Trojaner hackt Kammergericht Berlin: Zugriff auf alle Daten
Der Hacker-Angriff auf das Kammergericht war schwerer als bisher gedacht. Das belegt ein Gutachten. Wer die Angreifer sind, bleibt unklar.
Seit vier Monaten schon ist Berlins höchstes Gericht nach einem Angriff durch den Trojaner Emotet offline. Ein Ende des Notbetriebs ist noch immer nicht absehbar, wie es auf Nachfrage heißt. Nun stellt sich heraus, dass der Angriff deutlich schwerwiegender war als bekannt: Es wurden auch sensible Daten geklaut und es gibt Hinweise auf manuelle Zugriffe durch Angreifer:innen. Bislang waren das Kammergericht und die Justizverwaltung von Senator Dirk Behrendt (Grüne) vom Gegenteil ausgegangen.
Die neuen Erkenntnisse beruhen auf einem zunächst nur internen Gutachten. Es wurde von den mit der Schadensbegrenzung betrauten Expert:innen, die seit Oktober im Kammergericht arbeiten, erstellt und von Behrendts Justizverwaltung erst unter Druck am Montag veröffentlicht. Da war dessen Inhalt ohnehin schon in der Öffentlichkeit – der Tagesspiegel hatte darüber berichtet.
Laut Justizverwaltung ist davon auszugehen, dass „beispielsweise“ Zugangsdaten und Browserpasswörter geklaut wurden, heißt es in einer Mitteilung. Justizsenator Behrendt will dem Kammergericht nun weitere Expert:innen zur Seite stellen, um „eine IT-Infrastruktur und IT-Sicherheit zu gewährleisten, die den aktuellen Anforderungen entspricht“. Zudem kriecht Behrendt bei der Datenschutzbeauftragten Maja Smoltczyk zu Kreuze, die „angesichts der neuen Erkenntnisse“ eingeladen sei, sich am Kammergericht ein eigenes Bild zu machen.
Das Schlimmste verhindert?
Smoltczyk kritisierte umgehend: „Insbesondere, weil es sich bei den hier betroffenen Daten um höchst sensitive Informationen handelt, haben wir es mit einem besonders schwerwiegenden Eingriff in die Rechte und Freiheiten der betroffenen Personen zu tun“. Das sagte Smoltczyk am Dienstag der taz. Für die Zukunft müsse sichergestellt sein, dass Gerichtsdaten nur über dienstliche Geräte über eine zentral abgesicherte Infrastruktur verarbeitet würden. Sie kritisierte auch die Erkenntnisse aus dem jüngsten Gutachten als „unzureichend“; zudem seien sie „zu spät an uns kommuniziert worden“, so Smoltczyk.
Auch Bernd Pickel, Präsident des Kammergerichts Berlin, verschärfte seine bisherige Einschätzung: „Der Angreifer wäre in der Lage gewesen, sich alle Daten anzueignen oder zu zerstören.“ Aber Pickel wiegelt auch ab: Die Entscheidung, das Kammergericht Ende September 2019 sofort vom Internet zu trennen und abzuschalten, hätte „das Schlimmste noch rechtzeitig verhindert“. Es seien nur Zugangsdaten geklaut worden, die den Angreifer:innen nichts mehr genutzt hätten, weil die Systeme sofort offline gegangen seien.
Ob das stimmt, bleibt fraglich. Zwar haben die hinzugezogenen IT-Experten keine eindeutigen Belege dafür gefunden, dass weitere Dateien gestohlen, verfälscht, gelöscht oder verschlüsselt wurden. Sie können das aber genauso wenig ausschließen, wie es in dem 14-seitigen Gutachten heißt. „Wir weisen ausdrücklich darauf hin, dass ein Angreifer höchstwahrscheinlich in der Lage gewesen ist, einen verborgenen Account anzulegen und den gesamten Datenbestand des Kammergerichts zu exfiltrieren und zu manipulieren, während gleichzeitig die Spuren verschleiert wurden“, steht in dem Gutachten. Demzufolge hatten Angreifer:innen Zugriff auf alles.
System völlig veraltet
Dass das Kammergericht dem Angriff schutzlos ausgeliefert war, lag am völlig veralteten System. Laut Gutachten lässt sich nicht mehr sagen, wann genau das Netzwerk infiziert wurde – die Log-Dateien, also digitale Protokolle, des Hauptservers, sind laut Gutachten bereits überschrieben. Für eine umfassende Aufzeichnung war zu wenig Speicher vorhanden: Nur 128 Megabyte standen für eine Protokollierung aller Prozesse und Logins auf dem Windows-7-basierten Server zur Verfügung. Deshalb seien „Zugriffe nicht lückenlos rekonstruierbar“, wie es im Gutachten heißt.
Und es existierten weitere Schwachstellen. Neben den unzureichenden Log-Files gab es zu wenige Sicherheitsschranken: Dem IT-System fehlte es an Netzwerksegmentierung und gegliederten Berechtigungskonzepten. Eine Abschottung einzelner Systemteile hätte eine umfassende Infektion verhindern können. Aus einem Standardvorfall wie einer Trojaner-Mail konnte so ein „massive Incident“ werden, wie der Bericht schlussfolgert.
