Emotet: IT-Totalschaden beim Kammergericht Berlin
Interne Daten wurden geklaut und "ein kompletter Neuaufbau der IT-Infrastruktur wird [...] angeraten", heißt es im forensischen Bericht zum Emotet-Befall.
Zunächst hieß es von offizieller Seite noch, dass keine Daten abgeflossen seien. Dem widerspricht ein jetzt öffentlich gemachtes Gutachten des Cyber Emergency Response Teams von T-Systems, das die infizierten Systeme des Kammergerichts Berlin untersucht hat. Demnach konnten die Trojaner Emotet und Trickbot über mehrere Tage hinweg weitgehend ungehindert im Netz des Gerichts wüten und Daten abziehen. Selbst Indizien für einen manuellen, interaktiven Zugriff durch die Angreifer gibt es.
Allerdings lässt der vorläufige Abschlussbericht noch vieles offen. So legt er zwar den vermutlichen Zeitpunkt der Infektion auf den 20. September 2019 fest. Wie diese genau erfolgt ist, konnten die Forensiker nicht ermitteln. Typischerweise erfolgen Emotet-Infektionen über speziell präparierte Word-Dateien mit Makros. Ebenfalls offen bleibt, ob der Domain Controller und damit das komplette Active Directory infiziert wurde.
Zu einer Verschlüsselung von Daten kam es offenbar nicht; da hat das Kappen der Internet-Verbindung vermutlich schlimmeres verhindert. T-Systems weist jedoch ausdrücklich darauf hin, "dass ein Angreifer höchstwahrscheinlich in der Lage gewesen ist, [...] den gesamten Datenbestand des KG zu exfiltrieren und zu manipulieren". Der Diebstahl von Mails und Passwörtern gehört zum Standard-Repertoir von Emotet und Trickbot. Die Tatsache, dass Event Logs fehlen, legt darüber hinaus nahe, "das[s] auch ein Zugriff durch Dritte von extern erfolgt ist".
Reihenweise #fails
Bei ihrer Analyse des Vorfalls machten die Experten gleich reihenweise Schwachpunkte der IT-Infrastruktur aus. Dazu zählen das Versagen der Endpoint Protection Lösung von McAfee, fehlende Filter und Netzwerksegmentierung, lokale Administratorenrechte und mangelnde Log-Dateien. Diese Schwächen ermöglichten es, dass "aus einem Standardvorfall ein massiver Incident" wurde.
Da sich auch kaum herausfinden lasse, welche System tatsächlich infiziert wurden, bleibe letztlich nur, "die gesamte Windows Domäne neu aufzusetzen". Dabei könne das Kammergericht die aktuelle Situation nutzen, "ein leistungsfähiges und sicheres neues Netzwerk zu konstruieren und den Schaden bei zukünftigen Vorfällen stark zu begrenzen" schließt der Bericht mit einem optimistischen Blick in die Zukunft. Die zuständige Berliner Senatsverwaltung erklärt in einer Stellungnahme, man wolle dazu dem Kammergericht "externen Sachverstand zur Seite stellen".
Mehr zum Thema:
- Trojaner-Befall: Emotet bei Heise
- Themenseite zu Emotet bei heise online
- Webinar: Emotet bei Heise - Lernen aus unseren Fehlern
(ju)