https://www.faz.net/-gus-9sf9q

Emotet : Wie ein Trojaner das höchste Gericht Berlins lahmlegte

Die Eingangshalle des Kammergerichtes Berlin. Bild: dpa

Seit drei Wochen hat das Berliner Kammergericht keinen Internetzugriff mehr. Grund ist ein Angriff mit Schadsoftware. Auf den ersten Blick scheinen die Folgen beherrschbar – doch die echte Gefahr könnte woanders lauern.

          4 Min.

          Seit mehr als drei Wochen liegt das Computersystem des höchsten ordentlichen Gerichts von Berlin wegen eines Cyberangriffs lahm. Der Trojaner „Emotet“ war Ende September, mutmaßlich über eine infizierte E-Mail, die ein Mitarbeiter unbedarft geöffnet hatte, ins System gelangt.

          Bastian Benrath

          Redakteur in der Wirtschaft.

          Um zu verhindern, dass sich die Infektion ausbreitet, wurde das Kammergericht, höchste Instanz für Straf- und Zivilsachen in Berlin und auf einer Stufe mit den Oberlandesgerichten der anderen Bundesländer, vollständig vom Internet und den anderen Behörden der Hauptstadt getrennt.

          „Wir können unsere Computer schon weiter nutzen – als Schreibmaschinen halt“, sagt ein betroffener Richter.

          Emotet ist ein Trojaner, der seit Mitte September verstärkt in Deutschland sein Unwesen treibt; auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte unlängst vor ihm. Er verbreitet sich über fingierte E-Mail-Anhänge im Microsoft-Word-Format, die dem unwissenden Nutzer suggerieren, relevante Informationen zu enthalten, die aber in Wahrheit Schadsoftware auf den Computer laden, wenn man sie öffnet. Das erfolgt über sogenannte Makros, Mini-Programme, die in die Dokumente eingebaut sind.

          Das erste Auftreten von Emotet registrierten IT-Fachleute Mitte des Jahres 2014. Damals zielte der Trojaner vor allem darauf, Zugangsdaten zum Online-Banking abzugreifen, indem er sich in Internetbrowsern einnistete und Passwörter aufzeichnete, wenn der Nutzer sie eingab. Inzwischen sind ausgefeiltere Versionen im Umlauf, die auf Basis des Ortes, an dem infizierte Computer steht, auch andere Arten von Schadsoftware nachladen – zum Beispiel solche, die auf das Abschöpfen auch anderer Daten ausgelegt ist oder sogenannte Ransomware, die Daten auf dem Computer verschlüsselt und sie nur gegen eine Lösegeldzahlung wieder freigibt.

          Die Tricks der Hacker

          Hinter Emotet stehen in der Regel Kriminelle, mutmaßlich aus Osteuropa, die mit dem Einsatz Geld verdienen wollen und das auch tun. Sie verschicken den Trojaner flächendeckend und schauen, wo er sich einnisten kann. Das Kammergericht geriet also vermutlich eher zufällig in ihr Visier.

          Die Hacker hinter dem aktuellen Auftreten des Trojaners gehen dabei sehr trickreich vor, sagt Markus Grüneberg, Fachmann des Sicherheitssoftware-Anbieters Proofpoint, der Emotet verfolgt und untersucht hat. Beispielsweise verschickten sie infizierte E-Mails meist vormittags zwischen 7.00 und 11.00 Uhr, weil dies die Zeit sei, in der die Wahrscheinlichkeit am größten sei, dass deutsche Büroangestellte am Schreibtisch säßen und sie öffneten.

          Zudem lese Emotet lese das Adressbuch und die Kommunikationsbeziehungen eines infizierten Rechners aus. Die Angreifer verwenden diese Informationen, um dem Adressaten, mit dem der Angegriffene zuletzt in Kontakt stand, ebenfalls infizierte Mails zu senden. Die neueste Version des Trojaners sei sogar in der Lage, die letzte echte E-Mail zwischen zwei Nutzern als zitierten Text unter eine solche Mail zu stellen, so dass es für den Adressaten aussehe, als hätte der Kontakt geantwortet.

          Die Cyberkriminellen seien zudem professionell organisiert. „Es gibt im Darknet Stellenausschreibungen für Kriminelle“, sagt Grüneberg. „Da heißt es dann: Wir suchen einen deutschen Muttersprachler, der E-Mails fehlerfrei so formuliert, dass die Leute den Anhang öffnen.“ Aus abgefangenen Codefragmenten von Emotet sei zudem ersichtlich, dass sie zu normalen Bürozeiten programmiert worden seien: „Das ist ein Nine-to-five-Job.“

          Was Fachleute raten

          Um Emotet abzuwehren, raten Fachleute, beim Öffnen eines Word-Dokuments aus einer E-Mail niemals den „geschützten Modus“ zu verlassen, in dem diese standardmäßig geöffnet werden. Dass man in diesem ist, erkennt man an einer gelben Leiste mit einem entsprechenden Hinweis am oberen Rand des Fensters. Dieser Modus deaktiviert nämlich Makros in dem Dokument und verhindert so, dass Schadsoftware heruntergeladen werden kann.

