Cyberangriff auf das Berliner Kammergericht: Hacker hatten Zugriff auf sämtliche Daten – der Schaden ist riesig

Die Angreifer auf das Netzwerk des Berliner Kammergerichts hatten „höchstwahrscheinlich“ Zugriff auf sämtliche Daten, sie konnten diese absaugen und bearbeiten, zudem ihre Spuren verwischen – was die „schlimmsten Befürchtungen“ der Fachleute übertrifft.

Zu diesem Befund kommt das am Montag veröffentlichte Gutachten zur Virusattacke auf das Kammergericht. Doch das gesamte Ausmaß lässt sich noch immer nur schwer erfassen. Zentrale Fragen nach Ursprung und Ziel des Angriffs und nach dem Umfang der abgesaugten Daten sind weiter ungeklärt. Sie konnten auch von Experten eines IT-Dienstleisters nicht beantwortet werden. Zeit und Geld hätten gefehlt, gab der zur Begründung an.

Welche Daten sind abgeflossen?

Sicher weiß man das über die Zugangsdaten für das IT-System des Kammergerichts, so genannte „Credentials“. Der Präsident des Kammergerichts, Bernd Pickel, bestätigte am Montag in einer Pressemitteilung, dass diese „aller Wahrscheinlichkeit nach“ von Angreifern erbeutet wurden. Ob andere Gerichtsdaten – wie zum Beispiel Prozessakten, Informationen über Zeugen oder personenbezogene Daten zu Prozessbeteiligten – abgeflossen sind, bleibt offen.

© imago images/Christian Ditsch

Die Datenforensiker von T-Systems schreiben in ihrem Bericht allerdings, dass die Angreifer „höchstwahrscheinlich in der Lage gewesen“ seien, den „gesamten Datenbestand des Kammergerichts zu exfiltrieren“, also aus dem System herauszuschleusen. Mit anderen Worten: Alle sensiblen Daten lagen einige Zeit völlig ungeschützt in einem System, zu dem sich Fremde Zugriff verschafft hatten. Und zwar mit einer Schadsoftware, die „auf Datenabfluss“ ausgerichtet war.

Warum kann nicht exakt festgestellt werden, welche Daten abgeflossen sind?

Das liegt einerseits daran, dass die Datenforensiker aus Kosten- und Zeitgründen lediglich damit beauftragt wurden, einen der vielen vermutlich infizierten Computer und den dazugehörigen Server zu untersuchen.

Andererseits konnten die Experten nicht mehr abschließend nachvollziehen, wer sich zu welchem Zeitpunkt Zugriff auf das System verschafft hatte. Das liegt daran, dass die Datei mit den so genannten Sicherheitseventlogs, mit der man solche Zugriffe verfolgen kann, vom Kammergericht zu klein gewählt wurde. Alle Zugriffe, die vor dem 14. Oktober 2019 lagen, wurden bereits automatisch überschrieben. Zu diesem Zeitpunkt war das IT-System des Kammergerichts jedoch schon vom Netz getrennt. Durch das Fehlen dieser wichtigen Informationen lässt sich auch nicht mehr exakt feststellen, wann der Angriff tatsächlich begann.

Welche Mängel in der Sicherheitsstruktur des Systems zeigt der Bericht auf?

Offenbar wurde das System des Kammergerichts keiner Netzwerksegmentierung unterzogen. Dabei werden einzelne Bereiche eines Systems voneinander getrennt, um das Übergreifen eines Schadsoftware-Befalls zu verhindern. Man kann sich eine solche Segmentierung wie Schotten bei einem Schiff vorstellen, die das Eindringen von Wasser lokal begrenzen sollen. Weil es solche digitalen Trennwände auf dem System nicht gab, hätten Angreifer die Möglichkeit gehabt, „fast jedes Gerät zu infizieren“, heißt es in dem Bericht.

