Wenn ein Dieb keine Hürden nehmen muss, spaziert er durch die IT-Umgebung und hat es leicht, Datenpakete zu stehlen. Ein schwerer Zwischenfall vom September 2019 wirft weiter Fragen auf: Damals wurde das Kammergericht am Kleisterpark in Berlin das Opfer einer Cyber-Attacke. Es handelt sich um den höchsten ordentlichen Gerichtshof der Hauptstadt. Einmal mehr zeigt dieser Vorfall, dass ein einfacher Hack ausreicht, um den Betrieb für lange Zeit auszusetzen. Die Folge sind Image-Verlust und finanzielle Schäden.
Der Angriff wurde vom bekannten Trojaner ‚Emotet‘ durchgeführt. Aus Sicherheitsgründen wurde zunächst das Gericht vom Internetzugang, dann vom gesamten Netzwerk des Landes getrennt. Bereits vor einiger Zeit wurde bekannt, dass der Trojaner von zahlreichen Mängeln im Bereich des Datenschutzes begünstigt wurde. Anfangs war davon auszugehen, dass die Kriminellen keine Datenpakete abgeschöpft haben. Diese Annahme aber war ein Trugschluss, was erst im Januar 2020 bekannt gegeben wurde. Es zeigt, wie lange die Angreifer Zeit hatten, um die gestohlenen Daten zu verarbeiten. Kammergerichtspräsident Bernd Pickel bezeichnet die Daten als „das Gold des Kammergerichts.“ Das lässt darauf schließen, dass der Erfolg aller interner Prozesse der Organisation maßgeblich vom Zugang zum Netzwerk abhängt.
Der Trojaner bietet den Tätern die Möglichkeit, einen Datenabfluss einzuleiten. Gemäß dem Bericht der IT-Forensik gab es sogar zahlreiche Einfallstore am Gerichtshof, mitunter verseuchte E-Mails, oder Speichermedien wie USB-Sticks. Das gern genommene Eindringen über eine angehängte Datei geschah wohl nicht, da keine solche E-Mail entdeckt wurde. Jedoch verfügt der Trojaner über die Fähigkeit, vertrauensvolle Absender zu simulieren und Datenpakete im Nachgang zu überschreiben. Im vorliegenden Fall wurde besonders fahrlässig mit Speicherträgern umgegangen: Um die Arbeit auch im Home-Office fortzuführen, wurden häufig private Festplatten und Sticks für den Datentransfer benutzt.
Keinen Angriff zu erleiden bedeutet nicht, sicher zu sein
Besonders auffällig ist, dass das Kammergericht Berlin zum Zeitpunkt des Angriffs über keine ausreichende Netzwerksegmentierung verfügte. Das bedeutet, dass der Trojaner über das gesamte Netzwerk hinweg operieren konnte. Auch bestand keine funktionierende Backup-Einrichtung, sie war schlichtweg defekt. Eine sichere Aussage darüber, welche IT-Einheiten frei vom Befall sind, lasse sich nicht treffen. Die im Gericht gelagerten Datenpakete sind natürlich höchst sensibel, da unter anderem Namen von Zeugen, verdeckten Ermittlern und Informanten abgelegt waren: Diese Datenschutzverletzung gefährdet also Menschenleben. Die Lage dramatisierte sich, nachdem das BSI aussagte, dass bei Attacken mit Emotet „grundsätzlich von organisierter Kriminalität auszugehen ist.“ Diese arbeiten oftmals in Gruppen zusammen. „Crime-as-a-service“ ist der zu nennende Begriff. Eine Tätergruppe stellt dabei die Infrastruktur zur Verfügung und wartet diese, eine andere führt den tatsächlichen Hack durch.
Eine weitere Gefahr, welche von Emotet ausgeht, ist dessen Fähigkeit, weitere Schadprogramme nachzuladen, was zu weiterem Schaden führt. Besonders aufgrund der mangelnden Sicherheitsvorkehrungen war dies für die Justiz-Behörde eine große Gefahr. Da das Schutzsystem des Gerichts den Trojaner nicht sofort erkannte, obwohl dieser bereits generell und seit langem bekannt ist, stand den Tätern ein langes Zeitfenster für den Hack zur Verfügung. Emotet selbst öffnet dabei lediglich das Tor, die weiteren Angriffe führen die eingeschleusten Viren aus.
Dem Kammergericht am Kleistpark in Berlin wird letztlich von Sicherheits-Experten des zuständigen Incident-Response-Teams empfohlen, die gesamte IT-Infrastruktur grundsätzlich neu aufzubauen. Es sei nicht sicher feststellbar, ob der Trojaner entfernt werden konnte, oder lediglich zum Schläfer mutierte, da zu viele Sicherheitslücken und Unwägbarkeiten gefunden wurden.
Wie sich Organisationen präventiv schützen können
Dieser Fall zeigt deutlich, dass die Anforderungen an die IT-Infrastruktur sich ständig wandeln und es daher wichtig ist, potenziellen Angreifern stets einen Schritt voraus zu sein. Wie Angestellte arbeiten auch Richter mobiler und gehen für ihre Arbeit nicht mehr zwingend ins Büro, sondern bleiben im Home-Office. Aufgrund dessen sollten sämtliche, sich im System befindenden Assets geprüft, bewertet und verwaltet werden. Die IT muss zu jedem Zeitpunkt in der Lage sein, über den Status-Quo zu berichten. Außerdem sollte, um die ungebremste Ausbreitung eines Schädlings zu verhindern, das Netzwerk segmentiert sein, damit nicht alle Datenpakete ausgelesen werden können, oder die Angreifer von System zu System springen. Schließlich müssen sämtliche Schwachstellen, gefunden werden, danach bekannt sein und ihr jeweiliges Risiko bewertet werden. Es bietet sich auch an die Sicherheitslücken zu priorisieren. Nur auf diese Weise lassen sich Angriffe, wenn schon nicht verhindern, wenigstens in ihrem Ausmaß stark eindämmen.
#Qualys
Auswirkungen von Emotet, Cybercrime, Cyberdefense, Cybersecurity, Emotet, Hack, Hacker, Infosec, IT-Security, IT-Sicherheit, ITSEC, Präventivmaßnahmen, Qualys, Trojaner
