Cyber-Attacke auf Kammergericht mit Emotet-Malware

Das Berliner Kammergericht gehört zu den jüngsten Opfern der Angriffswelle durch Emotet-Schadsoftware. Zu den Folgen des Schädlingsangriffs gehört, dass nach der Attacke nicht nur ein kompletter Neuaufbau der IT-Infrastruktur notwendig werden dürfte, sondern wohl auch hochsensible Daten entwendet wurden.

Der Angriff auf das Gericht beruht nicht auf einem überraschenden Hackerfortschritt:  Bereits seit 2014 kennt man in der Sicherheitsszene den sogenannten Emotet-Trojaner, doch vor allem seit ca. zwei Jahren haben die Entwickler diese Schadsoftware zu einer der größten Bedrohungen für die IT-Sicherheit überhaupt weiterentwickelt.

Erfolgreiche E-Mail-Spionage hinein in die Justiz 

Das Kammergericht Berlin musste im Anschluss an den Angriff vom Berliner Landesnetz getrennt werden und der Großteil der mehr als 500 Richter und Beschäftigten ist bis heute "abgehängt". Wie konnte der Angriff gelingen?

Die Emotet-Schadsoftware gelangt meist über E-Mail-Anhänge, wo sie sich als vermeintlich harmloses Word-Dokument tarnt, oder über E-Mails mit Links auf manipulierte Webseiten auf die Rechner der Opfer. Auch die Nutzung von verseuchten Speichermedien wie USB-Sticks kann dem Virus auf den Rechner helfen.

Wie die Infizierung des Gerichts erfolgte, ist noch nicht geklärt

Wie Emotet-Malware ihren Weg fand, um das  Kammergericht zu befallen, konnte von den IT-Experten noch  nicht identifiziert werden. Bekannt wurde jedenfalls, dass Richter und Mitarbeiter teilweise privaten Geräte für den Datentransport zwischen Büro- und Heimarbeitsplatz genutzt haben.

Im Netz angekommen, verhält sich die Malware zunächst unauffällig und beginnt damit, die E-Mail-Systeme auszuspionieren, indem etwa Kontaktdaten, aber auch die Inhalte des E-Mail-Verkehrs ausgelesen werden.

Die auf diese Weise erbeutete Informationen können die Angreifer dann zum einen dazu nutzen, weitere Systeme zu infiltrieren, indem sie nun manipulierte E-Mails unter falscher Identität an die gefundenen Kontaktdaten senden. Diese E-Mails sind dann kaum oder gar nicht mehr als potenziell gefährlich Nachrichten zu erkennen, denn nicht nur ist der Absender vermeintlich eine bekannte Kontaktperson, sondern auch der Inhalt oder sogar der Stil der Mail entspricht dem gewohnten E-Mails, teilweise nehmen die E-Mails auch Bezug auf tatsächlich geführten Konversationen.

Emotet lädt auf befallenen Rechnern Malware mit anderen Funktionen nach

Emotet ist umso gefährlicher, da auf den schon befallenen Rechnern auch noch weitere Malware nachziehen kann, die mit Sonderbegabungen andersartiges Unheil stiften.

  • Hierbei kann es sich beispielsweise um Ransomware handeln, mit denen Daten auf den befallenen Rechnern verschlüsselt werden
  • oder ganze Rechnernetze unbrauchbar gemacht werden.

Erst gegen die Zahlung eines Lösegelds versprechen die Angreifer ein Passwort zur Entschlüsselung bzw. Wiederherstellung.

Es können aber auch andere Schädlinge übertragen werden, etwa für Angriffe auf das Online-Banking oder es können schließlich auch Zugriffe auf die gespeicherten Daten erfolgen und somit hochsensible Informationen entwendet werden.

Kein Ende und kein echtes Gegenmittel gegen Emotet-Malware in Sicht

Gefährdet durch Emotet sind Unternehmen und sonstige Organisationen in nahezu allen Branchen und Bereichen und in allen Größenordnungen. Spektakuläre Fälle betrafen in jüngster Zeit vor allem Stadtverwaltungen und Gesundheitseinrichtungen oder auch sonstige Behörden.

Am Kammergericht steht wohl ein kompletter Neuaufbau der IT-Infrastruktur an

Diesmal zielte der Schädling auf Justitia. Die Ende September bekannt gewordene Attacke auf das Berliner Kammergericht sorgt zum einen für Aufsehen,  weil das mittlerweile ermittelte Ausmaß des Malware-Angriffs wohl einen kompletten Neuaufbau der IT-Infrastruktur notwendig macht. Das liegt wohl auch an der unzureichenden Netzwerksegmentierung. Diese reichte am Kammergericht reichte nicht aus, um Attacken lokal einzugrenzen und zu bekämpfen. Die einmal eingeschleuste Viren konnten so nahezu ungehindert das gesamte System befallen und lahmlegen

KG-Hack: Natur der Sache führt dazu, dass  besonders sensible Daten betroffen sind

Einen Datenabfluss vom Kammergericht wurde zunächst seitens der Justiz bestritten, diese Aussage wurde jedoch durch das Gutachten des IT-Dienstleisters "T-Systems" korrigiert. Eine Datenpanne kleinzureden würde allerdings nicht im Einklang mit den Vorgaben der DSGVO stehen (Wann muss man eine Datenpanne melden).