Außerdem erkannte das Sicherheitssystem offenbar keine der Schadsoftware-Varianten, die später in dem System gefunden wurden – und das, obwohl die Emotet-Problematik zu diesem Zeitpunkt schon längst bekannt war. Für die Zukunft empfehlen die Datenforensiker einen kompletten Neuaufbau der IT-Infrastruktur des Kammergerichts. Außerdem sollten Zugriffe auf das System künftig besser dokumentiert werden, als dies bisher der Fall war.

Wer steckt hinter dem Angriff auf das Kammergericht?

Es gibt lediglich Theorien, die Sicherheitsbehörden können bei Angriffen mit dem Emotet-Trojaner offenbar nur schwer Täter ermitteln. Sicherheitskreise vermuten, russische Hacker seien für die Attacke auf das Kammergericht verantwortlich, womöglich gemeinsam mit Nachrichtendiensten des Putin-Regimes. Ein Indiz sei der hohe technische Standard des Angriffs, der zumindest auf Verbindungen zu Geheimdiensten schließen lasse. Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) sagt auf Anfrage zu Russland nichts, betont aber, es könnte sich bei Emotet um Täter handeln, „die früher für staatliche Behörden tätig waren“.

© Mike Wolff

Grundsätzlich sei bei Emotet von organisierter Kriminalität auszugehen, heißt es im BSI. In der Regel stünden finanzielle Interessen im Vordergrund. Sicherheitskreise verweisen auf Fälle, in den im Ausland staatliche Institutionen attackiert und mit Erfolg erpresst wurden. So sollen im Juni 2019 im US-Bundesstaat Florida die Städte Riviera Beach und Lake City jeweils Bitcoins im Wert von mehreren hunderttausend Dollar gezahlt haben, nachdem Angreifer mit Emotet in die kommunalen Netzwerke eindrangen und Daten verschlüsselten. Entsprechende Medienberichte seien „plausibel“, sagen Sicherheitskreise. Von einer Erpressung des Berliner Kammergerichts ist bislang allerdings nichts bekannt.

Bei den Angriffen mit Emotet seien mehrere Tätergruppen aktiv, sagt das BSI. Eine betreue die Infrastruktur, entwickle sie weiter und vermiete sie an andere Tätergruppen. Das funktioniere nach dem Prinzip „crime as a service“. Technisch funktioniert das so: Der Trojaner Emotet späht ein Mailsystem aus, zum Beispiel „Outlook“, und verteilt schädliche Programme. Sie versenden Spam-Mails, die vermeintliche Antworten auf zuvor ausgespähte Mails versenden. Emotet lädt dann auch im Auftrag weiterer Tätergruppen andere Schadprogramme nach, zum Beispiel „Trickbot“. Dieses sammelt dann weitere Informationen über die Opfer. Oft mit dem Ziel, herauszufinden, ob sich eine Erpressung lohnt.

Was sagt die Berliner Datenschutzbeauftragte?

Wer gedacht hatte, der Berliner Datenschutzbeauftragten Maja Smoltczyk habe das Gutachten zur Attacke auf das Kammergericht eher vorgelegen als dem Rest der Öffentlichkeit, der irrt. Am Montagnachmittag sei das Schreiben ihrer Behörde zugegangen, erklärte Smoltczyk am Dienstag und kritisierte die Kommunikation von Justizverwaltung und Kammergericht. Zur Erinnerung: Das Kammergericht selbst hatte nach Bekanntwerden des Falls eine Datenpanne bei Smoltczyk angezeigt und Untersuchungen ausgelöst.

Die auf den 23. Dezember datierte Untersuchung wiederum wurde mehr als einen Monat lang zurückgehalten – zum Ärger Smoltczyks. Im Ergebnis erklärte diese, es sei „sehr wahrscheinlich, dass zumindest einige Zugangs- und andere Daten abgeflossen sind“. Da es sich bei den im Kammergericht verarbeiteten Daten um höchst sensitive Informationen handele, „haben wir es mit einem besonders schwerwiegenden Eingriff in die Rechte und Freiheiten der betroffenen Personen zu tun“, sagte Smoltczyk.

