Wer steckt hinter dem Cyberangriff aufs Berliner Kammergericht? Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) sei bei Attacken mit dem Emotet-Virus „grundsätzlich von organisierter Kriminalität auszugehen“, sagte ein Sprecher der Behörde, die dem Bundesinnenministerium unterstellt ist. Mehrere Tätergruppen seien aktiv. Eine betreue die Infrastruktur, entwickle sie weiter und vermiete sie dann an andere Tätergruppen. Das funktioniere nach dem Prinzip „crime as a service“.

Wie berichtet, musste Justizsenator Dirk Behrendt (Grüne) nach einem Tagesspiegel-Bericht am Montag zugeben, dass bei der Attacke Daten abgeschöpft worden waren - anders, als in der Vergangenheit mitgeteilt.

Tagesspiegel Background Digitalisierung & KI Digitalpolitik, Regulierung, Künstliche Intelligenz: Das Briefing zu Digitalisierung & KI. Für Entscheider & Experten aus Wirtschaft, Politik, Verbänden, Wissenschaft und NGO. Jetzt kostenlos testen!

[In unseren Leute-Newslettern berichten wir wöchentlich aus den zwölf Berliner Bezirken – auch über Datensicherheit in den Bezirksbehörden. Die Newsletter können Sie hier kostenlos bestellen: leute.tagesspiegel.de]

In der Regel gehe es bei Attacken um finanzielle Interessen, sagte der BSI-Sprecher weiter. Wer konkret dahinter stecke, sei unklar. Für die Zuordnung zu einer Tätergruppe seien die Strafverfolgungsbehörden zuständig. Es könnte sich bei Angriffen mit Emotet um Täter handeln, die früher für staatliche Behörden tätig waren, hieß es.

Stecken russische Hacker hinter dem Angriff?

Die Äußerung des Sprechers, der keine weiteren Details nennen wollte, lässt einen Zusammenhang mit russischen Hackern vermuten. Täter wie die von deutschen Sicherheitsbehörden als APT 28 bezeichnete Hackergruppe waren oder sind immer noch für einen russischen Geheimdienst aktiv. APT 28 war unter anderem verantwortlich für einen Angriff auf den Bundestag, bei dem große Datenmengen erbeutet wurden.

Der Justizsenator hatte am Montag zunächst per Mail die Sprecher-Runde des Rechtsausschusses im Abgeordnetenhaus über das Gutachten informiert, wenige Minuten später folgte eine Pressemitteilung. Titel: „Erkenntnisse zum Emotet-Virus am Berliner Kammergericht“. Im Anhang ein forensisches Gutachten des IT-Dienstleisters T-Systems, von dessen Existenz die Öffentlichkeit erst durch Tagesspiegel-Recherchen Kenntnis erlangt hatte und das Abgeordnete schon vor Wochen hatten einsehen wollen. Bis dato jedoch wurde ihnen dieses verwehrt.

Daten von Informanten und verdeckten Ermittlern könnten betroffen sein

Die Aussagen des Gutachtens haben es in sich: So sei der Angreifer „höchstwahrscheinlich in der Lage gewesen“, den „gesamten Datenbestand des Kammergerichts zu exfiltrieren“, also aus dem System herauszuschleusen.

Davon betroffen wären neben Tätern und Opfern von am Kammergericht verhandelten Prozessen auch Zeugen und verdeckte Ermittler oder Informanten. Das Kammergericht ist unter anderem für Terrorprozesse zuständig. Die dort lagernden und möglicherweise gestohlenen Daten sind höchst sensibel.

Die installierte Schadsoftware sei „klar auf Datenabfluss ausgerichtet“ gewesen. Die Experten empfehlen dem Kammergericht den „kompletten Neuaufbau der IT-Infrastruktur“. Vorhandene Datenbestände müssen von Schadsoftware bereinigt werden, auch die Neuaufsetzung der Server wird dem Kammergericht nahegelegt.

Ob Daten geklaut wurden, geht nicht aus dem Bericht hervor

Ob tatsächlich auch Daten abgeschöpft wurden, geht nicht eindeutig aus dem Bericht hervor. Allerdings hatte der Angreifer alle Möglichkeiten dazu. Das habe auch an den mangelnden Sicherheitsvorkehrungen gelegen.

So habe sich die Schadsoftware auch deswegen ausbreiten können, weil das Kammergericht keine „Netzwerksegmentierung“ vorgenommen habe - also die Aufteilung in verschiedene, aus Sicherheitsgründen voneinander getrennte Bereiche. Außerdem habe das Schutzsystem den Angriff nicht erkannt, obwohl die Schadsoftware schon vorher bekannt war.

Lesen Sie zum Thema „Emotet“ und Cyber Security auch:

Der IT-Supergau am Kammergericht hatte vor vier Monaten seinen Anfang genommen. Am 25. September hatte das IT-Dienstleistungszentrum festgestellt, dass aus den Systemen des Kammergerichts Kontakt mit sogenannten Command-and-Control-Servern hergestellt wurde. Solche Server werden dazu benutzt, um Schadsoftware zu steuern.

Am 1. Oktober wurde ein forensischer Bericht in Auftrag gegeben

Am 1. Oktober wurde dann bei T-Systems ein forensischer Bericht in Auftrag gegeben, mit dem der Umfang des Angriffs festgestellt werden sollte. Dazu wurde am 2. Oktober vor Ort eine Ersteinschätzung erhoben, in deren Verlauf Anzeichen für einen „schwerwiegenden Fall einer Emotet-Infektion“ mit „nicht abzuschätzenden Folgen für das Netzwerk, die Systeme und die Daten des Kammergerichts“ gefunden wurden.