          Auch generell sollte man sich fragen, ob man eine E-Mail mit einem Anhang von dem angezeigten Absender erwartet – denn die Kennung könnte gefälscht sein. Im Zweifel sollte man den Absender anrufen und ihn fragen, ob die E-Mail wirklich von ihm kommt. Anhänge mit den Dateiendungen „.exe“ oder „.zip“ sollte man generell nicht öffnen, denn sie können noch viel leichter Viren und Trojaner enthalten.

          Vorsicht, Fake: Die Datei suggeriert, dass man den geschützten Modus verlassen müsse – sie ist aber nur ein mit Emotet infiziertes Word-Dokument.

          Wie aus dem Innern des Kammergerichts zu hören ist, versucht man in Berlin zurzeit, eine Datensicherung vom Tag vor dem mutmaßlichen Eindringen von Emotet zu laden, um das System wieder ans Netz bringen zu können. Das hieße in der Regel, dass alle Daten verlorengehen, die in den vergangenen drei Wochen neu dazugekommen sind.

          Rettung ins Analoge

          Für Akten aus Prozessen und laufende Verfahren ist das allerdings nicht so schlimm – denn für diese ist noch die Papierform verbindlich. „Geht eine Sache in dem bei der Briefannahmestelle geführten elektronischen Gerichts- und Verwaltungspostfach ein, wird sie unverzüglich ausgedruckt“, heißt es im Geschäftsverteilungsplan des Gerichts. In Gefahr sind eher die persönlichen Notizen von Richtern zu Prozessen – diese könnten aus den vergangenen drei Wochen verlorengehen.

          „Der Ablauf von Prozessen und die Rechtspflege sind nicht gefährdet“, sagt ein Richter. Am störendsten sei zur Zeit, dass kein Zugriff auf Internetdatenbanken von Beschlüssen und Urteilen mehr möglich sei. „Wir gehen jetzt wieder oft in die Bibliothek.“

          Fürs Erste scheint das Gericht gerettet zu haben, dass es noch nicht wirklich digital arbeitet – bei allen Effizienzverlusten, die das mit sich bringt. 2022, in drei Jahren, sollen die Akten beim Kammergericht digital werden. Wenn die Abwehr von Cyberangriffen dann immer noch nicht besser ist, sind die Aussichten bei einer abermaligen Attacke düster.

          Doch auch heute könnte die wirkliche Gefahr woanders liegen. „Ich würde mir nicht so sehr um verschlüsselte Daten Gedanken machen, sondern eher darum, dass die Hacker Daten abgeschöpft haben könnten“, sagt Fachmann Grüneberg. Das bekommt eine besondere Relevanz, weil das Kammergericht in Berlin die erste Instanz für sämtliche Fälle von Terrorismus ist, beispielsweise für Rückkehrer aus dem „Islamischen Staat“ (IS).

          Aus solchen Prozessen könnten die Hacker mit den Gerichtsakten auch Klarnamen von Verfahrensbeteiligten erbeutet haben. „Wenn aus einem Prozess sensible Daten beispielsweise von Zeugen bekanntwerden, ist kaum auszudenken, was passiert, wenn diese in die Hand der falschen Menschen geraten“, sagt Grüneberg.

          Topmeldungen

          Hat nach dem Diesel-Urteil von Kassel was zu knabbern: Frankfurts Verkehrsdezernent Oesterling (links)

          Streit um Diesel-Fahrverbote : Letzte Mahnung für Frankfurt

          Im Streit um Diesel-Fahrverbote kann sich die Stadt Frankfurt bewähren. Angesichts des endlosen Wirrwarrs könnte man das Vertrauen in einen Staat verlieren, der erst gar nicht und dann sehr zäh auf den Dieselskandal reagierte.
          Wer sich Bildungsurlaub in den Kalender schreiben will, muss einiges beachten, bevor es losgehen kann.

          Die Karrierefrage : Lohnt sich Bildungsurlaub?

          Was haben Social-Media-Training und Klangmeditationen gemeinsam? Für beides gibt es eine ganze Woche frei. Bloß: die Regeln sind schwer zu durchschauen.

          Roxette-Sängerin Fredriksson : Die bessere Hälfte

          Es ist eine seltene musikalische Gabe, heftige Gefühle zu verstärken und gleichzeitig ein wenig über sie hinwegzuhelfen: Zum Tod der begnadeten Marie Fredriksson.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.