Sie forderte, in Zukunft müsse sichergestellt werden, dass Gerichtsdaten „ausschließlich mit dienstlichen Geräten über eine zentral zur Verfügung gestellte und ausreichend abgesicherte Infrastruktur erfolgt“. Mit Blick auf die Praxis der Richter, Daten per USB-Stick von einem Rechner auf den nächsten zu transportieren, hatte Smoltczyk bereits Ende Dezember erklärt: „Über Vorkommnisse wie jene beim Kammergericht kann man sich nur wundern.“

Wie reagiert die Politik?

Aus den Fraktionen des Berliner Abgeordnetenhauses war am Dienstag vor allem eine Stimmung zu vernehmen: Frust. Vor allem, weil die Abgeordneten nach Bekanntwerden der Attacke Ende September lange im Ungewissen gelassen worden waren. Verantwortlich dafür war die schleppende Kommunikation von Gericht und Justizverwaltung. Beide hatten Informationen lange nur spärlich und auch am Montag erst auf öffentlichen Druck hin herausgegeben. Selbst Abgeordnete der jeweiligen Fachausschüsse tappten bis dahin im Dunklen.

Am deutlichsten wurde Sven Rissmann, rechtspolitischer Sprecher der CDU-Fraktion. Er bezeichnete den Angriff auf das Kammergericht als „trauriges Beispiel für den IT-Zustand unserer Justizbehörden“ und nannte es „unentschuldbar“, dass das Gutachten erst vier Monate nach dem Vorfall veröffentlicht wurde. Justizsenator Behrendt warf er vor, „entscheidende Informationen zurückgehalten“ zu haben und stellte dessen Eignung für den Posten offen infrage. In ihrer Fraktionssitzung beschlossen die CDU-Abgeordneten einen Dringlichkeitsantrag. Darin wird der Senat aufgefordert, unverzüglich einen unabhängigen Sonderbeauftragten einzusetzen, um die Sicherheitslücken in der IT-Ausstattung der Berliner Justiz umfassend aufzuarbeiten. Sven Kohlmeier, Sprecher für Netzpolitik in der SPD-Fraktion, nahm ebenfalls Behrendt ins Visier: „So leid es mir für unseren Koalitionspartner tut, die Fragen zu dem Vorfall am Kammergericht muss Dirk Behrendt beantworten. Er ist der zuständige Senator für die Digitalisierung der Justiz.“ Auch Kohlmeier kritisierte, dass das Gutachten erst mehr als vier Wochen nach seiner Ausfertigung veröffentlicht worden war. Der Fall zeige, dass eine IT-Landschaft, in der jede Verwaltungseinheit auf eigene Faust handelt, nicht funktionieren könne, sagte Kohlmeier.

Und was sagt der Justizsenator?

Dirk Behrendt erklärte am Dienstag, er selbst habe erst am Montag Kenntnis von dem Gutachten erhalten – vier Tage, nachdem Kammergerichtspräsident Bernd Pickel dieses an die Justizverwaltung geschickt hatte. Jedoch: Eine vorläufige Version des Gutachtens war laut Pressestelle der Justizverwaltung bereits am 2. Dezember an das Kammergericht und von dort aus an die Senatsverwaltung gegangen.

Warum die brisanten Ergebnisse des Gutachtens danach beinahe zwei Monate lang unter Verschluss gehalten wurden, blieb unklar. Zu den Ergebnissen des Gutachtens selbst äußerte sich Behrendt, der eine umfassende und über das vorliegende Gutachten hinaus gehende Untersuchung prüfen will, vage. „Die Geschehnisse am Kammergericht zeigen: Es ist richtig, dass das ITDZ die IT-Struktur des Kammergerichts unter seinen Schutzschirm nimmt“, erklärte der Senator.

Unbeantwortet ließ er die Frage danach, ob von einem möglichen Datendiebstahl Betroffene wie Ermittler oder Zeugen über den Vorfall informiert wurden.