Eine Person an der Schreibmaschine (Quelle: rbb)
Video: Abendschau | 27.02.2020 | Kontraste/Siegmund/Humbs | Bild: rbb

Trojaner-Angriff auf Berliner Kammergericht - Städtetag warnt Kommunen vor Lösegeldzahlungen an Hacker

Auch fünf Monate nach einem Hackerangriff ist das Berliner Kammergericht weitestgehend offline. Mit demselben Trojaner wurden auch andere öffentliche Einrichtungen in Deutschland angegriffen. Einige werden nun offenbar erpresst. Von Chris Humbs und Norbert Siegmund

Der Deutsche Städtetag warnt öffentliche Einrichtungen, auf Lösegeldforderungen nach Hackerangriffen einzugehen. Sollten Erpresser merken, dass Geld fließt, würde das nur zu mehr Erpressungen führen, sagte Hauptgeschäftsführer Helmut Dedy dem ARD-Magazin Kontraste. "Das darf nicht passieren. Und deshalb sagen wir: Nein, nicht zahlen", so Dedy. Betroffene Institutionen sollten bei der Polizei Anzeige erstatten.

Die Datenschutzbeauftragen von Bund und Ländern zählten im vergangenen Jahr bundesweit eine dreistellige Zahl von erfolgreichen Angriffen mithilfe der Schadsoftware Emotet, heißt es auf Anfrage. Dabei seien Behördendaten, Personal- oder Krankendaten oder andere sensible Informationen abgeflossen. Grundsätzlich müsse davon ausgegangen werden, dass Angriffe zu einem Datenabfluss führen, wenn Hacker den Emotet-Trojaner als Einfallstor nutzen konnten, so die Datenschutzbeauftragten.

Wegen eines solchen Angriffs ist die Arbeit am Berliner Kammergericht seit Anfang Oktober stark eingeschränkt. Nachdem der Angriff bemerkt worden war, wurden sämtliche Rechner vom Netz genommen. Derzeit ist das Gericht nach wie vor online nicht erreichbar, sondern lediglich "telefonisch, per Fax und postalisch", wie es auf der Webseite heißt. In Berlin sind außerdem die Technische Universität, die Humboldt-Universität sowie eine Anzahl von privaten Unternehmen im mittleren zweistelligen Bereich betroffen. In Brandenburg wurden sieben Unternehmen und eine öffentliche Einrichtung über den Emotet-Trojaner angegriffen.

Niedersächsische Stadt wurde wohl erpresst

Das gleiche Schadprogramm wurde auch genutzt, um anderswo Zugriff auf die Rechner öffentlicher Einrichtungen zu erhalten, etwa an der Universität Gießen (Hessen) oder dem Klinikum Fürth (Bayern).

Besonders schwerwiegend sind die Folgen eines Emotet-Angriffs in Neustadt am Rübenberge. Hacker haben im vergangenen September das Rathaus ins Visier genommen und dabei einen Großteil der Dateien verschlüsselt. Die Verwaltungsarbeit der niedersächsischen Stadt war zeitweilig massiv eingeschränkt. Ein Zugriff auf den Terminkalender für Eheschließungen war ebenso nicht mehr möglich, wie die Auszahlung von Elterngeld. Die Stadt musste einige Bauvorhaben einfrieren. Die Dokumente wurden verschlüsselt, um Lösegeld zu erpressen. Ob die Kommune dem nachgegeben hat, ist unklar. Stadtrat und Krisenmanager Maic Schillack sagte auf Anfrage: "Da werde ich Ihnen persönlich nichts darüber sagen."

Gerichtsdaten für beklagte Kriminelle interessant

Am Berliner Kammergericht wurden keine Daten verschlüsselt. Es gab auch bisher keine Lösegeldforderung. Die Täter könnten allerdings ein anderes Ziel verfolgt haben, betont Karsten Nohl, IT-Sicherheitsexperte bei der Berliner Firma Security Research Labs. "Das Kammergericht ist verantwortlich für Daten, die Kriminelle sehr gern in ihre Hände bekommen würden." Ob Klarnamen von Kronzeugen oder Beweise in aktuellen Verfahren: Es gebe viele Daten, die in laufenden Verfahren wichtig sein können. Etwa wenn jemand einer Gefängnisstrafe entgehen möchte, sagt Nohl. "Wir reden hier von Daten, die der einen oder anderen Organisation Hunderttausende von Euro, Millionen von Euro wert sind."

Das Kammergericht bestreitet, dass sensible Daten abgeflossen sind. Im forensischen Gutachten zu dem Fall heißt es allerdings, die eingeschleusten Programme waren "klar auf Datenabfluss eingerichtet" und den Hackern war es höchstwahrscheinlich möglich "den gesamten Datenbestand des KG zu exfiltrieren und zu manipulieren." Ob Gerichtsdokumente tatsächlich abgegriffen wurden, ist unklar. Es könne nicht ausgeschlossen werden, sagte Bernd Pickel, Präsident des Kammergerichts, auf Anfrage. "Mit naturwissenschaftlicher Gesetzlichkeit nicht", so Pickel gegenüber Kontraste.

