Unternehmen und öffentlichen Verwaltungen sind besonders anfällig für diese Art von Angriff. Es stellt sich die Frage, wie es anderswo um die IT-Sicherheit bestellt ist. Sind noch mehr Behörden so verwundbar wie das Kammergericht? Es gibt landesweit über 80.000 IT-Arbeitsplätze in 101 Berliner Behörden. Um die Digitalisierung voranzutreiben und die IT-Sicherheit zu stärken, ist mit dem E-Government-Gesetz 2016 beschlossen worden, die Verwaltung beim landeseigenen IT-Dienstleistungszentrum Berlin (ITDZ) zu zentralisieren. Deren Netzwerke und Technik sind nach BSI-Standards zertifiziert.

Trotzdem ist Berlins IT-Landschaft 2020 noch immer sehr heterogen: Nur 14.500 dieser PC-Arbeitsplätze werden mittlerweile komplett vom ITDZ betreut, verfügen also über all das, was dem Kammergericht fehlte. „Insgesamt wird das ITDZ in den nächsten Jahren circa 37.500 IKT-Arbeitsplätze betreuen“, sagte Angelika Schwenk vom ITDZ.

Warum die Umstellung so lange dauert? Die Digitalisierungs-Staatsrätin der Innenverwaltung, Sabine Smentek (SPD), sagt: „Unsere IT ist wegen jahrelanger Haushaltskonsolidierung veraltet. Diese notwendigen Investitionen stehen aber in Konkurrenz mit Schulen, Radwegen und der Polizei.“ Vorgänge wie im Kammergericht führten jedoch dazu, dass die Prioritäten sich ändern und die Akzeptanz für Veränderung zunehmen. Zudem gebe es bei Veränderungen immer Widerstände.

Widerstände gegen die Digitalisierung gab es vor allem auch in der Justiz, die ihre IT nicht unter dem Dach des ITDZ organisierte. Das E-Government-Gesetz ist für Gerichte nicht verbindlich – aufgrund der Eigenverantwortung der Gerichtsbarkeit. Das Kammergericht jedenfalls hat diese Entscheidung nach dem Angriff bereut: Der Neuaufbau des System geschieht nun zusammen mit dem ITDZ.