Bereits im September 2019 ist es beim Kammergericht Berlin zu einer Datenpanne gekommen. Der Trojaner „Emotet“ gelangte in das Netzwerk des Gerichts und verbreitete sich dort.
„Standard-Datenpanne“
Eigentlich wäre das eine Art Standard-Datenpanne. Der Trojaner ist im Grunde seit 2014 bekannt und wird von einschlägiger Schutzsoftware erkannt, auch wenn seine kriminellen Schöpfer ihn seither „weiterentwickelt“ haben. Dass der Angriff dennoch…
zu einem erheblichen Schaden geführt hat, lässt auf Fehler beim Schutz vor Angriffen auf die IT-Infrastruktur schließen.
Zunächst Trennung vom Netz
Als erste Reaktion erfolgte eine, bis heute andauernde, Trennung der IT-Infrastruktur vom Internet, um Datenabflüsse zu verhindern. Allerdings benötigte man aufgrund verschiedener vorheriger interner Absprachen hierzu zwei Tage, während derer der Trojaner sich ausbreiten konnte. Im Anschluss wurde das Kammergericht dann auch von der internen IT-Infrastruktur des Landes getrennt, was offenbar Schlimmeres verhinderte.
Ursache des Angriffs
Im Normalfall greift der Emotet-Trojaner über per Email versendete Word-Dokumente an. Diese konnte das mit der Analyse des Zwischenfalls beauftragte Unternehmen T-Systems allerdings nicht ausfindig machen. Mithin kann lediglich vermutet werden, dass die Schadsoftware über private USB-Sticks eingetragen wurde. In der Berliner Justiz ist es üblich, dass Richterinnen und Richter zu Hause an ihren privaten PC’s arbeiten und die Dokumente mittels USB-Sticks austauschen. Dienstliche Laptops sind kaum, VPN-Verbindungen nicht vorhanden. Dass eine solche Arbeitsweise nicht nur den Eintrag von Schadsoftware, sondern auch den Verlust hochsensibler Daten begünstigt und für jedes privatwirtschaftliche Unternehmen zu folgenschweren Kontakten mit der Aufsichtsbehörde führen müsste, bedarf hier keiner besonderen Erörterung.
Folgen des Angriffs
Die Ende September 2019 bestellten Gutachter fanden die Schadsoftware an mehreren Stellen. Sie gehen von „einem schwerwiegenden Fall der Emotet-Infektion“ und von „nicht abzuschätzenden Folgen für das Netzwerk, die System und die Daten des Kammergerichts“ aus.[1] Zwar sind alle Dateien im Gericht nach wie vor vorhanden, doch ob es zu einem Datenabfluss gekommen ist, konnte im Nachhinein nicht mit Sicherheit festgestellt werden. Allerdings sein, so die Gutachter von T-Systems „die Angreifer höchstwahrscheinlich in der Lage gewesen, den gesamten(!) Datenbestand des Kammergerichts zu exfiltrieren“. Dies wurde durch die Netzwerkstruktur des Gerichts begünstigt, welcher eine Netzwerksegmentierung, also die Aufteilung des Netzwerks in verschiedene Zugriffsbereiche, gänzlich unbekannt war. Ferner handelt es sich bei Emotet um eine Software, die von organisierten Cyberkriminellen genutzt wird[2].
Sollte es tatsächlich zu einem Datenabfluss in größerem Umfang gekommen sein, könnte dieser dramatische Folgen für Betroffene nach sich ziehen, denn das Kammergericht ist in Berlin auch zuständig für Terrorprozesse und Verfahren um IS-Rückkehrer. Es verarbeitet in diesem Zusammenhang neben den Daten der Prozessparteien und deren Vertreter auch Angaben zu Zeugen oder zu verdeckten Ermittlern.
Weitere Folgen
Nach wie vor ist das Gericht nur eingeschränkt arbeitsfähig. Die Verbindungen zum Internet und zum Landesnetzwerk sind nach wie vor gekappt. Zwar sind alle Daten physikalisch vorhanden, doch z.T. mit der Schadsoftware infiziert. Sämtliche Backup-Server waren im Zeitpunkt des Angriffs defekt, so die Gutachter, so dass eine Wiederherstellbarkeit der Daten nicht gesichert ist. Ferner würde diese auf den Zeitpunkt vor dem Angriff zurückgehen, welcher sich am 25. September 2019 zugetragen hat.
Politische Dimension
Auch die politische Dimension der Angelegenheit ist gravierend, hatten doch zunächst sowohl der Präsident des Kammergerichts, als auch der Berliner Justizsenator zunächst behauptet, ein Datenabfluss wäre auszuschließen. Dabei stellten die Gutachter bereits am 02. Oktober 2019 in einer ersten Abschätzung einen „schwerwiegenden Fall der Emotet-Infektion“ fest, mit „nicht abzuschätzenden Folgen für das Netzwerk, die Systeme und die Daten“[3] des Kammergerichts. Das Gutachten lag in seiner finalen Fassung dann am 23. Dezember 2019 vor[4]. Erst am 27. Januar 2020 informierte der Justizsenator dann die Öffentlichkeit – und die Berliner Landesbeauftragte für Datenschutz und Informationsfreiheit[5]. Das geschah 63 Tage nach Bemerken der Datenpanne; mithin wurde wohl die Frist zur Abgabe der Information an die Aufsichtsbehörde von 72 Stunden(Art. 33 Abs. 1 DSGVO) geringfügig überschritten. On, wann und in welchem Ausmaße die betroffenen Personen bereits informiert wurden, ist nicht bekannt.
[1] Online-Ausgabe des Tagesspiegel v. 27.01.2020, https://www.tagesspiegel.de/berlin/gutachten-zur-virus-attacke-moeglicherweise-gesamter-datenbestand-des-berliner-kammergerichts-geraubt/25477570.html
[2] https://www.golem.de/news/gutachten-zu-emotet-datenabfluss-beim-berliner-kammergericht-2001-146294.html
[3] https://www.tagesspiegel.de/berlin/cyberangriff-auf-berliner-kammergericht-russische-hacker-koennten-justizdaten-gestohlen-haben/25477570.html
[4] https://www.golem.de/news/gutachten-zu-emotet-datenabfluss-beim-berliner-kammergericht-2001-146294.html
[5] https://www.tagesspiegel.de/berlin/cyberangriff-auf-berliner-kammergericht-russische-hacker-koennten-justizdaten-gestohlen-haben/25477570.html