Klar ist bei alledem: Es handelt sich um einen Totalschaden. Das System des Kammergerichts muss komplett neu aufgesetzt werden. Auch weil der genaue Infektionszeitpunkt weiter unklar ist, müssen alte Datenbestände von Schadsoftware bereinigt werden, bevor diese übertragen werden könnten. Daten, die noch geprüft werden, sind bis auf Weiteres nicht verwendbar. Inwieweit diese Datenmigration erfolgreich sein wird, kann man beim Kammergericht noch nicht sagen. Trotz des Hackerangriffs sei das Gericht weiterhin beschlussfähig, betont Sprecher Heymann.
Worst Case Was schlimmstenfalls bei einem Hackerangriff passieren kann, zeigt etwa ein Fall aus dem niedersächsischen Neustadt: Die Behörden der 45.000-Einwohner-Stadt wurden von dem Trojaner Emotet ebenfalls infiltriert. In der Folge verschlüsselten die Hacker ein Drittel der Daten, sodass wichtige öffentliche Informationen nicht mehr zugänglich waren – darunter Pläne für eine Kita, eine Schule und die Kanalisation. Kriminelle verlangten für die Entschlüsselung Lösegeld. Die Gemeinde weigerte sich zu zahlen. Die Daten sind seither verloren.
Glück gehabt Immerhin: Von verschlüsselten Daten des Kammergerichts ist bisher nichts bekannt. Und einen Erpressungsversuch wie in Neustadt hat es bislang auch nicht gegeben, wie das Kammergericht auf Nachfrage mitteilte. (gjo)
Der Ursprung des Angriffs war laut Expert:innen am wahrscheinlichsten eine Word-Datei im Mail-Anhang, welche die Schadsoftware Emotet enthielt. Dieser Trojaner verselbstständigte sich und lud das Programm Trickbot herunter. Das wiederum ist ein mächtiges Hackerwerkzeug, mit dem Daten verschlüsselt werden können und noch mehr Schadsoftware nachgeladen werden kann.
Widerstände gegen Digitalisierung
Die digitale Infrastruktur von Unternehmen und öffentlichen Verwaltungen sind besonders anfällig für diese Art von Angriff. Es stellt sich die Frage, wie es anderswo um die IT-Sicherheit bestellt ist. Sind noch mehr Behörden so verwundbar wie das Kammergericht? Es gibt landesweit über 80.000 IT-Arbeitsplätze in 101 Berliner Behörden. Um die Digitalisierung voranzutreiben und die IT-Sicherheit zu stärken, ist mit dem E-Government-Gesetz 2016 beschlossen worden, die Verwaltung beim landeseigenen IT-Dienstleistungszentrum Berlin (ITDZ) zu zentralisieren. Deren Netzwerke und Technik sind nach BSI-Standards zertifiziert.
Trotzdem ist Berlins IT-Landschaft 2020 noch immer sehr heterogen: Nur 14.500 dieser PC-Arbeitsplätze werden mittlerweile komplett vom ITDZ betreut, verfügen also über all das, was dem Kammergericht fehlte. „Insgesamt wird das ITDZ in den nächsten Jahren circa 37.500 IKT-Arbeitsplätze betreuen“, sagte Angelika Schwenk vom ITDZ.
Warum die Umstellung so lange dauert? Die Digitalisierungs-Staatsrätin der Innenverwaltung, Sabine Smentek (SPD), sagt: „Unsere IT ist wegen jahrelanger Haushaltskonsolidierung veraltet. Diese notwendigen Investitionen stehen aber in Konkurrenz mit Schulen, Radwegen und der Polizei.“ Vorgänge wie im Kammergericht führten jedoch dazu, dass die Prioritäten sich ändern und die Akzeptanz für Veränderung zunehmen. Zudem gebe es bei Veränderungen immer Widerstände.
Widerstände gegen die Digitalisierung gab es vor allem auch in der Justiz, die ihre IT nicht unter dem Dach des ITDZ organisierte. Das E-Government-Gesetz ist für Gerichte nicht verbindlich – aufgrund der Eigenverantwortung der Gerichtsbarkeit. Das Kammergericht jedenfalls hat diese Entscheidung nach dem Angriff bereut: Der Neuaufbau des System geschieht nun zusammen mit dem ITDZ.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Lohneinbußen für Volkswagen-Manager
Der Witz des VW-Vorstands
Deutungskampf nach Magdeburg
„Es wird versucht, das komplett zu leugnen“
Polizeigewalt gegen Geflüchtete
An der Hamburger Hafenkante sitzt die Dienstwaffe locker
Insolventer Flugtaxi-Entwickler
Lilium findet doch noch Käufer
Anschlag in Magdeburg
Vorsicht mit psychopathologischen Deutungen
Rechte Gewalt in Görlitz
Mutmaßliche Neonazis greifen linke Aktivist*innen an