Emotet : Wie ein Trojaner das höchste Gericht Berlins lahmlegte
- -Aktualisiert am
Die Eingangshalle des Kammergerichtes Berlin. Bild: dpa
Seit drei Wochen hat das Berliner Kammergericht keinen Internetzugriff mehr. Grund ist ein Angriff mit Schadsoftware. Auf den ersten Blick scheinen die Folgen beherrschbar – doch die echte Gefahr könnte woanders lauern.
Seit mehr als drei Wochen liegt das Computersystem des höchsten ordentlichen Gerichts von Berlin wegen eines Cyberangriffs lahm. Der Trojaner „Emotet“ war Ende September, mutmaßlich über eine infizierte E-Mail, die ein Mitarbeiter unbedarft geöffnet hatte, ins System gelangt.
Um zu verhindern, dass sich die Infektion ausbreitet, wurde das Kammergericht, höchste Instanz für Straf- und Zivilsachen in Berlin und auf einer Stufe mit den Oberlandesgerichten der anderen Bundesländer, vollständig vom Internet und den anderen Behörden der Hauptstadt getrennt.
„Wir können unsere Computer schon weiter nutzen – als Schreibmaschinen halt“, sagt ein betroffener Richter.
Emotet ist ein Trojaner, der seit Mitte September verstärkt in Deutschland sein Unwesen treibt; auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte unlängst vor ihm. Er verbreitet sich über fingierte E-Mail-Anhänge im Microsoft-Word-Format, die dem unwissenden Nutzer suggerieren, relevante Informationen zu enthalten, die aber in Wahrheit Schadsoftware auf den Computer laden, wenn man sie öffnet. Das erfolgt über sogenannte Makros, Mini-Programme, die in die Dokumente eingebaut sind.
Das erste Auftreten von Emotet registrierten IT-Fachleute Mitte des Jahres 2014. Damals zielte der Trojaner vor allem darauf, Zugangsdaten zum Online-Banking abzugreifen, indem er sich in Internetbrowsern einnistete und Passwörter aufzeichnete, wenn der Nutzer sie eingab. Inzwischen sind ausgefeiltere Versionen im Umlauf, die auf Basis des Ortes, an dem infizierte Computer steht, auch andere Arten von Schadsoftware nachladen – zum Beispiel solche, die auf das Abschöpfen auch anderer Daten ausgelegt ist oder sogenannte Ransomware, die Daten auf dem Computer verschlüsselt und sie nur gegen eine Lösegeldzahlung wieder freigibt.
Die Tricks der Hacker
Hinter Emotet stehen in der Regel Kriminelle, mutmaßlich aus Osteuropa, die mit dem Einsatz Geld verdienen wollen und das auch tun. Sie verschicken den Trojaner flächendeckend und schauen, wo er sich einnisten kann. Das Kammergericht geriet also vermutlich eher zufällig in ihr Visier.
Die Hacker hinter dem aktuellen Auftreten des Trojaners gehen dabei sehr trickreich vor, sagt Markus Grüneberg, Fachmann des Sicherheitssoftware-Anbieters Proofpoint, der Emotet verfolgt und untersucht hat. Beispielsweise verschickten sie infizierte E-Mails meist vormittags zwischen 7.00 und 11.00 Uhr, weil dies die Zeit sei, in der die Wahrscheinlichkeit am größten sei, dass deutsche Büroangestellte am Schreibtisch säßen und sie öffneten.
Zudem lese Emotet lese das Adressbuch und die Kommunikationsbeziehungen eines infizierten Rechners aus. Die Angreifer verwenden diese Informationen, um dem Adressaten, mit dem der Angegriffene zuletzt in Kontakt stand, ebenfalls infizierte Mails zu senden. Die neueste Version des Trojaners sei sogar in der Lage, die letzte echte E-Mail zwischen zwei Nutzern als zitierten Text unter eine solche Mail zu stellen, so dass es für den Adressaten aussehe, als hätte der Kontakt geantwortet.