Es ist aber nicht nur -  zu diesem Schluss kommt jedenfalls ein Gutachten, über das der "Berliner Tagesspiegel" berichtete - davon auszugehen, dass es den Angreifern möglich war, weitgehend ungehindert auf umfangreiche Datenbestände des Gerichts zuzugreifen und diese Daten zu kopieren und / oder zu manipulieren.

Sollten die Angreifer diese - in einem Gericht dieser Größe und Funktion - hochsensiblen Daten erbeutet haben und diese in die falschen Hände geraten, könnte dies weitreichende Folgen haben, denn am Berliner Kammergericht, das in etwa mit einem Oberlandesgericht in anderen Bundesländern vergleichbar ist, werden beispielsweise auch Terror- und Staatsschutzverfahren verhandelt und daher dürften auch höchst sensible Informationen wie Namen von Zeugen, Informanten oder Ermittlern in den Datenbeständen zu finden sein. Fatale Aussichten - nicht nur für dieses Gericht.

Schutzmaßnahmen gegen Malware nur bedingt wirksam

Ein Schutz vor Emotet ist nur begrenzt möglich. Prinzipiell denkbar wäre es etwa, in den E-Mail-Systemen sämtliche Office-Anhänge zu blockieren und Links zu filtern, was allerdings die E-Mail-Nutzung ganz erheblich einschränkt und daher wohl nur als letzte, vorübergehendes Mittel in Frage kommen dürfte. Wichtigste Schutzmaßnahme bleibt daher eine Information und Sensibilisierung der Mitarbeiter, die lernen müssen, auch gegenüber E-Mails von Kollegen oder Geschäftspartnern skeptisch zu bleiben.

Wie sichert man sich bei Anhängen ab?

Im Zweifelsfall sollte man  Dateianhänge nicht bzw. erst nach Rückfrage öffnen und bei Links in E-Mails dieselbe Vorsicht walten lassen. Die Rückfragen sollten dabei möglichst nicht per E-Mail erfolgen, denn hier besteht tatsächlich die Gefahr, dass man als Antwort eine manipulierte E-Mail der Angreifer erhält, sondern über einen sicheren Kommunikationskanal.

Auch technische Sicherheitsmaßnahmen wie die Micro-Virtualisierung, bei der alle potentiell gefährlichen Aktionen wie das Öffnen eines E-Mail-Anhangs in einer separaten Virtual Machine erfolgen, können die Infizierung durch die Trojaner bzw. die Ausbreitung der Schadsoftware verhindern.

Download: Sicherheitshinweise zum Schutz von Emotet

Weitere Sicherheitshinweise zum Schutz von Emotet finden Sie auch auf der Website der Allianz für Cyber-Sicherheit des BSI.

Weitere News zum Thema:

Cyber-Kriminalität wird in den Unternehmen immer noch unterschätzt

Schutz vor gefährlicher Schadsoftware BSI gibt Tipps zur sicheren Office-Konfiguration

Datenschutz auf Dienstreisen

Hintergrund: Sensibilisierung und Schulung von Mitarbeiter 

Die Zahl der Hackerangriffe steigt kontinuierlich. Sie richten sich immer öfter direkt gegen die Unternehmen, um sensibles Know-how zu stehlen oder Schaden anzurichten. Das Risiko steigt nicht nur durch neue, ausgefeilte Spionagetechniken, sondern vor allem durch einen nach wie vor oft sorglosen Umgang mit dem Thema IT-Sicherheit. Mitarbeiter sollten regelmäßig auf die Gefahren des Social Engineering aufmerksam gemacht werden und über aktuelle Bedrohungen informiert werden. Auch grundlegende Schulungen zu dem Thema sind sinnvoll. Je wachsamer man ist und je mehr der neuen und alten Tricks der Angreifer man kennt, desto geringer sind deren Erfolgsaussichten.

Flächendeckend Kommunikation und Einhaltung von Regeln und Maßnahmen sind genauso wichtig, wie der neueste Softwareschutz. Dieser läuft leer, wenn aus praktischen Gründen manuell deaktiviert wird oder ungeschützte mobiler Endgeräte bis in höchste Sicherheits- und Hierachieebenen vorkommen.

Schlagworte zum Thema:  Cyberkriminalität, Cybersicherheit