Emotet beim Kammergericht: Was ist passiert und wie geht es nun weiter?

Am 20. September wurde das Kammergericht Berlin mit dem Schadprogramm „Emotet“ infiziert. Daraufhin wurde das System vom Netz genommen, sodass das Kammergericht seither nur eingeschränkt arbeitsfähig ist.  Was genau passiert ist, wie es nun weitergehen soll und wie ich die Situation einschätze, möchte ich kurz skizzieren. 

Die Funktionsweise von Emotet

Emotet ist bereits 2014 in Erscheinung getreten, damals noch in der Form eines klassischen Banking Trojaners. Durch sogenannte „Man-in-the-Browser-Attacks“ hat Emotet insbesondere bei Deutschen und Schweizer Banken Geld gestohlen. Seither hat Emotet sein Modell verändert und visiert nun Unternehmen und Institutionen aller Art an. Es fungiert hier häufig als eine Art Dienstleister für weitere Malware. In der Praxis sieht das meistens so aus, dass gefälschte E-Mails via Outlook verschickt werden. Diese E-Mails bauen auf bereits existierender Kommunikation auf und wirken als kämen sie ovn einem bekannten Absender. Dadurch wirkt die E-Mail echt, weswegen sich der Empfänger der E-Mail nichts Böses denkt, wenn er aufgefordert wird, die Datei im Anhang zu öffnen. In der Regel handelt es sich hierbei um Microsoft Word-Dateien, jedoch sind andere Fälle mit Excel- und PDF-Dateien, sowie Java-Script, XML und anderen .exe-Dateien bekannt. Sobald der Nutzer die Word-Datei öffnet und die Makros aktiviert, lädt Emotet runter. Danach greift Emotet erneut existierende Kommunikation aus E-Mails auf, wodurch der Virus sich nachher weiter verbreiten kann. Als zweiten Schritt wird häufig andere Malware nachgeladen.

Vorkommnisse am Berliner Kammergericht

Wie bereits oben berichtet wurde das Kammergericht vermutlich am 20. September 2019 infiziert. Laut eines Gutachtens durch T-Systems (Bericht) wurde wahrscheinlich noch am selben Tag Trickbot, eine auf Datenabfluss ausgerichtete Malware, nachgeladen. Am 25. September wurde durch das ITDZ festgestellt, dass aus den Systemen des Kammergerichts Kontakt mit sogenannten Command-and-Control-Servern hergestellt wurde, was auf den Befall mit Schadsoftware hindeutete. Daraufhin wurde am selben Tag das Kammergericht vom Netz genommen. Seither ist die Kommunikation nur noch per Fax, Post oder Telefon möglich, was die Arbeit des Kammergerichts einschränkt. Trotz der vorbildhaften und schnellen Reaktion des ITDZ, sind laut Aussage des Gutachtens wahrscheinlich Daten wie Passwörter, Adressen und E-Mails abgegriffen worden. Daten zu Prozessakten und -beteiligten, sowie zu Zeugen wurden eventuell exfiltriert.

Mögliche Drahtzieher

Wer genau hinter dem Angriff steht, kann nur spekuliert werden. Da Emotet viel Zeit und technische Ressourcen benötigt und die Spuren der Angreifer verwischt wurden, ist es wahrscheinlich, dass wir es hier mit organisierter Kriminalität zu tun haben. Der Justizsenator Dirk Behrendt teilte im Rechtsausschuss am 29. Januar 2020 mit, dass eine genaue Untersuchung zu Hintergründen bei den 550 Rechnern und 100 Servern des Kammergerichts vermutlich zwei Jahre dauern würde und einen zweistelligen Millionenbereich kosten würde. Er selbst erklärte, er stünde einer solchen Recherche offen gegenüber.

Perspektive für die IT des Kammergerichts

Wichtiger ist nun erst einmal, wie es beim Kammergericht weitergeht. Bei einer erneuten Beratung im Rechtsausschuss am 18. Februar unter Teilnahme des Kammergerichtspräsidenten Herrn Dr. Bernd Pickel, des Justizsenators Behrendt, und des ITDZ-Vertreters Andreas Gundlack (Link zum Abendschaubeitrag) wurde deutlich, dass der Neuaufbau der IT am Kammergericht eine Herausforderung darstellt. Laut Herrn Dr. Pickel verbessert sich die Arbeitsfähigkeit des Kammergerichts zusehends. Nach derzeitigem Stand soll das Kammergericht bis Ende März wieder arbeitsfähig sein und an das Landesnetz angeschlossen werden können.Klar ist, dass sich die Informationspolitik seitens des Kammergerichts verbessern muss. Von Seiten des Senats kam die Ankündigung, dass zukünftig das ITDZ ebenfalls für das Kammergericht zuständig sein soll. Geplant ist, einen externen IT-Experten zu beauftragen, um den Neuaufbau der Systeme fachlich zu unterstützen. Auch soll es zukünftig Notfallübungen geben, um in Zukunft besser auf Notfälle vorbereitet zu sein.

Meine Einschätzung

Es zeigt sich an diesem Beispiel des Kammergerichts einmal mehr, dass die IT-Sicherheit sowohl im Land Berlin als auch in Deutschland nicht immer ernst genommen wird. Das Kammergericht hat in den letzten Jahren eine Sonderrolle in der IT eingenommen und sich dabei nicht auf fachkundige Hilfe durch z.B. das ITDZ verlassen. Das rächt sich nun. Mir ist daran gelegen, dass die Berliner Justiz digitalisiert wird und moderne Arbeitsbedingungen geschaffen werden, da dies auch eine Wertschätzung für die Mitarbeiterinnen und Mitarbeiter der Berliner Gerichte und der Geschäftsstellen, sowie für die Richterinnen und Richter darstellt. Es muss gewährleistet werden – und das ist die Forderung an die Senatsverwaltung für Justiz und Senatsverwaltung für Finanzen – dass die entsprechenden Mittel zur Verfügung gestellt werden, um die IT modern und sicher zu gestalten. Es kann und darf nicht sein, dass das höchste Berliner Gericht durch ein Virus für mehrere Monate lahmgelegt wird und Arbeitsbedingungen wie in den 80er Jahren vorherrschen. Ich werde daher weiter darauf drängen, dass die Modernisierung der IT im Land Berlin professionell und vernünftig gesteuert erfolgt.