Schwere Datenpanne: Trojaner-Angriff auf das Kammergericht

Donnerstag, 30. Januar 2020


Bei einem Trojaner-Angriff auf das Kammergericht, das Oberlandesgericht des Landes Berlin, sind nach Angaben der Justizverwaltung entgegen früherer Angaben doch Daten gestohlen worden. Noch Ende Oktober hatte Justizsenator Dirk Behrendt (Grüne) im Rechtsausschuss des Abgeordnetenhauses versichert, dass keine Daten gestohlen wurden.

Schadsoftware Emotet zog Daten ab

Der nun vorgelegte vorläufige forensische Abschlussbericht zum Befall der Kammergerichts-IT zeigt, dass die Schadsoftware über mehrere Tage hinweg weitgehend ungehindert im Netz des Gerichts wüten und Daten abziehen konnte.

Dem Bericht zufolge erfolgte die initiale Infektion durch Emotet. Der Trojaner habe dann die eigentliche Schadware TrickBot nachgeladen. TrickBot ist in der Lage, beliebige Schadmodule auszuführen. Auf dem untersuchten Computer identifizierten die Forensiker drei Module:

  • Auf dem System gespeicherte Passwörter (insbesondere Browserpasswörter) werden extrahiert und an die Angreifer weitergeleitet.
  • Dem Nutzer werden im Webbrowser-Passwörter aktiv entlockt, insbesondere von Online-Banking Webseiten.
  • Informationen über die Systeme werden dem Angreifer zugespielt.

Laut Gutachten könne nicht ausgeschlossen werden, dass die Angreifer höchstwahrscheinlich in der Lage gewesen sind, einen verborgenen Account anzulegen und den gesamten Datenbestand des Kammergericht zu exfiltrieren und zu manipulieren.

Genauer Infektionsweg unbekannt

Der genaue Infektionsweg konnte von den Experten nicht nachvollzogen werden. Wahrscheinlich sei, dass die Infektion über ein Word-Dokument mit Makros als Anhang einer E-Mail stattgefunden hat, möglicherweise beim Öffnen des manipulierten Office-Dokuments über den Browser. Ein weiterer denkbarer Infektionsweg sei ein USB-Datenträger, der die Schaddatei enthielt.

Mangelhafte IT-Infrastruktur ermöglicht "massiven Incident"

Das Gutachten kommt zu einem vernichtenden Fazit: Durch die mangelhafte IT-Infrastrukur (keine Netzwerksegmentierung, keine Filterung am Gateway, keine Proxy Logdaten, lokale Administratoren, mangelnde AD Logs) sei aus einem Standardvorfall ein "massiver Incident" geworden.

Zusätzlich wurden klare Mängel bei der Leistungsfähigkeit bzw. Aktualität der Endpoint Protection-Lösung von McAfee festgestellt. Diese habe Malware, die zum Zeitpunkt der Infektion bereits bekannt war, nicht erkannt.

Die Gutachter empfehlen, die gesamte Windows Domäne neu aufzusetzen, auch um eventuelle Altlasten nicht zu übernehmen. Die zuständige Berliner Senatsverwaltung erklärte hierzu in einer Stellungnahme, man wolle dem Kammergericht dazu "externen Sachverstand zur Seite stellen".

BayLDA: Neue Emotet-Infektionswelle

Nach den Erkenntnissen des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) infizieren sich derzeit zahlreiche Organisationen mit dem Emotet-Trojaner. Die Malware habe bislang bereits einen erheblichen wirtschaftlichen und datenschutzrechtlichen Schaden verursacht.

Das BayLDA warnt daher alle Unternehmen eindringlich und empfiehlt, besonders aufmerksam bei eingehenden E-Mails zu bleiben. Links oder Anhänge dürften nicht sorglos geöffnet werden. Sollte es zu einer Infektion kommen, sei eine Meldung bei der Datenschutzaufsichtsbehörde verpflichtend.

Weitere Sicherheitstipps zur Abwehr von Angriffen auf Ihre IT-Systeme, finden Sie in unserem Beitrag "Neue Trojaner-Welle mit Verschlüsselungstrojaner Grandcrab". (fl)

Quellen:

Pressemitteilung der Senatsverwaltung für Justiz, Verbraucherschutz und Antidiskriminierung vom 27.01.2020: Erkenntnisse zum Emotet-Virus am Berliner Kammergericht

Forensics Report der T-Systems International GmbH vom 23.12.2019: Vorläufiger forensischer Abschlussbericht zur Untersuchung des Incidents beim Berliner Kammergericht - Cyber Defense Center (CDC) and Cyber Emergency Response Team (CERT) T-Systems International GmbH (PDF)

heise online vom 27.01.2020: Emotet: IT-Totalschaden beim Kammergericht Berlin

DER TAGESSPIEGEL vom 30.10.2019: Anhörung zu Trojaner-Angriff: Kammergericht baut den Notbetrieb aus

Pressemitteilung des BayLDA vom 18.12.2019: Weihnachtspost vom Hacker - Warnung vor neuer Emotet-Infektionswelle (PDF)