Schwerwiegender Hackerangriff auf Berliner Kammergericht – Senator bestätigt Abfluss sensibler Daten

Im Oktober, ging der Berliner Justizsenator noch davon aus, dass es keinen Datenabfluss beim Hackerangriff im September auf das Berliner Kammergericht (Berliner Oberlandesgericht) gab.

Am Freitag teilte die Senatsverwaltung nun mit, dass sensible Daten beim Hackerangriff abgeflossen sind, wie ein forensisches Gutachten von T-Systems bestätigte. Wann genau der Angriff der Schadsoftware stattfand, ist nicht eindeutig geklärt. Laut dem Gutachten, das der Epoch Times vorliegt, wird der 20.09.2019 als Zeitpunkt angenommen.

Nach Angaben der Justizverwaltung des Berliner Senats bezieht sich – nach jetzigem Erkenntnisstand – der Datenabfluss auf Zugangsdaten wie Passwörter, wie beispielsweise Browserpasswörter. Weitere Abflüsse sind nicht bekannt, können aber auch nicht ausgeschlossen werden.

Emotet Virus und TrickBot wurden im IT-Netz des Kammergerichtes gefunden

Laut Gutachten wurde für den Hackerangriff der Emotet Virus und das Schadprogramme TrickBot eingesetzt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärt auf seinen Seiten dazu: „Emotet liest die Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern infizierter Systeme aus. Diese Informationen nutzen die Täter zur weiteren Verbreitung des Schadprogramms.“

Die konkrete Funktionsweise ist: „Die Empfänger erhalten E-Mails mit authentisch aussehenden, jedoch erfundenen Inhalten von Absendern, mit denen sie erst kürzlich in Kontakt standen. Aufgrund der korrekten Angabe der Namen und Mailadressen von Absender und Empfänger in Betreff, Anrede und Signatur wirken diese Nachrichten auf viele authentisch. Deswegen verleiten sie zum unbedachten Öffnen des schädlichen Dateianhangs oder der in der Nachricht enthaltenen URL.“

Schließlich, so das BSI, lade Emotet, wenn der Computer erst damit infiziert sei, weitere Schadsoftware nach, wie zum Beispiel den Banking-Trojaner TrickBot. Diese Schadprogramme führten dann zu Datenabfluss oder ermöglichten den Kriminellen die vollständige Kontrolle über das System.

IT-Dienstleistungszentrum fielen ungewöhnliche Datenaktivitäten auf

Aufgefallen ist die Infektion nicht dem Kammergericht selbst. Stattdessen stellte das IT-Dienstleistungszentrum, dass das IT-Datennetz zwischen den Berliner Behörden betreut – am 25. September fest – dass aus den IT-Systemen des Berliner Kammergerichts Kontakt mit sogenannten Command-and-Control-Servern aufgenommen wurde, berichtet der Tagesspiegel. Diese Server würden unter anderem dazu benutzt, um Schadsoftware zu steuern.

Daraufhin wurde das gesamte IT-Netz des Kammergerichtes vom IT-Landesnetz genommen. Auch jetzt steht kein IT-Netz für einen Großteil der Richter und Mitarbeiter des Kammergerichtes zur Verfügung. Das Gutachten von T-Systems stuft den Befall der IT-Infrastruktur des KG Berlin als schwerwiegend ein.

Das Gutachten weist ausdrücklich darauf hin, dass „ein Angreifer höchstwahrscheinlich in der Lage gewesen ist, einen verborgenen Account anzulegen und den gesamten Datenbestand des KG zu exfiltrieren und zu manipulieren“, während gleichzeitig die Spuren verschleiert würden.

Denn die Module von Trickbot wären klar auf Datenabfluss ausgerichtet, so das Gutachten. Aufgrund des Fehlens von Ereignisprotokolleinträgen, legt das Gutachten nahe, „das auch ein Zugriff durch Dritte von extern erfolgt ist“.

IT-Infrastruktur wies mehrere Schwachpunkte auf

Laut Gutachten wurden gleich mehrere Schwachpunkte in der IT-Infrastruktur des Berliner Kammergerichtes gefunden. Dadurch wäre laut dem Gutachten „aus einem Standardvorfall ein massiver Incident“ entstanden.

So hätte beispielsweise die Endpoint Protection Lösung von McAfee darin versagt, die Varianten der Schadsoftware auf den Systemen zu erkennen. Zudem fehle eine Netzwerksegmentierung. Auch fehle eine Filterung am Gateway, Proxy Logdaten und lokale Administratoren, sowie mangelnde AD Logs (fehlende Überwachung von aktiven Ereignisprotokollen).

FDP-Politiker sieht in schlechter IT-Infrastruktur Verstoß gegen Amtsverschwiegenheit

FDP-Politiker Bernd Schlömer, Mitglied im Landesfachausschuss Netzpolitik, Digitale Gesellschaft und Medien erkennt im Gutachten, dass seit langem geltende IT-Standards – wie die Netzwerksegmentierung – offensichtlich grob fahrlässig ignoriert worden sind.

Er sieht in den Verstößen gegen die Grundprinzipien der IT-Sicherheit Verstöße gegen das Prinzip der Amtsverschwiegenheit (§ 26 Amtsverschwiegenheit des Landesbeamtengesetzes von Berlin), die dementsprechend disziplinarrechtlich oder personalrechtlich zu verfolgen seien.

Für ihn wäre der Cyberangriff in seinem Ausmaß durchaus zu verhindern gewesen. Schlömer sieht nicht nur im Datenabfluss einen Schadensfall, sondern auch in dem kompletten Neuaufbau der IT-Infrastruktur – der „wohl eine Millionenhöhe erreichen wird“.

Die Justiz-Senatsverwaltung erklärte Epoch Times gegenüber, dass ihr die IT-Sicherheitsprobleme des Berliner Kammergerichtes in dem Umfang, wie es durch das Gutachten von T-Systems festgestellt wurde, nicht bekannt war. Für weitere Fragen verwies man auf das Kammergericht, das jedoch zwecks einer Anfrage nicht erreicht werden konnte.