Gleich an mehreren Stellen wurde Schadsoftware gefunden. Am 16. Oktober wurden dann ein wahrscheinlich infizierter Computer und der dazugehörige Server untersucht.

Eigentlich zielt das Programm auf Erbeutung von Banking-Daten ab

Bei Emotet handelt es sich um ein Programm, das eigentlich auf die Erbeutung von Banking-Daten abzielt. Es ist auch in der Lage, die Daten von E-Mail-Adressbüchern auszulesen und auf diese Weise vertrauenswürdig aussehende Schadmails vorzutäuschen, die so wirken, als ob sie von Bekannten oder Kollegen geschrieben worden seien.

Dadurch verbreitet sich Emotet verhältnismäßig schnell. Noch gefährlicher wird die Schadsoftware jedoch dadurch, dass sie andere Schadprogramme nachladen kann. Wenn man so will, schlägt Emotet eine Bresche in die Sicherheitszäune eines Systems und hält die Lücke für noch weitaus aggressivere Eindringlinge offen. Genau das ist im Fall des Kammergerichts passiert.

Schadsoftware könnte auch über USB-Stick auf Festplatte gelangt sein

Wann und wie die Infektion stattfand, konnten die Daten-Forensiker von T-Systems nicht mehr exakt herausfinden, weil die dafür relevanten Daten zum Teil bereits überschrieben waren. Normalerweise wird Emotet mittels eines manipulierten und per E-Mail verschickten Word-Dokuments übertragen.

[Was waren die wichtigsten News des Tages? Was soll ich in der Flut an Texten heute Abend auf der Couch lesen? Was kann man abends in Berlin unternehmen? Und gibt es eine gute Zahl, mit der ich beim Kneipentalk glänzen kann? All diese Fragen beantwortet unser neuer Tagesspiegel-Newsletter. Neugierig? Dann können Sie sich hier kostenfrei anmelden.]

Allerdings wurden keine E-Mails mit infiziertem Anhang in den Systemen gefunden. Die Experten halten es deswegen auch für möglich, dass die Schadsoftware über einen USB-Stick auf die Festplatte gelangt sein könnte. Abschließend beurteilen ließe sich dies aber nicht.

Vorfall sorgt auf Bundesebene für Aufsehen

Fest steht: Die Schwere des Vorfalls sorgt längst auch auf der Bundesebene für Aufsehen. Sven Rebehn, Bundesgeschäftsführer des Deutschen Richterbundes, erklärte am Montag mit Blick das Gutachten: „Damit haben sich die schlimmsten Befürchtungen bestätigt. Die Attacke führt deutlich vor Augen, wie einfach sich die Justiz teilweise lahmlegen lässt, wenn sie technisch nicht auf der Höhe der Zeit ist.“

Er forderte, die Datensicherheit in den Gerichten müsse an oberster Stelle stehen. „Die Justizverwaltungen sollten den Berliner Fall bundesweit zum Anlass nehmen, ihre Sicherheitskonzepte für die Gerichte zu überprüfen“, forderte Rebehn.

Anke Domscheit-Berg, Netzaktivistin und Linken-Bundestagsabgeordnete, schrieb auf Twitter: „Der Fall zeigt, dass es an vernünftiger Infrastruktur, Prozessen und Training mangelte“ und nannte die Befunde zum Kammergericht „eine typische IT-Sicherheits-Zeitbombe in Behörden“.

Fälle wie die jüngsten Attacken auf Rathäuser in Potsdam und Brandenburg/Havel machten deutlich, „wie laut die Zeitbombe tickt“, erklärte Domscheit-Berg. Schuld sei eine „chronische Unterfinanzierung und eklatante Unter-Priorisierung der IT-Sicherheit in der öffentlichen Verwaltung auf allen förderalen Ebenen.“

Justizsenator wollte sich nicht äußern

Aus dem Abgeordnetenhaus äußerte sich Sven Rissmann, rechtspolitischer Sprecher der CDU-Fraktion. Dass entgegen der von Senator Behrendt Ende Oktober getätigten Aussage nun doch Daten bei der Cyberattacke auf das Berliner Kammergericht abgeflossenen sein sollen, nannte Rissmann „alarmierend und zugleich beängstigend“.

Dem Justizsenator, der am Montag nicht zu einem Statement gegenüber dem Tagesspiegel bereit war, warf er mangelnden Aufklärungswillen vor und forderte eine umfassende Untersuchung der Datenschutzbeauftragten Maja Smoltczyk. Deren Behörde hatte das Gutachten ebenfalls erst am Mittag zugeschickt bekommen und wollte den Inhalt dementsprechend nicht kommentieren.

Mehr zum Thema IT-Sicherheit Wie sich Unternehmen gegen Cyberangriffe wappnen können

Bernd Schlömer, Digital–Experte der FDP-Fraktion, wertete das Gutachten als Bestätigung dafür, dass „seit Langem geltende Standards der IT-Sicherheit offensichtlich grob fahrlässig ignoriert worden sind“. Das Vorgehen sei als Verstoß gegen das Prinzip der Amtsverschwiegenheit zu bezeichnen und entsprechend disziplinarrechtlich oder personalrechtlich zu verfolgen.