Nohl glaubt, dass die Täter im Ausland sitzen. "Von dem, was wir über Emotet wissen, scheint es eine mittelgroße Gruppe, in Russland ansässiger Hacker, aber auch Geschäftsleute zu sein", sagt er. Diese würden die fremden Computer unter ihre Kontrolle bringen und entweder selbst nutzen oder anderen den Zugang weiterverkaufen. "Typischerweise wieder in Russland, teilweise aber auch international", so Nohl.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt bereits seit Längerem vor Emotet. Bereits im Dezember 2018 bezeichnete das BSI den Trojaner als "weltweit gefährlichste Schadsoftware" [bsi.bund.de]. Trotzdem scheinen immer wieder öffentliche Einrichtungen völlig unvorbereitet Opfer solcher Angriffe zu werden.

Vier Mitarbeiter, ein Rechner

Die Arbeitsfähigkeit der Gerichtsverwaltung wurde allerdings massiv eingeschränkt. "Das war an den ersten Tagen fast schon ein bisschen lustig. Es gab Schreibmaschinen alter Art", sagte Richter Ulrich Wimmer. "Aber dann war es nicht mehr lustig und dann hat sich sehr schnell gezeigt, was für schwierige Konsequenzen das auch für Verfahren hat." Die gesamte Arbeit des Gerichts werde ausgebremst, so Wimmer. "Es ist eine ernsthafte Krise."

Knapp fünf Monate nach dem Angriff können die Mitarbeiter des Kammergerichts nach wie vor nicht das Intranet nutzen. Ordner und Daten, die sie über Jahre angelegt und gepflegt haben, können sie nicht aufrufen. Immerhin ist der Zugriff auf das Internet wieder möglich. Allerdings müssen sich derzeit vier Mitarbeiter einen Rechner teilen.

Sendung: Das Erste, 27.02.2020, 21:45 Uhr

Beitrag von Chris Humbs und Norbert Siegmund

Kommentar

Bitte füllen Sie die Felder aus, um einen Kommentar zu verfassen.

Kommentar verfassen
*Pflichtfelder

Mit Nutzung der Kommentarfunktion stimmen Sie unserer Netiquette sowie unserer Datenschutzerklärung (Link am Ende der Seite) zu. Die Redaktion behält sich vor, einzelne Kommentare nicht zu veröffentlichen.

5 Kommentare

  1. 5.

    Erster Satz aus der Pressemitteilung der HU dazu: "Trotz einzelner Infektionen mit dem Computervirus Emotet ist die Humboldt-Universität zu Berlin (HU) weiterhin vollkommen handlungs- und funktionsfähig. "

    Den ganzen Text hat die HU hier veröffentlicht
    https://www.hu-berlin.de/de/pr/nachrichten/november-2019/nr-191111-1

  2. 4.

    Unseren Informationen nach, ist die Humboldt-Universität 2019 betroffen gewesen. Dazu: https://www.rbb24.de/panorama/beitrag/2019/11/berlin-humboldt-universitaet-trojaner-emotet-netzwerk-kammergericht.html

  3. 3.

    Auch, wenn man es häufig wiederholt, wird es nicht richtiger. Die Humboldt-Universität ist nicht von Emotet betroffen. Irreführend ist vor allem, dass die HU im gleichen Atemzug mit dem Kammergericht genannt wird. Das ist undifferenziert. Es gab weder die Auswirkungen, noch sind die Netzwerke und deren Betrieb der beider Einrichtungen gleichzusetzen. Mit etwas Nachdenken, sollte das auch einem Journalisten einleuchten. Oder ist das vielleicht zu viel verlangt?

    Die HU gestattet BYOD. Sie betreibt Forschung und Lehre. Dazu gehört, dass sie ein relativ offenen Netzwerk betreibt, welches den Zugriff zu weltweiten Ressourcen im Netz erlaubt. Natürlich muss sie die Daten schützen. Hat sie dabei versagt? Sie einige wenige betroffene Rechner ein Grund, die HU mit dem Vorfall im Kammergericht gleichzusetzen?
    Vielleicht, lieber RBB, denken wir zukünftig darüber nach, bevor etwas veröffentlicht wird.

    Kopfschüttelnde Grüße

  4. 2.

    Stuss. Eine ordentliche Digitalisierung würde die gesamte Verwaltung effizienter machen und enorm viel Arbeit ersparen.
    Natürlich müsste man Sicherheitsmaßnahmen ergreifen und beachten, doch wo muss man das nicht?
    Ihr Posting (für das Sie vermutlich auch keine Schreibmaschine benutzt haben)hat etwas von "Es gäbe weniger Autounfälle, würden die Menschen mehr zu Fuß gehen".
    Meiner Meinung nach sollten solche Angriffe immer gründlich analysiert werden und ggfs. zu Konsequenzen führen.
    Verpflichtende Schulungen für Mitarbeiter (jeder, der in einem Netzwerk arbeitet, sollte wissen, wie er mit E-Mail-Anhängen umzugehen hat), ständiges Aktualisieren von Soft- und Hardware, Nachbesserungen wo immer nötig, sollten aber in der EDV Grundvoraussetzungen sein.
    Was die letzten Punkte betrifft, müssten aber manche Leute ihre Ansichten bez. Großkonzernen überdenken.

  5. 1.

    Die Digitalisierung der Verwaltung ist grosser Murks. Deutschland macht sich damit angreifbar und erpressbar. Was wirklich sicher sein soll, geht nur offline. Also Aktenordner, Schreibmaschinen und Papier.

Das könnte Sie auch interessieren